IDとパスワードによる認証は、情報管理の基本だ。しかしユーザー側・情シス側のそれぞれが、利便性の低下や、運用負荷を感じているのが現状だ。こういった課題を解決する手段として注目されているのが「生体認証」。富士通の「生体認証ソリューション」を例にとり、その有用性を解説する。
業務PCのパスワード管理を「面倒だ」と感じているビジネスパーソンは少なくないだろう。Windowsやメール、また業務システムにはそれぞれ異なるIDとパスワードが必要だし、「定期的に変更する」「使い回さない」「異なる文字を組み合わせる」といったルールもあるのが一般的だからだ。
一方、業務PCを管理する側の情シスにも、パスワードの変更対応や忘れてしまった際のサポートなど、運用上の負荷がかかっている。とはいえ「内部関係者による機密データの持ち出し」といったセキュリティリスクを防ぐためにも、対策しなければならないのが現状だ。
そんな、多くの企業が抱えるパスワード認証の課題をまとめてみよう。
パスワード認証の現状 | 課題 | 希望 |
---|---|---|
従業員 | ・複数のパスワードを覚えられない ・システムごとに異なるパスワード入力が面倒 |
・利便性の高い認証手段がほしい |
情シス | ・パスワードの忘却対応や定期変更、ポリシー変更の工数を減らしたい | ・セキュリティ強化と利便性向上を両立させたい |
経営層 | ・内部不正や不正アクセスをなくしたい ・個人情報や機密情報の漏えいを防ぎたい |
・内部不正や情報漏えいのリスクを解消したい |
こうした課題を解決し得ると注目されているのが「生体認証」だ。例えば富士通では、業界で唯一、専用のサーバとソフトウェア、そして「手のひら静脈センサー」を内蔵したPC/タブレットを提供している。
手のひら静脈には、「手のひらをかざすだけ」でWindowsや社内の業務システムへログインできるという利便性に加え、本人しか持ちえない「体の中の情報」なので盗まれにくいという特徴がある。またその本数が非常に多く、認証精度が高い。静脈そのものも太いため、他の部位の静脈と比べて寒さの影響が少ないのも特徴だ。
手のひら静脈センサー搭載のデバイスを導入すると、何がどのように変わるのか。専用サーバ「Secure Login Box」、専用ソフト「SMARTACCESS/Premium」、手のひら静脈センサー搭載デバイス「ARROWS Tab Q775/K(タブレット)」「LIFEBOOK S935/K(ノートPC)」について説明していく。
まずは「Secure Login Box」から見ていこう。同製品は、富士通が開発した「認証に必要なユーザーデータを一元管理するアプライアンス(必要なハードとソフトが一体となった専用サーバ)」だ。付属ユーティリティでIPアドレスなどの設定を行うだけで、既存システムへ導入できる。
主な機能は「従業員の認証情報(生体情報とID・パスワードをひも付け)とログイン状況を一元管理する」こと。そして、後述する専用ソフト「SMARTACCESS/Premium」や「SMARTACCESS/Virtual」と連携し、従業員に「シングルサインオン」の機能を提供することだ。
Secure Login Boxは、ユーザー名をキーに、手のひら静脈の情報およびWindowsや業務システムのID・パスワードとひも付けて管理できる。他にも指紋の生体情報やFeliCaカードのIDm(カード固有の番号)も合わせて管理できる。
また、利用者がいつ、どの業務システムへログインしたか、本人認証時の履歴(ログ)も取得できる。内部不正対策には「認証者本人のログを残す」ことが必要だが、ID・パスワード方式には「なりすまし」のリスクがある。しかし体内情報を利用する手のひら静脈認証なら、なりすましは非常に困難である。
なお、Secure Login Boxは個人認証のためのアプライアンスであり、セキュリティホールになりやすいインタフェースや汎用的な通信の仕組みは持っていない。Secure Login BoxのHDD内のデータはもちろん、ネットワークを流れる生体情報や各種文字列データも、暗号化して転送される。仮に、業務PCがネットワーク接続されていない状態で認証を行ったとしても、再接続とともにログは自動アップロードされる。
「SMARTACCESS/Premium」は、PC/タブレットとSecure Login Boxを連携するソフトウェアである。Windowsや業務システムへのログインについて「専用サーバと連携し、アプリへのID/パスワードの入力を代行」するのがその役割だ。
社員は、導入時に1回だけ生体情報を登録すれば、パスワード入力なしに手のひらだけで本人の認証ができるようになる。
手のひら静脈認証は以下のような流れで行われる。
順番 | 認証の流れ |
---|---|
1 | <従業員と手のひら静脈センサー内蔵PC/タブレット>手のひらをセンサーにかざす(SMARTACCESS/Premiumのダイアログに手のひらをかざす際、Windowsログオン時に認証したユーザー名が入力される) |
2 | <SMARTACCESS>ユーザー名と生体情報をSecure Login Boxへ送信 |
3 | <Secure Login Box>ユーザー名と生体情報を照合し、ID・パスワードをSMARTACCESSへ返信 |
4 | <SMARTACCESS>受け取ったID/パスワードをWindowsや業務システムに自動入力し、ログイン |
このように、従業員には利便性を提供しつつ、情シスにとってはパスワード管理の甘さやIDカードの紛失などによる「なりすまし」を防げることが分かる。
「入力したパスワードがPCに残らない仕組み」もポイントだ。インターネットにつながっていれば、外出時も同じ仕組みを利用できるが、オフライン時にもあらかじめSecure Login Boxに保管してあるデータをPCにダウンロードすることで利用できる。なおオフライン時の使用可能期間は、管理者が設定できる。
専用ソフトにはもう1つ、仮想環境上でも、Windowsや業務システムに手のひら静脈認証でログインできるようにする「SMARTACCESS/Virtual V1.0L10(注:2015年4月提供開始予定)」が用意されている。対応環境は、VMware Horizon(with View)、Citrix XenDesktop、Citrix XenAppだが、富士通によれば対応環境は増やしていく計画だという。
次に、手のひら静脈センサーを搭載できるPC/タブレットを見ていこう。ここでは13.3型大画面の防水タブレット「ARROWS Tab Q775/K」と、モバイルノートPC「LIFEBOOK S935/K」の2台を紹介する。
「ARROWS Tab Q775/K」は、アンチグレア処理(太陽光や照明などの映り込みを低減する表面仕上げ)された高精細なディスプレイを搭載し、LTE(Xi)データ通信モジュールの内蔵(無線WAN搭載モデル)を備えた13.3型のWindowsタブレットだ。
オプションのキーボード・ドッキングステーションや拡張クレードルと組み合わせれば、外付けキーボードやマウス、プロジェクターなどを接続できるため、オフィスではメインPCとしても利用できる。
「LIFEBOOK S935/K」は、13.3型サイズで重量約1.21キロ、さらに最大20.2時間(大容量バッテリー+増設用バッテリー搭載時)動作する、モバイルノートPCである。
LIFEBOOK S935/Kはオフィスワークではもちろん、外出先や出張などのシーンでも利用できる「オールマイティ」な仕様を備えたPCだ。ディスプレイはタッチパネルの有無も選択できる。
こちらのモデルも「手のひら静脈認証センサー」を内蔵するカスタムメイドメニューを用意する。内蔵の手のひら静脈認証センサーと「Secure Login Box」および「SMARTACCESS/Premium」でWindowsや業務システムへのログインを、手のひらをかざすだけで可能にする。つまり「パスワードを管理する必要がなくなる」ということだ。
以上が専用サーバ「Secure Login Box」、専用ソフト「SMARTACCESS/Premium」、そして手のひら静脈センサー搭載デバイスの3種類で構成する「生体認証ソリューション」だ。社員は利便性を獲得でき、情シスはID・パスワード認証におけるを回避できる。運用の手間やコストも削減でき、経営層にとっては、自社のセキュリティを強化につながる。企業が抱える悩みだった「パスワード管理の課題」を解決し得るソリューションだ。
なおSMARTACCESS/Premiumについては、他社製PCに対応しているのはもちろんのこと、今回紹介したような富士通製PC/タブレットであればライセンス料金が半額で済む。
パスワード認証に限界が見えてきた今、生体認証がそれに代わるソリューションとして、注目を集めることになるだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:富士通株式会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2015年4月24日