PKI入門(4)何故、PKIなのか。ID、パスワードのいらない認証として | ScanNetSecurity
2024.05.06(月)

PKI入門(4)何故、PKIなのか。ID、パスワードのいらない認証として

 第3回目で書いたように、一般インターネットユーザが使うクライアント認証という点では、PKIの普及は、まだまだだ。つまり、現時点で、なぜPKIなのかが問われているといえる。一方、第3回で述べたように、企業ユースでは、変化が起こっている。

特集 特集
facebookLINE
 第3回目で書いたように、一般インターネットユーザが使うクライアント認証という点では、PKIの普及は、まだまだだ。つまり、現時点で、なぜPKIなのかが問われているといえる。一方、第3回で述べたように、企業ユースでは、変化が起こっている。

 従来のID、パスワード方式の認証方法よりも、便利でかつセキュリティ上も、手軽で強力なものがもとめられているからだ。利用者も運用者も、ID、パスワード方式では、不便だし、セキュリティ上もちょっと問題あるとなんとなく感じている。やはり、銀行のATMのように、管理された端末、偽造耐性のあるトークン、簡単で覚えやすい暗証番号がよいと思うようになってくる。

 PKIの提供するサービスは、原理的にはこの「やっぱり銀行のキャッシュカード的な認証サービス」がほしいという要求にこたえるものだ。ただ、実際のPKIアプリケーションがまだぴったりとユーザの要求にこたえてはいない。そこで、このユーザの要求を少し掘り下げてみて、ID、パスワードではないPKI的な認証(銀行のキャッシュカード的認証)が、ID、パスワード方式に比べてもつ優位性を示す。読者の実感に合致する点があったら幸いである。


●普段つかうアプリケーションは、認証に手間かけずに使いたい

 これが、おそらく一番多いユーザのリクエストだろう。業務用システムの認証はできるだけ簡単に使いたいのである。アクセスやファイルメーカでつくるちょっとした業務用データベースシステムは、もともと認証がない場合が結構ある。人数の少ない事務所内で使われるシステムの場合には、かなりの割合でそうだ。認証があったとしても、そのデータベースファイルに、ちょっとしたパスワードが設定されている程度だ。業務で普段よく使うアプリケーションは、本来ID、パスワードなどを暗記しないですむほうが使い勝手がよいのである。

 顧客に関する情報を調べたいというように、複数の人が検索などに使うアプリケーション、よく使うが、1日のうちに時々ほんの少しの時間だけ使うものだ。その場合、ID、パスワードの認証をなんども入力が発生するならめんどくさい。システムに対する不満も高まる。こうなるとパスワードがディスプレイにはってあったりすることになる。ただこれも仕方ないと言える。業務で利用するシステムの場合に、パスワードを忘れてしまって業務に支障が生じる方が問題になるからだ。

 業務の遂行は、セキュリティに勝っている。この事態は、マイクロソフトの社長ビル・ゲイツも認識している。RSA Conference 2004
( http://2004.rsaconference.com/ )で、彼は、パスワードの終焉を予言している。「ユーザはいま、さまざまなシステムで同じパスワードを使い回したり、パスワードを紙に書きとめたりしている。このような状況では、本当に保護したいものに対応できない」と言っている。

 パスワードは、毎月変更して、しかもサービスごとに全部違うパスワードを使った方がよいと一般的に言われているが、ほとんどの人にとって守ることは不可能である。不可能なことをやらせようとしてもうまくゆかない。

 そこで、解決策として、PKIのクライアント証書が注目されているのだ。これは、セキュリティソリューションでなく認証ソリューションとしてのPKIの利用である。この文章を読んでいるシステム管理者の方なら、クライアント認証を使ったことのない方は、いないと思われる。もし、使ったことがないなら、ぜひ一度お使いになることをお勧めする。簡単で、セキュリティ上強固という意味で、クライアント証明書は優れている。

 それでは、仕組みを非常に簡単に説明する。あるサーバがSSLのクライアント証明書認証を使っているとする。途中の手続きを省くが、まずクライアント証明書を発行してもらったとしよう。クライアント証明書は、簡易な形式では、たんなるファイルである。Windowsで利用したいならば、そのクライアント証明書をダブルクリックすれば、ブラウザ(IE)にインストールされる。途中、一般の人にはやや意味不明のメッセージがでてくることになるが、そこそこちゃんとしたマニュアルがあれば、証明書のブラウザへの取り込みはそれほど難しくない。但し、さすが単なるファイルでは、簡単に秘密鍵を含んだ証明書を複製できてしまう。ファイルそのままでは、セキュリティ上問題あるとして、ICカードや、USBキーのように証明書の複製が困難な偽造耐性デバイスを使うこともある。偽造耐性デバイスに関しては、次回以降に詳しくのべる機会がある。


【執筆:武井明】

(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  4. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  5. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  6. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

  7. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  8. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  9. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

    PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  10. インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

    インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

ランキングをもっと見る
ホーム 特集 特集 記事
TOP