Special
» 2010年10月25日 10時00分 公開

あなたの“電話番号”がセキュリティの脅威から企業を守る

インターネットがこれほど普及したことで、ネットバンキングや社内イントラネットなどへアクセスするために認証を行う機会が劇的に増えている。こうした中、慣れ親しんだ「電話」を用いて容易に認証の高度化を図れるセキュリティソリューションが今、新たな認証手段として注目を集めつつある。

[PR/ITmedia]
PR

“なりすまし”への対応が従来型の認証では限界に

 不正に入手したIDとパスワードでシステムにアクセスする、いわゆる「なりすまし」の被害は、年々増加する一方だ。警察庁の「平成20年中のサイバー犯罪の検挙状況について」によると、各種システムへの不正ログインやそこからのクラッキング、機密情報へのアクセスといった不正アクセス禁止法の違反件数は、表面化したものだけでも平成20年には前年比2割増の1740件に到達。金銭的な被害はもちろん、機密情報が漏えいした場合の社会的な影響を考慮すれば、その被害を未然に防止するための認証の強化が今、企業においても強く求められている。

サイバー犯罪検挙件数の推移(出典:警察庁) サイバー犯罪検挙件数の推移(出典:警察庁)

 企業におけるセキュリティ被害の代表例がフィッシング詐欺である。ネットバンキングなどのWebページにそっくりの偽装サイトを用意し、電子メールで偽装サイトへ誘導して個人情報を入力させることで情報を盗み出す。その手口は、“詐欺”ということからも分かる通り、ますます巧妙化しつつあることは言うまでもあるまい。

 こうした悪意の攻撃を未然に防ぐべく、企業に向けたセキュリティ認証に関するITツールもすでにいくつか存在する。認証のための使い捨てパスワードを発行する「ワンタイムパスワード」や、指紋などで認証を行う「生体認証」、USB型の認証機器である「USBトークン」などが代表的なものだ。

 だが、それらの利用にあたっては課題が残されているのもまた事実である。例えばワンタイムパスワードでは、パスワードを生成するための端末とサーバの時刻を同期させる必要があるものの、利用を続ける過程で同期がずれてしまうことも少なくない。また、PCなどで広く用いられている指紋による生体認証は認識率が100%ではなく完璧な対策とは言い難い。加えて、いずれの手法でも、新たな機器の導入および運用のために少なからぬコストと労力を負担することが求められる。

 NTTソフトウェアの事業推進本部SI&NI・ソリューション事業グループ ソリューションSE部門でシニアエキスパートを務める増田誠士氏は、「認証を強固にするほど、ユーザー側の操作が煩雑化する傾向があった面は否めません。また、セキュリティ事故を経験していない企業では、管理部門とユーザーのセキュリティ対策に対する意識の違いが大きいと感じております」と打ち明ける。

 こうした課題解決のために、NTTソフトウェアが2009年6月から提供を開始したのが「CallPassport」である。その特徴は、「電話」というこれまで慣れ親しんだツールの発信者番号通知機能を認証に利用することで、操作性を損なわずに個人認証の強度を高め、管理・運用のための煩雑な作業を軽減した点にある。

電話番号による認証でユーザーへの負担を低減

 CallPassportの仕組みはいたってシンプルだ。その利用手順を説明すると、まずWebサイトにブラウザでアクセスし、IDとパスワードを入力する。次に、電話番号による認証を行うため、CallPassportサーバに割当てられた電話番号へ固定電話や携帯電話を使い電話をかける。これにより、CallPassportサーバはIDとパスワード、さらに電話網から送られてくる発信者電話番号を基に認証を行い、一致すれば本人であると認証するわけだ。

CallPassportの利用イメージ CallPassportの利用イメージ

 そもそも電話番号は、契約回線の個々に割り振られたユニークなIDであり、その電話番号を知り得たとしても、改ざんをしたり、電話網を介してその情報を送ることは不可能である。総務省の事業用電器通信設備規則では、アナログ電話用設備、総合デジタル通信用設備及びIP電話用設備、そのほかの音声電話用設備を設置する電気通信事業者に対して、利用者に付与した電気通信番号と異なる番号が送信されないよう、必要な処置を施すべきことを規定している。このことからも、電話番号による認証の信頼性と安全性の高さをうかがうことができよう。

 しかも、CallPassportは導入も極めて容易だ。既に述べたように、セキュリティツールの中にはリモートアクセス用クライアントソフトのインストールや認証用機器の配布が必要になるものも少なくない。それに対して、CallPassportであれば、ソフトウェアやハードウェアの配布は一切不要なため、管理稼働の軽減につながる。また、新たに利用するのは使い慣れた電話であり、システムへのアクセスにあたってユーザーが戸惑う事態を回避することもできる。

 「自宅の電話番号など、発信場所を特定できる電話番号を登録しておくことで、接続可能な環境を限定することもできます。これにより、安全な場所からでなければ接続を認めない使い方も可能になります。一方でユーザーごとに電話番号を登録することもでき、多様な形態のリモートアクセスに柔軟に対応できるというわけです」(増田氏)

CallPassport 概要図 CallPassport 概要図

電話番号認証というシンプルな仕組みが秘める可能性

 電話番号を認証に利用するセキュリティツールはこれまでほとんど存在しなかった。そのため、当初は「CallPassportをどう活用すべきか戸惑う企業も少なからず見られました」と増田氏。だが、その仕組みのシンプルさと認証の強固さゆえに、CallPassportはさまざまな利用シーンを開拓しつつある。事実、NTTソフトウェアでは当初、特に高い安全性が求められる銀行などでの利用を想定していたものの、実際には業種や業界を問わず、多くの企業から幅広く問い合わせが寄せられている。

 例えば、ショッピングサイトを運営するある企業では、IDやパスワードに頼らない確実かつ容易な本人認証を探していた。従来、ログイン時のパスワードをユーザーが忘れてしまった場合には、郵送で通知していた業務フローを、電話番号情報が合致していればパスワードをオンラインで通知するよう見直すことで、業務効率化とコスト削減を実現しようとしている。また別の企業は、パスワードを用いず電話番号認証だけにすることで、パスワードをユーザーに覚えてもらう煩雑さを省き、サイトの利便性向上を通じた顧客サービスの底上げにつなげようと検討している。単なる認証の強化のみならず、既存業務フローの見直しを通じた業務の高度化も実現できるというわけだ。

 「実は企業におけるセキュリティ対策は、生かせるかどうかは経営者の決断次第です。自社のセキュリティ対策をどうしたいかという明確なビジョンがなければ、セキュリティ技術の活用はおろか、セキュリティ対策を業務改善につなげることは困難なのです」と増田氏は企業のセキュリティ対策の現状について説明する。

 そうした中、CallPassportはユーザー企業のIT担当者のみならず、経営者からも上々の評価を受けているという。

 「ことCallPassportに関しては、セキュリティツールにありがちな難解な説明が必要なく、電話番号を用いた極めて信頼性の高い認証の仕組みであることを説得材料にすることで、容易に社内導入につなげられたとのIT担当者の声も少なからず耳にします。管理・運用面に関しても、各種のセキュリティツールを利用してきた企業の場合には、業務負荷が大幅に軽減されたとの声が圧倒的に多いです」(増田氏)

 これも、電話番号とIP網の双方を利用し、IDとパスワード、電話番号による認証を行う2要素2経路認証の信頼性の高さが高く評価されているゆえんであろう。「CallPassportはとてもシンプルな“素材”なので、経営者やIT担当者がうまく“料理”すれば大きな効果が期待できます」と増田氏はいう。つまりは導入を機に、セキュリティに対する社員の意識向上にもつなげられているケースも決して少なくないということである。

2要素2経路認証技術の種が花開く段階に

 NTTソフトウェアは現在、直販でCallPassportの販売を行っているほか、主要なインターネットVPN装置である「JuniperSAシリーズ」(ジュニパーネットワークス社)の連携ソリューションとしても提案活動を展開中である。

 価格は1000ユーザーまで登録可能なCallPassportサーバと10〜25までの同時接続に対応したVPN装置、2チャネルまで同時接続できるVoIP装置、およびそれらの機器の設置費用を含めたパッケージ製品で500万円(税別)から。Active DirectoryやLDAP(Lightweight Directory Access Protocol)などとの連携によって、アクセス管理などのために従来から用いてきた既存IT資産を、そのまま利用し続けることもできる。

CallPassport/VPN パッケージ構成 CallPassport/VPN パッケージ構成

 導入に要する期間は「2週間から1カ月程度」(増田氏)だが、これも社員のそれぞれに設定するIDとパスワード、電話番号のコンサルティングまで手掛けているからこそである。なお、複数の固定電話回線を契約している企業の場合は、PBX(Private Branch eXchange)側の設定によっては、全員が同じ代表番号を通知されてしまうこともあるが、その際には電話番号設計に関するアドバイスも行っている。これも、電話事業を長らく手掛けてきたNTTグループならではの強みだ。

 CallPassportで採用された2要素2経路の認証技術は、NTT研究所が2000年に特許を出願して以来、事業化のためにNTTグループで長らく温められてきたものだ。発信者の電話番号を通知するNTTのナンバーディスプレイサービスが全国で開始されたのは1998年のことで、当時、通信機器メーカーは同サービスに着目し、同サービスへの対応をうたうさまざまな製品をメーカー各社は市場に投入した。そして今、不正アクセスへの抜本的な対策が求められていることを背景に、技術の種は具体的な製品として再び大きく花開く段階に差し掛かりつつある。

 しかも、NTTソフトウェアはさまざまなセキュリティ製品を長年にわたり扱ってきたことから、技術やノウハウの積み重ねも豊富だ。「弊社ではサービス開発部門や営業部門にそれぞれセキュリティ部隊が存在し、お客さまの要望に対応できる体制を整えてきました。まずはお客さまの悩みを聞き、解決に必要なソリューションを提案させていただきます。そこで、既存のサービスが存在しなければ自社で開発します。そのような蓄積があるからこそ、ユーザーの多様なニーズに応えることも可能なのです」(増田氏)というわけだ。

 NTTソフトウェアでは今後、利用シーンのさらなる深堀りを通じた潜在ニーズの掘り起こしと代理店網の強化を通じ、CallPassportのさらなる拡販につなげる考えである。電話番号で認証を行うことが当たり前になる日も、そう遠くはないのかもしれない。

この記事に興味のある方におすすめのホワイトペーパー

警察庁の「平成20年中のサイバー犯罪の検挙状況等について」によると情報漏えいなどのセキュリティ事故原因の第一位は「不正アクセス」だった。企業の間で情報漏えい対策は進んでいるが、「不正アクセス」によるなりすまし被害は、増加の一途をたどっている。

ホワイトペーパーのダウンロードページへ (TechTargetジャパン)

Copyright © ITmedia, Inc. All Rights Reserved.


提供:NTTソフトウェア株式会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2010年11月24日