PKI入門(4)何故、PKIなのか。ID、パスワードのいらない認証として | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.21(土)

PKI入門(4)何故、PKIなのか。ID、パスワードのいらない認証として

特集 特集

 第3回目で書いたように、一般インターネットユーザが使うクライアント認証という点では、PKIの普及は、まだまだだ。つまり、現時点で、なぜPKIなのかが問われているといえる。一方、第3回で述べたように、企業ユースでは、変化が起こっている。

 従来のID、パスワード方式の認証方法よりも、便利でかつセキュリティ上も、手軽で強力なものがもとめられているからだ。利用者も運用者も、ID、パスワード方式では、不便だし、セキュリティ上もちょっと問題あるとなんとなく感じている。やはり、銀行のATMのように、管理された端末、偽造耐性のあるトークン、簡単で覚えやすい暗証番号がよいと思うようになってくる。

 PKIの提供するサービスは、原理的にはこの「やっぱり銀行のキャッシュカード的な認証サービス」がほしいという要求にこたえるものだ。ただ、実際のPKIアプリケーションがまだぴったりとユーザの要求にこたえてはいない。そこで、このユーザの要求を少し掘り下げてみて、ID、パスワードではないPKI的な認証(銀行のキャッシュカード的認証)が、ID、パスワード方式に比べてもつ優位性を示す。読者の実感に合致する点があったら幸いである。


●普段つかうアプリケーションは、認証に手間かけずに使いたい

 これが、おそらく一番多いユーザのリクエストだろう。業務用システムの認証はできるだけ簡単に使いたいのである。アクセスやファイルメーカでつくるちょっとした業務用データベースシステムは、もともと認証がない場合が結構ある。人数の少ない事務所内で使われるシステムの場合には、かなりの割合でそうだ。認証があったとしても、そのデータベースファイルに、ちょっとしたパスワードが設定されている程度だ。業務で普段よく使うアプリケーションは、本来ID、パスワードなどを暗記しないですむほうが使い勝手がよいのである。

 顧客に関する情報を調べたいというように、複数の人が検索などに使うアプリケーション、よく使うが、1日のうちに時々ほんの少しの時間だけ使うものだ。その場合、ID、パスワードの認証をなんども入力が発生するならめんどくさい。システムに対する不満も高まる。こうなるとパスワードがディスプレイにはってあったりすることになる。ただこれも仕方ないと言える。業務で利用するシステムの場合に、パスワードを忘れてしまって業務に支障が生じる方が問題になるからだ。

 業務の遂行は、セキュリティに勝っている。この事態は、マイクロソフトの社長ビル・ゲイツも認識している。RSA Conference 2004
( http://2004.rsaconference.com/ )で、彼は、パスワードの終焉を予言している。「ユーザはいま、さまざまなシステムで同じパスワードを使い回したり、パスワードを紙に書きとめたりしている。このような状況では、本当に保護したいものに対応できない」と言っている。

 パスワードは、毎月変更して、しかもサービスごとに全部違うパスワードを使った方がよいと一般的に言われているが、ほとんどの人にとって守ることは不可能である。不可能なことをやらせようとしてもうまくゆかない。

 そこで、解決策として、PKIのクライアント証書が注目されているのだ。これは、セキュリティソリューションでなく認証ソリューションとしてのPKIの利用である。この文章を読んでいるシステム管理者の方なら、クライアント認証を使ったことのない方は、いないと思われる。もし、使ったことがないなら、ぜひ一度お使いになることをお勧めする。簡単で、セキュリティ上強固という意味で、クライアント証明書は優れている。

 それでは、仕組みを非常に簡単に説明する。あるサーバがSSLのクライアント証明書認証を使っているとする。途中の手続きを省くが、まずクライアント証明書を発行してもらったとしよう。クライアント証明書は、簡易な形式では、たんなるファイルである。Windowsで利用したいならば、そのクライアント証明書をダブルクリックすれば、ブラウザ(IE)にインストールされる。途中、一般の人にはやや意味不明のメッセージがでてくることになるが、そこそこちゃんとしたマニュアルがあれば、証明書のブラウザへの取り込みはそれほど難しくない。但し、さすが単なるファイルでは、簡単に秘密鍵を含んだ証明書を複製できてしまう。ファイルそのままでは、セキュリティ上問題あるとして、ICカードや、USBキーのように証明書の複製が困難な偽造耐性デバイスを使うこともある。偽造耐性デバイスに関しては、次回以降に詳しくのべる機会がある。


【執筆:武井明】

(この記事には続きがあります。続きはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

    [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  3. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

    マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  4. Heart of Darknet - インターネット闇の奥 第3回「アクターとダークウェブ」

  5. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第4回 「"やりかねない"男」

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  7. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  8. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第3回「通信密室」

  9. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  10. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第 5回「ウソも方便」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×