情報セキュリティで考える基本的な対策

近年、情報漏えいなどのインシデントについて報じられることが多くなりました。

そこで多くのセキュリティ・ソリューションが出てきており、ユーザーとしては何から手を付けてるべきなのかよくわからないのではないかと思います。

そこで、どのようなことを対策として考えればいいか考察してみます。 “情報セキュリティで考える基本的な対策” の続きを読む

【コラム】ワンタイムパスワード(OTP)について

当社の取扱製品ではないのだが、Mi-Tokenというワンタイムパスワード(OTP)製品を知る機会があったので紹介したい。 

IT業界でワンタイムパスワード(OTP)と言えば、まず思い出すのが RSA SecurID® ではないだろうか。Wikipedia によると、「RSA SecurIDは現在、二要素認証市場の70%を占め(出展:IDC)、2500万個以上のトークンがこれまでに生産されている」らしい。発売当初、ワンタイムパスワードは、ハードウェアトークンの形で提供されていたが、現在は、RSA に限らず、どのOTP ベンダーもソフトウェアトークンも提供している。 

SecurID が発明されたのは1986年ということだから、OTP は、意外にも随分と前から世の中に出回っている。企業向けとしては、社外から社内へのリモートアクセスに多く使われ、一般消費者向けとしては、インターネットバンキングなどの認証に使われている。RSA SecurIDの一番の競合と言えば、VASCO の DigiPass である。一般的には、VASCO は、価格がリーズナブルだということで、最近、普及が広がっている。

これらの二大 OTPベンダーの業界における地位は揺るぎないと考えられるが、近年、OATH(Open Authentication)というオープンな認証規格をベースにしたOTP製品が多くリリースされていて、機能・コスト面での競争も激しくなって来ているらしい。

Mi-Token もOATHに参加している OTPベンダーの一社で、ハードウェアトークンやソフトウェアトークンだけではなく、他社製品のトークンも管理できるソフトウェアを提供している。本社は米国にある。最初の製品は、オーストラリアの銀行向けに2005年に開発された。それ以降も製品開発は継続され、2009年に Mi-Token Inc. という独立した会社としてスピンアウトした。

Mi-Token で管理できるトークンの種類

Mi-Token はトークンを販売する会社ではなく、トークン管理をする会社として自分達をポジショニングしている。自社ブランドのハードウェアトークンも提供はしているが、OATH準拠のものであれば、他社製のトークンも管理できるソリューションになっている。また、ソフトウェアトークンは無償で提供される。モバイルソフトウェアトークンは、iOS はもちろん、Android, Windows Mobile, Java をサポートしている。

Mi-Token管理ソフトウェアの3エディション

Enterprise Edition: 企業内利用を目的としているエディション。ユーザー管理はActive Directoryで行うことが前提。SSL VPNなどのリモートアクセスや、社内アプリケーション(OWA、SharePoint)に対応。インストールも簡単で、1時間もあれば、設定まで終わることができる。 

API & Cloud Services Edition: クラウドサービスなどで提供されるアプリケーションにワンタイムパスワード認証を組み込むためのエディション。APIを提供。 

Banking Edition: インターネットバンキングなど銀行業務に必要なセキュリティ機能を装備。FIPS 140-2 Level 3認証済み。100万人ユーザーでの利用実績あり。 

Mi-Tokenの特長

次の三点に絞られるだろう。

  • 従来のOTPソリューションに比べ低価格 
  • 最新技術を使って製品開発されているため、インストール・設定が簡単、お客様のニーズにも柔軟に対応しやすい。
  • API、SAML経由での他アプリケーションとの連携が簡単

以下の図のように、従来のOTPベンダーよりも10分の1のコスト、6分の1の時間で、本当に導入できるかどうかは、お客様の要件等にもよるだろう。しかしながら、1986年に初めて世に出てきたOTPという認証技術が今でも進化し続け、低コストを実現しているだけでなく機能面も優れている製品として、新しく生まれて来たということは興味深い。

# # #

記載の会社名、製品名等は、各社の登録商標または商標です。