サーバ側のパスワード管理や専用認証デバイスを不要にした強固な認証システム「MIRACL Trust ZFA(Zero-Factor Authentication)」は、既にNTTソフトウェアなどが自社ソリューションに組み込んで提供している。今回は開発元である英国MIRACLの日本法人にZFAの仕組みや可能性について話を伺った。
EC(電子商取引)サイトやインターネットバンキングなど、我々の生活に直結するサービスがオンライン化する現状を踏まえ、認証システムの重要性に注目が集まっている。これまでのID・パスワードでは物足りず、セキュリティトークンも多くの問題を潜在的に抱えており、指紋認証に代表される生体認証が広まりつつあるのが現状だ。だが、ID・パスワードは利用者側から見れば面倒なパスワード管理を強いられ、管理者側から見れば認証情報の保管や管理が求められる。セキュリティトークンはハードウェアやソフトウェアコストが発生し、生体認証もデバイスの追加に伴うコスト増が両者に生まれ、管理者側にはID・パスワードと同じように情報管理の負担につながってしまう。これらの課題を一挙に解決するのがMIRACLの次世代認証プラットフォーム「MIRACL Trust ZFA」である。
楕円曲線上の離散対数問題を安全性の根拠とする公開鍵暗号の一種「楕円曲線暗号」を利用し、認証サーバ側に用意した分散型鍵生成局(Distributed Trust Authorities)で秘密鍵を生成し、その断片を分割してユーザーのウェブブラウザやアプリケーションに送信して、PIN(暗証番号)やソフトウェアトークン、位置情報など複数の情報により「鍵」を再構築する仕組みだ。その結果、情報漏洩リスクの大幅な軽減や、利用環境に応じた認証強化といったセキュリティ面の利点に加えて、導入、運用の低コスト化や短期間導入の実現、拡張性の担保など多くの長所を備えている。実際は約10年前にも楕円曲線暗号を利用するアイデアは存在したが、分散型鍵生成局という仕組みを独自に開発することにより現在に至ったという。MIRACLはZFAソリューションを「翌日から100万人の認証を実現するソリューション」(MIRACL 日本代表 岡村一久氏)と語る。
そもそもMIRACLは英国ロンドンを本部に、RSAやMcAfeeといった職歴を持つBraian Spector氏、楕円曲線とペアリング暗号理論の第一人者であるMike Scott博士の両氏が起業したインターネットサイバーセキュリティ企業である。NTTドコモ・ベンチャーズや三井物産などが出資者として名を連ねている関係から、日本から集まる注目度を踏まえて日本法人を設立した。その背景には米国立標準技術研究所(NIST)によるSMSを利用した2段階認証の脆弱(ぜいじゃく)性を踏まえた代替案への移行促進や、今後大幅に増大するIoTデバイス向け認証方式の必要性など、新たな認証方式が市場から求められていることが大きい。
これまでの認証・暗号システムは認証局が発行した証明書と公開鍵を利用し、証明書に対応する秘密鍵を作成する。この場合、秘密鍵が漏洩した場合は認証局に対する廃棄処理が必要になるなど、管理側も利用する側も負担が発生してしまう。ZFAソリューションの場合は認証サーバ側には1つの鍵のみを保存するため負担が軽く、さらに分散型鍵生成局(D-TA)では鍵を分割した状態でサーバ・クライアント間で自動的に送信するため人が介在せず、システム管理者も内容を把握する必要がない。「従来の(証明書などを)配る・管理するプロセスから解放」(岡村氏)された結果、ヒューマンエラーも発生せず、前述した各種利点が生まれるのだ。「三井物産系セキュリティコンサルタント会社の代表に本ソリューションを紹介したところ、『ZFAはゲームチェンジャーだ』と評価された」(岡村氏)という。
さらにサーバ・クライアント間はチャレンジ&レスポンス型を用いるものの、その間ではサーバが乱数値を自動生成、送信し、その値とクライアントの秘密鍵などによる楕円曲線演算の結果をサーバに送信。計算結果とサーバ鍵などによるペアリング演算を行い、認証を判断する。仮にパケットスニッフィングで一部の数値が盗み出されても鍵を復元できず、ユーザーが利用するデバイス側にも完全な認証情報は保存されないため、セキュリティリスクも低い。これらの仕組みを「人を排除して自動化によるシンプル化がMIRACLの哲学だ」と岡村氏は説明する。
また、認証要素はスマートフォンに用いるSIMカードやICカード、生体認証など多岐にわたる。例えばデバイスの利用を社内に制限する場合、ビーコンを社内に設置してその範囲内で動作する仕組みや、GPSを用いた位置情報も利用できるため、「多様な需要に応えたセキュリティ強化も(ZFAソリューションが備える)特徴の1つ」(MIRACL シニアセールスエンジニア 尾崎裕氏)だ。とある大手カードサービス企業にZFAソリューションを紹介した際も「『非常にユニークだ』との声を頂いた」(岡村氏)という。
既にZFAはNTTソフトウェアの「TrustBind MFA」、Dimension Dataの「secuclick」といった製品・サービスに組み込まれている。また、英国行政サービスのSIおよびサービスプロバイダーとして展開しているExprerianなど、現在MIRACLと契約を終結しているグローバルパートナーは4社で、EU最大のテレコム企業からのサービス準備や米国での展開を予定しつつ、さらに協業や展開を拡大させていく。MIRACLはNTT研究所と機能拡張を目指した共同開発推進を行いつつ、ZFAソリューション自体はOSS(オープンソースソフトウェア)を組み合わせており、自身も「Milagro」としてApacheソフトウェア財団のOSSコミュニティ上で公開中。「自分たちで(ZFAのような)サービスを組んだシステム提供も可能。我々は信頼できる運営者としてサービスを提供する」(岡村氏)という。
競合についてMIRACLに訪ねたところ、「利用者の使いやすさと管理者の負担を減らすのがポイント」(尾崎氏)と、現時点ではいないと回答。今後はSDKによる基幹システムとの統合や、SAML(Security Assertion Markup Language)を利用したクラウドサービスへのSSO(シングルサインオン)、RadiusによるVPN接続の認証など各種サービスの実現や、多要素認証をSaaSプラットフォームとして提供することを目指す。岡村氏は「僕は古い人間だから自分の情報を(他者に)預けることに抵抗がある。だからこそ『システム管理者がデータの内容を知らずに済む』ZFAのようなソリューションがベスト」と述べている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス