オープン認証規格「OATH」が第二歩を踏み出す

日本ベリサインは、業界標準を目指すユーザー認証仕様「OATH Reference Architecture」の新版を発表した。

» 2007年09月21日 20時26分 公開
[ITmedia]

 日本ベリサインは9月20日、オープンな認証仕様「OATH(initiative for Open AuTHentication)Reference Architecture」バージョン2.0を発表、来日した米VeriSignイノベーショングループプリンシパルのシダース・バジャジOATH合同調整委員会議長が、報道関係者にOATH誕生の背景や現状などを説明した。

 ベリサインは2004年、より強固で安全な認証技術の実現を目指して、同社の考えに賛同する他ベンダーとともにOATHを立ち上げた。バジャジ氏は「標準技術を最大限活用して、相互運用性の高いオープンなアーキテクチャーを目指した」とOATHに課されたミッションを語る。OATHにより、コストを抑えながらリモートアクセスにも対応する認証ソリューションを実現できるという。

画像 米VeriSignのバジャジ氏

 OATHでは、認証にOTP(ワンタイムパスワード)の利用を基本としているが、従来のOTPソリューションには各ベンダー特有のアルゴリズムがあり、OATHが目指すオープン性はなかったという。そこでOATHは、HOTP(HMAC-based One Time Password)をIETFに提案、これを認証のベースとし、ユーザーが自由に製品にインプリメントできるようにした。現在、HOTP搭載のデバイスはトークンはじめ携帯電話、カード、USB機器など40種類以上が市場に出荷されている。

 そしてOATHは2005年、強固な認証基盤提供を目指して、一切ロイヤリティーのかからないオープンな仕様、デバイス技術の内装化、相互運用性といった要素を反映したReference Architecture 1.0をリリースした。今回発表したOATH Reference Architecture 2.0へのバージョンアップでは、業界の最新情勢を反映させた。主なポイントは次の2点。

 1つ目のポイントは、リスクベースの認証。各トランザクションのリスクを評価し、ノーリスクの場合は通常レベルの認証を行い、リスクが高い場合はそれに応じた強固なレベルの認証を行う。

 2つ目は、認証やアイデンティティの共有化。複数のWebサイトごとにトークンがあると、使い分けが大変になるため、1つのトークンで間に合うようにする。具体的には、組織やネットワークを横断する強固な認証クレデンシャル(電子証明書)共有モデルを採用する。例として、これまでのフェデレーテッド(連携型)アイデンティティ管理技術や、OpenID、CardSpaceなど新世代のユーザー指向アイデンティティ管理技術を活用することが挙げられる。

画像 OATH誕生からバージョン2.0リリースまでの変遷

 OATH Reference Architecture 2.0のドキュメントは、OATHのサイトからダウンロードして利用できる。

 また日本ベリサインでは、2005年からOATH準拠のOTP認証によるASPサービスを、2006年にはこれを発展させた包括的な認証プラットフォームであるVIP(Verisign Identity Protection service)を展開している。

 「VIPは認証サービスだが、個人情報管理サービスであるOpenIDにも力を注ぎたい。米国では『Personal Identity Provider(PIP)』のβ版に実装して公開している。これもオープンな認証技術であり、1つのIDを使い回せる便利さを持つ。今30社程度から支持を得ており、日本でもフィジビリティスタディ(事業採算性の調査)を検討中」(同社の金子眞治執行役員マーケティング本部長)

 バジャジ氏は「OATHには最高技術のリーダーたるベンダーが集結しているが、OATHが主体になって技術革新を推進するのではなく、技術革新のための触媒的存在でありたい。そのゴールは、ユビキタス時代をにらんで、ユーザーがいつ、どこででも簡単に利用できる強固で安全な認証の実現だ」と話す。

 OATHの参加メンバーは現在75社。2008年以降は「OATH Challenge response algorithm」をはじめ、Time based OTP、IETF KeyProvなどへの取り組みが予定されている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ