「MSのアプローチは不十分」--サン、PC向けJava認証計画を強化へ

Stephen Shankland(CNET News.com)2004年02月24日 19時45分
  • このエントリーをはてなブックマークに追加

 Sun Microsystemsは、自社のJavaソフトを改良すると共に、携帯電話会社やクレジットカード会社と共同で、PCユーザー向けにより確実な認証方法を提供するための取り組みを進めている。

 Sunのソフトウェア担当エグゼクティブバイスプレジデントJonathan Schwartzは25日(米国時間)、サンフランシスコで開催されているRSAセキュリティカンファレンスで新認証技術のデモを行う予定だ。Sunは今年6月末までに同社のPC向けOS「Java Desktop System」にこの認証技術を盛り込む予定で、同OSのユーザーはこの技術を導入する必要がある、とSchwartzは語った。

 Schwartzによると、複数のユーザー認証手段を開発することにより、オンラインサービスを行う企業は利用者を確実に把握でき、さらに匿名メールを使ったスパムやウイルスといった問題も減少するという。

 SunによるPC認証構想発表の際に予想された通り、ユーザーの認証方法はパスワードと、物理的トークンとの組み合わせを使ったものになるという。物理的なトークンは、携帯電話、クレジットカード、各企業のIDタグといった各ユーザーのID情報を含むものになる。Sunは、携帯電話会社や金融サービス会社と連携し、この認証技術の広範な利用を実現するための取り組みを進めており、また米国防省などの政府機関はすでにこのような認証技術を採用している。

 「従来、匿名性の確保に要する費用は認証を受ける側が負担していたが、今こそ、その構図を逆転させる(認証する側に負担させる)時がきた」とSchwartzは語った。ATM(現金自動引出機)やGSM携帯電話では、認証を受ける際にカードとパスワードを同時に使う必要があるが、マルチファクター認証ではPCがこのATMやGSM携帯電話にさらに近づくことになる。

 Schwartzは、MyDoomやSobigといったウイルスを例に挙げ、「Microsoftが提供する防御的アプローチが効果的でないのは明らかだ」と指摘した。「携帯電話会社や金融機関がネットワーク化計画を開始した当初に行ったのと同様に、オンラインサービス業界もネットワーク利用者の認証を強化することで、(セキュリティ対策に)積極的に取り組むべき時がきた」(Schwartz)

 Sunのこの計画の核となるのがJavaで、とりわけ、GSM携帯電話に挿入される非常に小さなSIM(Subscriber Identity Module)カードを使った認証を扱うJavaCardソフトの重要性は高い。同ソフトは、American Express Blueなどのクレジットカードと共に出荷されており、また国防省のIDタグにも使用されている。

 Schwartzの見解では、マルチファクター認証では、以下の2つの基本的な方法が考えられるという。

 1つは、Java対応のクレジットカードかあるいはSIMカードを、PCに接続(もしくは内蔵された)カードリーダーに挿入した上で、パスワードを入力してサインインする方法。

 もう1つの方法は、より複雑だが、しかし現実的でもある。各ユーザーは、サイト上で自分の携帯電話番号を入力する。すると、このサイトのコンピュータが携帯電話会社のネットワークに接続し、ユーザーの携帯電話にパスワードを尋ねるメッセージを送る。そして、ユーザーが携帯電話に自分のパスワードを打ち込み、送信すると、コンピュータ上で認証が受けられる、という仕組みだ。

 サンは現在「世界各国の数多くの携帯電話会社と話を進めており、携帯電話とコンピュータの間に横たわるギャップに橋を掛けようとしている」とSchwartzは述べ、金融サービス会社よりも携帯電話会社のほうが先にこの認証サービスを提供することになりそうだと付け加えた。

 Schwartzによると、この技術の開発はほとんど完了しているという。「6月までに、この計画全体の要となるJava Desktopで、JavaCardをしっかりサポートできるようになるだろう」(Schwartz)

 JavaのPC向けバージョンである「Java 2 Standard Edition (J2SE)」は、この技術をサポートするために手直しを受けなければならないとSchwartzは語った。

この記事は海外CNET Networks発のニュースをCNET Japanが日本向けに編集したものです。

  • このエントリーをはてなブックマークに追加