使いやすく、強固な認証サービスを目指したISRの取り組み ~ FIDO U2Fを利用した本人認証 ~

strongauthenticationブログ

近年多様化するサイバー攻撃はその標的を世界規模に広げており、世界的にサイバー攻撃の脅威にさらされています。今後さらに情報資産を守ることが重要となり、強固な認証が必要となるのは必至です。現在世界を含めどのような施策が行われているのかをお伝えすると共に、どのような対策ができるのかなどご紹介します。

第三回

私ども株式会社インターナショナルシステムリサーチ(以下「ISR」)は、強固な認証を目指し、FIDO Alliance(*1)に加盟し、FIDOが提供するFIDO U2Fプロトコルに対応した認証強化に取り組んでまいりました。
しかしながら企業におけるアクセス認証は、単純なIDとパスワードを利用する認証が依然として主流となっており、多くの、とくに中小・中堅企業規模の現場では、そのセキュリティ対策として、利用者が複数の異なるパスワードを記憶し、管理するといったセキュリティ面で脆弱性が懸念される方法がとられているケースが散見されるところです。そこには、セキュリティの必要性を認識していながらも、更なる認証強化としてUSBトークンやアプリケーションによるワンタイムパスワードなどを使用するには、その操作が複雑であったり、またそういった機器を新たに購入しなければならないというコスト面の問題が足かせとなるなど、利用者の負担が高くなってしまうという課題がありました。
そこで、ISRでは、強固な認証を掲げて、利用者の操作負担を軽減し、使いやすく、簡便且つ更なる認証強化を実現した、新たな認証手段として「指紋認証オプション」を2015年10月より提供するに至りました。

「指紋認証オプション」はiPhoneの「Touch ID」を利用し、IDと指紋認証によるCloudGateのログインを行う専用アプリであり、パスワードレスを実現したオプションです。近年、パスワードの問題により企業の重要な情報資産が危険にさらされる被害が相次いでおりますが、この指紋認証オプションを利用することによって、このような危険に対応し、安全性を格段に高めることができます。

日本ネットワークセキュリティ協会(JNSA)の「2013年 情報セキュリティインシデントに関する調査報告書」によると、規模の大きい情報漏洩インシデントのトップ10の原因の多くは「不正アクセス」でした。またそのうちのほとんどが複数のインターネットサービスで同じパスワードを使い回していることが原因で生じてしまうユーザアカウントへの不正なログイン(パスワードリスト攻撃)によるものという結果でした(*2参照)。

また、独立行政法人情報処理推進機構(IPA)の調査によるとパスワードリスト攻撃による被害は、平均すると毎月2件以上のペースで継続的に発生しており、今年においてもその傾向はとどまる事がなく、9/28の「トイザらスで不正注文」、10/27の「コナミの会員サービスでの不正ログイン」と立て続けに発生している事が分かります(*3,*4,*5参照)。

このような背景から、前述にあげたようにパスワードの問題による情報漏えい被害は深刻な問題となっており、従来の単純なパスワードによる認証だけでなく、より強固な認証が求められています。またその認証強化の方法においても、利用者の負担軽減を考え、いかに簡便且つ利便性の高い認証を行うかが重要となり、このような観点から、FIDO U2Fによる認証が今後の企業の情報資産を守るために必要不可欠なものとなります。
FIDO Allianceは、従来のユーザIDやパスワードによる認証に代わる生体認証などの新たな認証技術の普及をビジョンとして掲げており、公開鍵暗号方式に基づいて、2つの認証用標準プロとコルを策定しています。そのプロトコルの一つが多要素認証を行うパターンを想定したU2Fです。

ISRは、このFIDO U2Fに対応したYubiKey®(*6)を用いたCloudGate UNOをリリースし、認証プロセスにおいてIDとパスワードに加え、USB型ハードトークンYubiKey®による第二要素の認証を追加することでStrong Authenticationの実現を可能としました。
また、利用者の操作負担を軽減し、更なる認証強化に目指すべくStrong & Easy Authenticationを掲げ、新たな端末認証手段として「指紋認証オプション」を提供しており、この生体認証によりCloudGate UNOの利用者はワンタッチでGoogle Apps for Work™やOffice 365™などのクラウドサービスにアクセスすることができます。更に生体認証を採用することで、パスワードよりもはるかに強固で、しかも悪用の危険性を少なくすることが可能となります。また加えて、Touch IDの仕組みを利用するので、従来のような特別な指紋認証用のセンサー機器の導入するといった必要がありません。さらに、CloudGateの専用アプリがログイン通知を受信し、ユーザーは情報を確認してから指紋認証を行うため、第三者が不正アクセスを試みたという事実に気づくことができる、という点も大きな利点です。

CloudGateがこのサービス提供を開始することで、SAML2.0やOpenIDConnectに対応した世界のあらゆるクラウドサービス(Google Apps for Work、Salesforce.com、cybozu.com、Dropbox等)のログインにおいても、指紋認証によるログイン連携が可能になり不正アクセスの防止ができます。

私どもISRは、この指紋認証オプションによるStrong & Easy Authenticationの実現により、今後の情報漏洩の被害を少しでも減らし、利用者の負担を軽減した認証強化ができることを強く願っております。なおAndroid版につきましても、順次対応していく予定ですので、どうかご期待ください。

出典:
*1:FIDO Alliance(FIDO:Fast IDentity Online)は、「Simpler Stronger Authentication」という従来のパスワードやユーザー名による認証に代わる生体認証などの新たな認証技術の普及をビジョンとして掲げ発足し強固な認証デバイスとサービスの相互運用の欠如を改善するミッションを掲げ、2013年2月に一般公開されました。
*2:2013年情報セキュリティインシデントに関する調査報告書~個人情報漏えい編~
*3:プレス発表 パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ
*4:不正ログインによる不正注文被害が発生しています
*5:「My KONAMI」への不正ログイン発生のご報告とパスワード変更のお願い
*6:YubiKey®(ユビキー)は、USB接続タイプのワンタイムパスワード認証ハードウェアであり、これまでも全世界の様々な企業、政府機関に多くの導入実績を有し、Google、Microsoft、Salesforce、Facebookなどの企業が顧客として名を連ねています。

2018-06-20T11:14:34+09:002015.12.22|Categories: Strong Authentication ブログ|Tags: |