モバイルから安全に企業ネットへ接続しよう

IDとパスワードでは不十分? モバイルでのユーザー認証のツボセキュアモバイルアクセス(2/2 ページ)

» 2008年09月24日 06時00分 公開
[ITmedia]
前のページへ 1|2       

モバイル環境での二要素認証

 モバイル環境でのユーザー認証は、PCやモバイル機器本体にある情報の保護と、社内ネットワークへ接続する場合の企業内情報の保護という2つの観点で用意する必要がある。

 機器内部の情報を保護するには、ログイン時にユーザー本人であることを可能な限り正確に特定することができる堅牢な方法の導入が求められるだろう。ログイン時に利用する二要素認証の組み合わせとしては、ID・パスワードと先に挙げた社員証などのICカードや指紋認証を利用するケースが目立つ。

 近年の企業向けPCやモバイル機器にはICカードや指紋を読み取る機能を内蔵しているものが多い。また、外付けができるUSB型などの認証装置も提供されている。これらの読み取り機器は高額ではあるが、強固な認証環境を構築できるようになる。だが、ICカードを利用する場合はユーザーが紛失するリスクがあるため、指紋認証に比べるとやや脆弱性が高い。また情報漏えいのリスクをさらに低減するには、これらの認証に加えてデータを暗号化することも大切だ。

 社内ネットワークへ接続する時の認証では、OTPやPKIなどを用いることでユーザーの識別がしやすくする。OTPは限定した期間内でのみ利用することから、PKIよりもセキュリティレベルが高い。しかし、従来のOTPのシステムはサーバやトークンが専用のものであったために高額なものとなっていた。ユーザーもトークンを持ち歩かなければならず、紛失する恐れがあるので、トークンの管理だけでも手間がかかってしまう。

 最近のOTPのシステムは、トークンにユーザーの携帯電話を利用するものがある。携帯電話はユーザーが常に身に付けていることからトークンとしての利用に適しており、携帯電話用アプリケーションとしてトークンを用意しているシステムが多い。だが、個人契約の携帯電話が多数利用されているような環境ではキャリアや機種ごとにアプリケーションを開発したり、配布したりしなければならずコストや手間がかかる。

 このためアイディーエスの「MITS」システムのように、OTPの生成をサーバ側で行って携帯電話メールでOTPをユーザーに通知するものも登場した。「携帯電話メールはユーザー本人しか受け取れず、仮に端末を紛失してもOTPの生成機能がサーバ側にあるので、第三者によるなりすましの可能性が低い」(泉谷氏)という。

なりすましを防ぐOTP認証の構築イメージ(MITSシステムの場合)

 PKIによる認証はネットワークとの親和性が高く、SSL-VPN接続などの認証に利用されてきた。PKIをPCやモバイル機器にインストールしたり、USBメモリなどに保存したりすることで、管理者が許可した端末からのアクセスだけをスムーズに受け入れられる仕組みである。しかし、第三者がユーザーの端末を利用すれば容易に社内ネットワークへ侵入されてしまう恐れがあるため、ログイン時の認証を厳重にする。

 モバイル環境の認証では、ログイン時と社内ネットワーク接続時それぞれにおいて二要素認証を導入することが、第三者によるなりすましを阻止するポイントになるだろう。しかし、強固で複雑な認証方法はユーザーの負担を重くし、「モバイル環境での生産性向上」という目的にそぐわないこともある。ログイン時と社内ネットワーク接続時それぞれのバランスを考えた認証方法の導入を心がけるべきだろう。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ