BUSINESS CENTER / 特集 ASCII network PRO 2000年7月号
セキュリティパーフェクトガイド(その4)
2000年8月8日
認証・暗号化
認証・暗号化といえばセキュリティの基礎となる技術であり、ご存じの通り、さまざまなセキュリティ製品に実装されている。ここでは主にファイアウォールや電子メールソフトなどと組み合わせる認証・暗号化製品を中心にみていきたい。
ダイアルアップ認証の定番 RADIUSとワンタイムパスワード
通常、公衆回線やISDNといったWAN側からユーザーがネットワークにアクセスするためには、ユーザー認証の機能を持ったリモートアクセスサーバなどの機器が必要になる。確かに社内で閉じたユーザー認証であれば、ユーザー数からシステムを適切に設計し、管理を行なうことができるだろう。しかし、インターネットが普及し、個人や企業が安価にインターネットに接続できるようになった結果、ユーザー数は増大した。そのためユーザー認証システムに費やすコストと手間は膨大になってしまう。認証の処理やユーザー管理を一元的に行なう仕組みが必要になってきたのである。
こうしたリモートアクセスでのユーザー認証を行なうための仕組みとして一般的に普及しているのが、RADIUS(Remote Authentication Dial In User Service)である。RADIUSはLivingstone(現Lucent Technologies)が開発したダイヤルアップアクセスのための認証方式で、ユーザーデータベースを元にしたアクセスの許可/制御だけでなく、「アトリビュート」と呼ばれるさまざまな属性情報をクライアント/サーバ間で交換することで、利用時間制限を行なったり、接続の統計情報を集計することが可能だ。現在のISPのほとんどは、RADIUSを使ってユーザー認証と課金を行なっており、企業でのエクストラネットでの需要も高まっているといえる。
RADIUSの大きなメリットは、なんといってもリモートアクセスサーバ、ルータ、ファイアウォール、VPN製品など対応製品が多いことだ。最近では、個人向けのISDNルータなどにも実装されている。
さらに最近では、こうしたダイヤルアップ接続の認証などにワンタイムパスワードを使うことが増えてきた。ワンタイムパスワードは、一回のログインに対して「使い切りのパスワード」を生成するため、固定パスワードに比べ、はるかに高いセキュリティを実現する。「トークン」と呼ばれる装置を使って、一定間隔でランダムに発生する数桁の数字を生成し、これに個人に割り当てられた暗証番号(PIN)を足せば、そのときだけ有効というパスワードが生成できる。パスワードを盗聴されても、次回のログインにはすでに期限切れになっているわけである。商用製品ではRSAセキュリティの「SecurID」とSecure Computingの「SafeWord」が有名だ。
電子メールのセキュリティ OpenPGPとS/MIME
インターネット上では電子メールは平文で流れてしまうため、古くから盗聴や改ざんなどの危険性が指摘されている。現在、企業の多くが電話と同等、あるいはそれ以上に重要なメッセージ手段として電子メールを使っているが、メッセージは封筒に入っていないハガキの状態で世界を駆けめぐっているわけだ。
現在、電子メールに必要なセキュリティの要件としては、
- 送信相手にだけ内容がわかり、第三者に内容を知られないようにすること
- 本人が書いたことを証明すること
- 送信者が書いた内容が途中で改ざんされていないことを保証すること
- ニセの注文などを出すいたずらへの対策として、送信した事実と通信の内容をあとから否定できないようにすること
などが挙げられる。こうした要件を満たすため、過去にはいくつもメールのセキュリティ対策が考案されてきた。
実用技術では、IETFが標準化をてがけたPEM(Privacy Enhanced Mail)が挙げられるが、テキストデータしか扱えなかった点もあって、普及には至らなかったのが実状であった。そこでさまざまなデータを扱えるMIMEとPEMの統合の動きが始まった。この流れの延長にあるのが、現在、電子メールセキュリティの標準技術となっているS/MIMEとOpenPGPの2つである。
これらはいずれも共通鍵や公開鍵を用いて、メッセージの暗号化による盗聴防止や送信者の本人確認など前述した4つの要件を満たすよう設計されたテクノロジーである。両者が成立した歴史的な経緯や、詳細な技術解説は割愛させてもらうが、両者の根本的な違いは暗号化アルゴリズムより信頼性確立の手法の違いである。S/MIMEが第三者の認証局によって発行された証明書の利用を前提とするのに対して、OpenPGPでは個人と個人がそれぞれ認証を行ない、その「信用の輪」を広げるという相互認証のモデルが採用されている(ただし、鍵管理サーバを利用することも可能)。こうした点から、企業での利用では、大量の証明書の発行や管理が行なえるS/MIMEが向くとされている。
以下、RADIUS、ワンタイムパスワード、メール暗号化システムの代表的な製品を紹介していく。
(池田圭一、編集部)
Contents...
| ![ASCII24 - [Main Menu]](/images/2005/biz_menu_01.gif)
![[Menu 2]](/images/2005/biz_menu_02_blogmag.gif)
![[PR]](/images/2003/pr_icon.gif){kind=icon}
![[次ページ]](/images/nextpage.gif){kind=small}
