第3回 ICチップを搭載するUSBトークンの利点
長谷川 晴彦ペンティオ株式会社
代表取締役
2006/2/14
今回はUSBトークンを取り上げる。USBトークンと前回「事例に見るUSBキーの利点と欠点」にて解説したUSBキーはその機能が似通っている。USBキーは単なる「PCの施錠」という機能だけでなく、ネットワークにアクセスするための個人認証ツールとして使われ始めている。また、PKI(Public Key Infrastructure)の秘密鍵を搭載できるタイプの製品の登場により、両者の区別がますます難しくなりつつある。
しかし、両者には決定的な違いがある。それは「ICチップ搭載の有無」である。今回はUSBトークンをセキュリティデバイスとして実際に活用している企業や大学の事例を紹介しつつ、USBトークンの特徴とその存在意義について考えていきたい。
機密情報をUSBトークンによる個人認証で管理
デバイスや暗号方式についての話をする前に、まずUSBトークンが実際のビジネスの現場でどのように活用されているのかを紹介しよう。
株式会社ラルクは新規株式公開を目指す企業に対して、公開準備の包括的なサポートを行うコンサルティング会社である。人事、財務、法務から事業計画、目論見書、経営者のプライバシー情報、公開前のディスクロージャー資料など、極めて機密性・重要性の高い情報を顧客企業との間で頻繁にやりとりする必要がある。
従来、こうした機密情報は漏えい防止のためにメールでのやりとりができず、基本的にはすべて面談時に手渡すという方法で受け渡しをしていた。だが、現在ではこうした情報をWeb上のサーバに保管し、PKIによる個人認証によってアクセスを許された者のみが閲覧できる仕組みを構築している。
同社取締役で公認会計士でもある植田俊道氏はいう。
「顧客企業の数が増えると手渡しでやりとりしていては到底追いつかなくなり、Webを使ったリモートアクセスで、どこにいても自由に閲覧できる仕組みの必要性が増してきました。また、目論見書や事業計画書など、当社と顧客企業の間で原案を何度も検討して作り上げていく性格の書類は、旧バージョンもすべて記録・管理しておく必要があり、デジタル化してサーバ上にアップしておくことで利便性が高まります。
とはいえ、われわれが顧客企業とやりとりしている情報はまさにトップシークレットで、競合企業や投資家、メディアなどには決して漏えいしてはならないものです。Web上でやりとりするには何よりも安全性をいかに確保するかということが重要でした」
そこでラルクが注目したのがUSBトークンを使ったPKIによる個人認証(WebDAV認証)だった。ラルクが最も危ぐするリスクは、個人認証のための「鍵」が何らかの方法で第三者の手に渡り、アクセス権限者になりすまされてしまうことである。
それを防ぐには「鍵」をどこかに厳重に格納して外部には出さないことが大切だ。そこで同社はPKIの秘密鍵をUSBトークン内部に格納し、それを外部に出さないというやり方でセキュアな通信を実現しようと考えたのである。
前回の記事でも述べたとおり、デバイス内部にICチップを持たないUSBキーは、PKIの秘密鍵を格納できても、復号、判定のための演算機能を持たないために、一度秘密鍵をPCなどの外部機器に出す必要がある。これが秘密鍵の流出につながる可能性を否定できない。
一方、ICチップを内蔵するUSBトークンは秘密鍵によるデジタル署名を内部で行うため、秘密鍵は常にデバイス内部にあり、外部に出されることはない。USBキーに比べれば、より安全性が高いといえるだろう。この点をラルクは評価し、USBトークンの採用を決めたのである。
「USBトークンによる個人認証を採用した背景には、信頼に足る十分な安全性が得られるということに加え、管理が楽であるということもあります。顧客企業にはUSBトークンとPINを渡すだけで、特別なトレーニングも、ITスキルも必要ありません。顧客企業1社に対して1つのUSBトークンを渡し、それを管理部長や財務担当役員などに厳密に管理していただくという形でデータのやりとりをしています」(植田氏)
|
1/4
|
 |
| Index | |
| ICチップを搭載するUSBトークンの利点 | |
 |
Page1 機密情報をUSBトークンによる個人認証で管理 |
| Page2 教職員にUSBトークンを配布しアクセス権限を認証する |
|
| Page3 高いセキュリティニーズにUSBトークンが応えられる理由 USBキーとUSBトークンのサーバとの通信方法の違い |
|
| Page4 USBトークンのメリットとデメリット USBトークンの選び方 |
|
 |
USBデバイスとセキュリティ 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
