本文とサイドメニューへジャンプするためのナビゲーションスキップです。

スタートアップガイド

J-Net21 中小企業ビジネス支援サイト

  • J-Net21とは
  • スタートアップガイド
中小機構
  • メルマガ登録
  • RSS一覧
  • お問い合わせ

HOME > 製品・技術を開発する > デジ・ステーション

デジ・ステーション


5分でわかる最新キーワード解説
双方向ワンタイムID認証ってなんだ?

日々進歩するIT技術は、ともすると取り残されてしまいそうな勢いで進化の速度を速めています。そこでキーマンズネット編集部がお届けするのが「5分でわかる最新キーワード解説」。このコーナーを読めば、最新IT事情がスラスラ読み解けるようになることうけあい。忙しいアナタもサラっと読めてタメになる、そんなコーナーを目指します。
 今回のテーマは「双方向ワンタイムID認証」。これまで以上に認証=「正当性の検証」が重要視される中、クライアント/サーバー間の双方向認証の一手法として、アクセスごとに双方で動的にID・パスワードを生成、認証を行う仕組みに注目しました。

双方向ワンタイムID認証とは?

ユーザーがサーバーにアクセスする際、ユーザー側、サーバー側双方が相手を「正当か否か」検証する作業を「双方向認証」というが、この認証に、"一度しか使えない"ID・パスワードを用いる方法を指す。
 従来のサーバー側からユーザーを認証する「片方向認証」で代表的なものが「ID+パスワード」だ。IDと固定パスワードを使う方法が一般的だが、IDからパスワードが推測されたり、キー入力を覗き見されたりといった漏えいの危険性がある。こうしたことからユーザー認証に「ワンタイムパスワード」を導入する企業も多いが、時刻同期のズレの問題や「なりすまし」への対処に懸念が残るのも事実だ。
 一方、クライアント/サーバーの双方向認証の一つに公開鍵暗号方式を応用した「デジタル署名」がある。アプライアンスが数多く出てはいるものの、電子証明書発行のための認証サーバー運用や証明書の有効期限管理など、一般的には運用面でコストがかかりやすい。「ワンタイムID」では、クライアント/サーバーの双方が、ID・パスワードを自動生成し、httpのセッションごとに変更しながら相互に認証を行なうため、IDを元に通信内容を解析することは事実上不可能である上、比較的低コストで運用することができるという特長がある。


双方向認証の必要性

サーバー側がアクセスするユーザーを、正当な利用者かどうか認証する「片方向認証」は、実際の商取引などでもこれまで広く行われてきた。オンラインバンキングやショッピングサイトなどでID、パスワードを入力することでユーザーを特定する、という手法がそれだ。一方、片方向認証では、ユーザー側から自分がアクセスしているサーバーが"本物"かどうかを検証することはできず、せいぜいサイトのURLやSSL証明書を目視確認するくらいしか手段がないのも事実である。こうしたことから、システム側のサーバー情報の保護と、ユーザー側の個人情報の保護の双方を実現しようとする認証技術がこの「双方向認証」なのだ。

双方向ワンタイムIDとは
■サーバーなりすましの脅威
 「ID+パスワード」の認証では、IDとパスワードを入手すれば誰でも本人になりすますことが可能だ。このIDやパスワードを入手する方法の1つに、偽のWebサイトを作り、そこにユーザーを誘導してIDやパスワード、個人情報を入力させる手口がある。Webサイトの見た目を全く同じにすることは容易で、URLを偽装(スプーフィング)することも、ちょっと知識がある人には難しくない。2003年末に「Internet Explorer」でも「URLをスプーフィングできる脆弱性」が指摘され、パッチがリリースされるというニュースも流れている。
 このように"サーバーなりすまし"はいつ起きてもおかしくない脅威だ。仮にURLがスプーフィングされた場合、金融機関で不正に金銭取引を行なったり、新聞社のサイトで偽りのニュースを流したり、偽ウイルス情報を配信して不正なソフトを配布したりと、悪用例をあげれば実にきりがない。

通信を傍受してもユーザーを特定できないワンタイムID

「双方向ワンタイムID認証」は、初期設定時の鍵とサーバー・ユーザー間のセッションごとに生成される"一度きりの使い捨て"ID・パスワードを用いて継続的に認証を行う仕組みだ。ユーザー自身が、ID・パスワードを認識し、入力する必要はない。仮に、ある時点での通信内容が傍受されたとしても、次の通信時には別のIDで通信を行うため、その本人になりすますことは事実上不可能だ。同様に、IDが刻々と変化し続けるため、通信内容を見ただけではそもそもユーザーを特定することすらできない。また、自動生成されるID・パスワードは過去の交信履歴などを加味しながら変化し続けるため、仮にあるセッションの通信そのものを傍受されたとしても、それだけでは次回生成されるIDを割り出すことができない寸法だ。
 通常、「ワンタイムID」はUSBメモリーやメモリーカードなどの記憶媒体にID・パスワード発行に必要な鍵や情報が格納され、そのメディアが"認証キー"の役割を果たすという運用が一般的だ。つまり、ユーザーが認証キーを安全に保持している限り、第三者が不正にアクセスすることはできない。また、メディアの内容が全てコピーされた場合でも、その後、先にアクセスした方だけが有効となり、それ以外は機能しない。つまり、ユーザーが故意にワンタイムIDを使い回すといったこともできないのだ。


将来的な利用イメージ

インターネットでの通信は、サーバー/ユーザー間で直接通信を行なっているのではなく、いくつもの仕組みを経由し、不特定多数が管理するサーバーを利用して通信経路を確立している。この点、セキュアな通信環境を構築する手段として「双方向ワンタイムID認証」に注目したい。
 「双方向ワンタイムID認証」はWebサーバーだけでなく電子メールやFTPなどにも対応している。また、暗号に関しては、現在ある最新の技術を取り入れる形で構築することが可能なので、継続的に利用し続けることができる。今後、金銭の移動や個人のプライバシーに関わる情報をはじめ、社会的にインパクトがある情報をインターネット経由で通信する場合に、ますます必要性を高めていくに違いない。

取材協力 :株式会社エイシーエス

掲載日:2008年11月19日

キーマンズネット

出典元:株式会社リクルート キーマンズネット 2004年03月03日掲載分

検索

このページの先頭へ