二要素認証の使用 - InterSystems

インターシステムズ ホワイトペーパ
二要素認証の使用
著者:
インターシステムズ コーポレーション、
主席プロダクト マネージャ
Andreas Dieckow
二要素認証の使用
はじめに
アプリケーションのセキュリティを担当する管理者が、パスワー
二要素認証でのハードウェアと
ソフトウェア
ド設定を任された場合、ランダムな記号の長い複雑な文字列が
専用デバイスは、ハードウェアを使った二要素認証の一例です。
使われ、さらにユーザは使用するアプリケーションごとに異なる
「ユーザが持っているもの」 (専用デバイス) は、さらなるセキュ
パスワードを覚えなければならないでしょう。しかし、現実にその
リティ要素を提供する目的のためだけの物理的なものです。
ような優れた記憶力を持つ人はほとんどいません。一般的な
ユーザは、いくつかの比較的短いパスワードしか記憶できない
のです。
本ホワイト ペーパでは、ソフトウェアを使った二要素認証につ
いて説明します。この場合、「ユーザが持っているもの」とは、
(その他多くの機能の中でも) ソフトウェアを実行できるある種の
そのため、二要素認証を要求するアプリケーションが増えてい
スマート デバイスのことです。ユーザは、アクセス対象のアプリ
ます。パスワード (ユーザが知っていること) の入力を求めるこ
ケーションにログオンする際に自分のスマート デバイスから
とに加えて、デバイス (ユーザが持っているもの) からリアルタ
トークンを受け取り、それを入力してアクセス権を得ます。
イムで提供される追加のパスワードの入力を求めるようアプリ
ケーションを構成できます。つまり、二要素認証は、アプリケー
ションにログオンしようとしている人が実際に本人であることを
保証するための追加レイヤを提供します。
ハードウェアを使うのではなく、ソフトウェアを使った二要素認証
を利用する傾向が高まっています。その理由の 1 つは、単に
利便性です。
多くの人が、トークン生成機能を備えたアプリケーションを実行
本ホワイト ペーパでは、インターシステムズがすべての自社製
できる携帯電話などのスマート デバイスを所有しています。そ
品でどのように二要素認証をサポートしているかについて概要
のため、二要素認証プロセスを支援する目的でのみ使用する
を示します。
「データ処理能力のない」デバイスを同時に持ち歩く必要があり
ません。
二要素認証とは
また、物理的なセキュリティ上の利点もあります。人々は携帯電
話に依存する傾向があることから、紛失するとすぐに気付くため
二要素認証を使用すると、ユーザには A) 「ユーザが知ってい
です。一方、専用デバイスの場合、おそらくユーザは実際に使
ること」と、B) 「ユーザが持っているもの」に基づいて、アプリ
用する必要があるまで置き忘れたことに気付かないでしょう。悪
ケーションへのアクセス権が付与されます。おそらく最も身近な
意のある攻撃を受ける可能性は、ソフトウェアを使った二要素
二要素認証の実装は、銀行の ATM システムでしょう。この場
認証を使用する場合の方がはるかに低くなります。
合、「ユーザが持っているもの」とは キャッシュカードに当たり、
「ユーザが知っていること」とは暗証番号に当たります。ただし、
ATM システムは、ユーザのカードを読み取ることができる物理
的な ATM 機器が必要であるため使用が制限されます。
ほかにも、ソフトウェアを使った二要素認証を使用する利点とし
て、スマート デバイスが複数の共有秘密鍵を保持できることが
挙げられます。そのため、異なる秘密鍵を使用して、さまざまな
アプリケーションを構成できます。万一いずれかの秘密鍵が漏
二要素認証の別の例として、専用デバイス (RSA デバイスな
洩しても、保護されたアプリケーションの1つが危険にさらされる
ど) の使用が挙げられます。保護されたアプリケーションにログ
だけで済みます。
オンする場合、ユーザは、パスワード (ユーザが知っているこ
と) と専用デバイス (ユーザが持っているもの) から提供される
トークンの両方を求められます。専用デバイスでは、暗号化ハッ
シュ関数を使用して秘密鍵と現在の時間を組み合わせることで
トークンが生成されます。その秘密鍵は、専用デバイスとアプリ
ケーションへのアクセス権を付与するサーバ間で共有されるた
め、サーバはトークンを検証できます。
インターシステムズでの二要素認証の
サポート
インターシステムズでは、ソフトウェアを使った二要素認証を
実装するうえで「ショート メッセージ サービス (SMS)の使用」
と「時間ベースのワンタイム パスワード (TOTP)」の 2 つの
手法をサポートしています。エンド ユーザは両方のメカニズ
ムを使用するよう構成できますが、一度に有効にできるのは
1 つだけです。
TOTP サポート
インターシステムズの TOTP サポートでは、時間によるワンタ
イム パスワードを生成するため RFC 6238 標準規格を実装し
ます。二要素認証に TOTP の手法を使用するには、第一に
ユーザが認証デバイスまたは同じ標準規格を実装するアプリ
ケーションを使用している必要があります。例えば、ユーザは携
帯電話で次のアプリケーションのいずれかを使用することがあ
るかもしれません。
 Google Authenticator (Android、Blackberry、または
iPhone 用)
SMS の使用
 DuoMobile (Android または iPhone 用)
SMS を使った二要素認証を使用する場合、トークンを含むテキ
スト メッセージがユーザのスマート デバイスに送信されます。
この手法の利点は、ユーザへの提供が比較的容易であるという
点です。システムに追加する際の要件は、ユーザがテキスト
メッセージの送信先となる電話番号か電子メール アドレスを提
 Amazon AWS MFA (Android 用)
 Authenticator (Windows Phone 7 用)
認証ソフトウェアがダウンロードされると、ユーザは次の 3 つ
の情報を入力する必要があります。
供することなどが挙げられます。
一方、SMS を使った二要素認証の欠点は、認証プロセスが機
能するうえで、ユーザが携帯電話の電波を受信できる必要があ
 発行元: 鍵を発行するアプリケーションの名称 (インターシス
テムズ製品に基づくアプリケーションの場合、これは Caché
のインスタンスとなります。)
ることです。
電波の届かない場所や、携帯電話の使用が許可されていない
 アカウント: ユーザのアカウント名
(あるいは、ブロックされている) 場所では、ユーザは保護され
 共有鍵: Caché によって生成された、Base 32 でエンコード
たアプリケーションにアクセスできません。
されたランダムなビット値文字列
この情報を共有するうえで最も安全な方法は、ユーザに直接ま
時間を使ったワンタイム パスワード
(TOTP)
たは電話で情報を提供して、ユーザに手動で入力させるように
二要素認証の実装において、「時間を使ったワンタイム パス
プリケーションに対して認証を行う必要がある場合には、面倒で
ワード (TOTP)」を使用するアプローチの人気が高まっていま
ミスが発生しやすくなります。
す。TOTP は、HMAC(Hash-based Message Authentication
便宜上、Caché では、情報を入力するためにユーザがスキャ
Code)の一例であり、専用デバイスと同等の機能を提供するソ
ンできる QR コードが生成されます。QR コードを利用すること
フトウェアを使った手法です。TOTP 手法を使用すると、アプリ
で多くの人に提供することが容易になりますが、QR コードはセ
ケーション サーバとユーザのスマート デバイスで実行されて
キュリティで保護されるチャネルと同じチャネルで伝送されない
いるアプリケーション間で一意の秘密鍵が共有されます。ユー
ので注意が必要です。
する方法です。しかし、そのプロセスは、特に多くのユーザがア
ザのログオン時に、アプリケーションがその秘密鍵と時間でトー
クンを生成します。秘密鍵はアプリケーション サーバとユーザ
のスマート デバイスの両方で共有されているため、同じトーク
ンが生成されることになります。
結論
二要素認証によって、ユーザが本人であることのより確実な保
TOTP を使用する利点は、ユーザ自身をアプリケーションに対
証が得られます。インターシステムズでは、すべての自社製品
して認証するうえで、ユーザが携帯電話の電波を必要としない
に対して SMS ベースの二要素認証と TOTP による二要素
ことが挙げられます。一方、欠点は、ユーザの携帯電話で実行
認証の両方をサポートしています。
されているアプリケーションに秘密鍵をダウンロードする必要が
あるため、その提供が課題となる可能性があることです。
二要素認証の使用
インターシステムズ・ホワイトペーパ
インターシステムズジャパン株式会社
〒160-0023
東京都新宿区西新宿 6-10-1
日土地西新宿ビル 15F
Tel: 03-5321-6200(代)
Fax:03-5321-6209
InterSystems.com/jp/
InterSystems Caché は、米国インターシステムズ社およびその子会社の登録商標です。
その他製品は、当該各社の商標または登録商標です。 Copyright © 2015 InterSystems Corporation. All rights reserved. 7-15