パスワードはもう時代遅れ?

ビル・ゲイツ氏がRSA Conferenceの基調講演で述べたように、「パスワードはもう役に立たない」時代が迫り、より強固な認証が求められている。

» 2006年02月27日 18時17分 公開
[Paul F. Roberts,eWEEK]
eWEEK

 ビル・ゲイツ氏が2月14日、RSA Conferenceに集まったITセキュリティ専門家の前で、「パスワードはもう役に立たない」と言い切ったとき、多くの聴衆は、IT市場で新たな地殻変動が起こり、強力な認証技術の時代が到来したことを示すものとして受け止めた。

 カンファレンスに参加したMicrosoft、VeriSign、RSA Securityなどの大手ベンダーに加え、多数の小規模ベンダーが行った発表は、Microsoftの会長兼チーフソフトウェアアーキテクトの発言を補強するとともに、沈滞気味だったセキュアカード/トークン市場に一種の興奮が生まれている状況を反映したものだった。セキュア認証市場へのMicrosoftの参入は、この技術の普及に拍車をかける可能性がある。

 この状況は、ユーザー名とパスワードだけを使用する方法よりも高度な認証技術を求めている企業のITマネジャーにとって、選択肢が広がることを意味する。しかし企業各社が次々と強力な認証トークンを顧客用に導入すると、ユーザーは何個ものトークンを持ち歩かされる羽目になるかもしれない。

 強力な認証に関する考え方の変化は、ETradeのような早期導入企業の間にも広がっている。

 オンライン証券会社のETradeは、同社の全顧客に「RSA SecurID」トークンを提供した数少ない企業の1社である。ETradeでリテールバンキングを担当するロブ・シェンク副社長によると、同社はSecurIDを社内で運用した後で顧客用に同技術を導入したが、現在はトークンに代わる選択肢を顧客に提供することを検討しているという。

 「その対象となるのは、車のキーをどこかに置き忘れる癖のあるユーザーだ」とシェンク氏は話す。ETradeでは現在、専用型セキュアトークンに代わるものとして「ありとあらゆる」方式を検討している。デバイス上でワンタイムパスワードを生成することができるソフトウェアトークンも候補の1つだという。

 RSA Conferenceでゲイツ氏が披露したMicrosoftの新しい「InfoCard」技術は、SecurIDを代替する各種技術の配備を容易にするものと期待される。また、現在βテスト中の「Microsoft CLM(Certificate Lifecycle Manager)」は、WindowsおよびActive Directoryに組み込まれた技術を利用することにより、デジタル証明書の発行とスマートカードのプロビジョニングを簡素化する(関連記事)

 Microsoftは、同社のWebブラウザの次期版である「Internet Explorer 7」にInfoCard技術のサポートを組み込んだ。また同社は、強力な認証技術を新しいアプリケーションに追加するのを容易にするために、Active Directoryおよび各種プログラミングツールのアップデート作業を進めている。

 マサチューセッツ州ミルフォードにあるEnterprise Strategy Groupのアナリスト、ジョン・オルスティック氏は、「Microsoftの動きは、セキュア認証技術の普及に拍車をかけるだろう」と話す。

 InfoCardに対して、いち早く支持を表明したのがVeriSignだ。同社のストラットン・スクラボスCEOは2月15日、RSA Conferenceのキーノートスピーチで、セキュア認証技術の「VIP」(VeriSign Identity Protection)を、IE 7に組み込まれるInfoCard技術に対応させると発表した(関連記事)

 VIPは共有型認証インフラで、eBayおよびPayPal(eBayの決済サービス事業)のほか、Yahoo!などから支持されている。この技術は、コンシューマーが単一のセキュリティデバイス(USBトークンなど)を使用して、VIPに対応したすべてのWebサイトで認証を受けることを可能にする。このサービスは、InfoCardネットワークに代わるだろうという見方が支配的だった。しかしスクラボス氏は、IE 7でInfoCardを利用するユーザーもVIP技術を使用することにより、VIPネットワークにセキュアにサインオンできることを示した。

 MicrosoftのInfoCardの推進キャンペーンには、VeriSignを除く大手認証技術ベンダーの姿は見られなかった。RSAもその1社だ。RSAは2年前、同社のSecurIDトークンのサポートをWindowsに組み込むことでMicrosoftと合意に達したと発表した。しかしこの統合作業は、インプリメンテーション上の問題や予想外に低い普及率のために頓挫した。そして、InfoCardのデモにおいてゲイツ氏が壇上で持っていたのはRSAのSecurIDではなく、スマートカードメーカー、Axaltoのカードだった。

 RSA Conferenceの詳細は、go.eWEEK.com/RSAに掲載されている。

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

注目のテーマ