IoT時代のセキュリティを――「2015 CES」で明かされたMcAfeeの新技術
ラスベガスで開催された世界最大の家電見本市「2015 CES」では、IoT時代に向けたIntel Securityブランドの最新セキュリティ技術「True Key」が披露された。現地からその詳細をリポートしよう。
IoT(Internet of Things:モノのインターネット)――すべての機器がインターネットに接続される、そんな世の中が間近に迫ってきている。
2015年1月6日〜9日の4日間、米ネバダ州ラスベガスで開催された世界最大の家電見本市「2015 International Consumer Electronics Show」(2015 CES)では、腕時計型情報端末をはじめ、フィットネス・メディカル用途のウェアラブルデバイスなど、今後市場を賑わせそうなIoTデバイスが数多く出品された。
しかし、すべての機器がインターネットに接続されるようになると、個人情報の管理はより煩雑に、かつ慎重にならざるを得ない。そこで、業界をリードするIntelが昨今注力しているのがセキュリティ分野だ。
Intelはセキュリティベンダー大手のMcAfeeを傘下に収めた後、同ブランドを「Intel Security」として展開。今回のCESでは、Intelグループに組み込まれたMcAfeeが開発する「True Key」を、Intel Securityブランドの新しい個人向けセキュリティ製品として発表している。このTrue Keyは米国でサービスを開始し、そのほかの地域への対応も順次進めていく予定だ。
パスワードからの解放を実現する「True Key」とは
現在、平均的なユーザーは25個のオンラインアカウントを持ち、サイトの認証の違いなどにより、約10種類のパスワードを使っている――そう話すのは、米McAfeeでChief Consumer Security Evangelistを務めるGary Davis氏だ。
「しかし、これは個人がきちんと管理するには多すぎる数だ」と同氏は現在のセキュリティ動向を分析。「このため、Wordファイルに各サイトのパスワードを平文で保存したり、付箋紙などに書いてディスプレイに貼っているユーザーも少なくないのが実情だ」として、一般ユーザーのセキュリティ対策においては、パスワード管理が最も重要な課題になっていると指摘する。
複数のサイトで共通の、憶えやすいパスワードを使用していると、セキュリティの度合いが低くなり、盗用された場合の被害も大きくなる。その一方で、ビジネスシーンで活用されるランダムな英数字を組み合わせた堅牢なパスワードは、個人で覚えておくことは不可能に近い。まさに、パスワードという仕組み自体が、ユーザーのインターネット体験を難しくしていると言ってもよい。
そこで、McAfeeは生体認証とパスワード管理を組み合わせることで、個人ユーザーが、どんなデバイスでも安心してインターネットサービスを活用できるようにと「True Key」を開発した。
True Keyの仕組みは、WindowsやMac、スマートフォンやタブレットといったコンピュータデバイスへのログイン、FacebookやTwitterといったSNS、各種インターネットサービスのサインインに必要なパスワードを、True Keyをインストールすることでクラウド上に暗号化して保存し、一括管理できるようにするものだ。
このTrue Keyサービスへのログインには顔認証を用いる。これにより、PCでいったん各種WebサービスなどのパスワードをTrue Keyに登録し、自分が普段持ち歩いているスマートフォンにもTrue Keyをインストールし、そのスマホを“信頼できるデバイス”として認証することで、各種サービスのパスワードが同期され、True Keyが代わりにパスワード認証の手順を踏んでくれるようになる。
これまでにも、ChromeなどのWebブラウザが、サービスとパスワードを管理し、自動入力してくれたり、ほかのデバイスともパスワード同期を行なってくれる機能を提供しており、同機能を活用してきたユーザーも多いはずだ。しかし、同機能はそれぞれのデバイス上にパスワード情報などを暗号化して保存しているため、ウイルスやマルウェアに感染し、これらの情報を盗まれたり、デバイスそのものが盗まれた場合、保存されていたパスワードが解読されて不正利用される危険性もともなう。また、このサービスは利用できるデバイスやWebブラウザが限定されてしまうのも難点だ。
これに対し、True Keyではクラウド上に暗号を保存し、ユーザーがTrueKeyサービスにログインすることで、OSやデバイスの違いを意識することなく、自分が普段使い慣れたブラウザでパスワードの同期が図れるようになる。
その対応プラットフォームは、WindowsとMacOS、Android、iOSで、Internet ExprolerやChrome、Safari、FirefoxといったメジャーなWebブラウザをサポート。WindowsとAndroidでは、デバイスへのログインにも顔認証を利用できるようになる。
このTrue Keyで用いられる顔認証は、デバイス側で行なう一般的なパターン認証とは異なり、クラウド側の演算能力も活用した、よりセキュアなアルゴリズムを採用しているという。3Dカメラなどの特別なハードウェアは必要なく、通常のスマートフォンやタブレットのフロントカメラでも本人認証が可能だ。
同社は、米国においてTrue Keyの早期リリースのサービス提供を1月から開始する。ベーシック版は無料で15個のパスワードまで保存でき、それ以上のパスワードを保存したい場合は、月額1.99ドル、年額19.99ドルの上級サブスクリプションも用意するが、早期リリースの利用者には、6カ月間、上級サブスクリプションサービスが提供される。
Richard Reinerテクノロジー担当副社長(Vice President, Technology, Safe Identitiy, Solution Division)は「年内には、日本などでもTrue Keyのサービス提供を開始したい」としており、2015 CES会期中に公開されたデモでは、日本語もすでにサポートされていた。
来たるべきIoT時代のセキュリティに向けて
Intel Securityにとって、True Keyはマルチデバイス、そしてIoT時代の新しいセキュリティプラットフォームを構築する足がかりだ。True Keyには、より堅固なパスワードを自動生成する機能も含まれている。
しかし、現在はWebサービスごとにパスワードの使用する文字数や種類などの指定があるうえ、パスワード認証後にキャプチャ画面の文字列入力を求めるサイトも多い。こうした状況を、Reiner氏は「パスワード認証に対する信頼性の低さの現れ」とし、True Keyを介してより堅固なセキュリティ環境を提供できるようにWebサービスとの連係を強めていく必要があるとの認識を示した。
パスワード入力後も、キャプチャ認証(CAPTCHA)を求められるサイトは多い(画面は「CAPTCHA」の公式サイト)。これはシステム的なアタックなどパスワード認証システムが常に危険にさらされており、信頼性が低くなっている現われだとReiner氏そこで重要となるのが、「信頼されたデバイス」という考え方だ。True Keyでは、ユーザーが自分が普段から使っているPCやスマートフォンなどを「信頼されたデバイス」として登録することで、パスワードの一元管理を提供する。つまり、ユーザーがWebサービスなどに利用する端末を管理することにより、未知のデバイスからの不正アクセスを未然に防ぐことにも役立つわけだ。
2015 CESにおけるIntelのキーノートスピーチでは、Brian Krzanich CEOが、このTrue Keyの応用事例として、「信頼されたデバイス」としてのスマートフォンを持ち、顔認証で同じ生体情報を認識することで、鍵を使うことなくドアを解錠するデモを披露している。コンピューティングデバイス以外にでも、同サービスを拡大していく考えだ。
IoT市場は、2020年までに260億台以上のデバイスがインターネットに接続されるまでに急成長を遂げるとみられている。しかし、IoTデバイスは機能を絞り込むことで、長期間利用できるようにするものが多く、特にウェアラブルデバイスは、PCやスマートフォンとの連係が不可欠となるものがほとんどだ。
この場合、IoTデバイスがウイルスやマルウェア感染の踏み台となり、PCやスマートデバイスのセキュリティが脅かされる危険性も指摘されており、ますますセキュリティに対する配慮が必要になる。
そこでIntelは、Intel Securityブランドのもと、傘下のMcAfeeが新たにリリースしたTrue Keyと、同社が開発を進めている最新IoT向けSoCなどとのハードウェア連係を高めることで、来たるべきIoT時代にも「パスワードなしで、安心してWebサービスを利用できる世界」(Davis氏)を目指すとしている。今後はIntel Securityが未来のセキュリティ技術の中核になっていくはずだ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
提供:マカフィー株式会社
アイティメディア営業企画/制作:ITmedia PC USER 編集部/掲載内容有効期限:2015年2月15日
ITmediaはアイティメディア株式会社の登録商標です。