ネットワークの脅威と対策を一から学ぼう

正規のユーザーやPCを判断する認証製品

2009年10月28日 06時00分更新

文● 伊藤玄蕃

生体認証によるログイン機器

　生体認証（バイオメトリクス）は、指紋や静脈など、本人ごとに必ず異なっていて、かつ成長や老化によらず大きさ以外は生涯変わらない「生体パターン」により、個人を識別する仕組みを指す。本人に固有の情報を使うためセキュリティが高く、IDやパスワードを覚える必要がないといった利点があり、金融機関のATMでも採用されている。これをパソコンのログイン認証などに利用しようというわけだ。

　すでに多くの企業向けノートPCには指紋認証装置が標準装備されているし、それ以外にもUSB接続の装置が各種販売されている（写真1・2）。生体認証の一般的な仕組みは、あらかじめ生体情報（指紋など）をデジタルデータ化して^※2コンピュータに登録しておき、認証が必要な際に読み取り装置で読み取った生体情報と照合し、登録済のパターンと一致すれば認証OKとする、というものだ。生体認証には以下のような方式がある。

※2 デジタルデータ化して：　指紋や静脈パターンなどの生体情報はアナログ情報なので、コンピュータで比較処理を行なうには、読み取った情報をデジタルデータ化する必要がある。このデジタル化の処理ロジックも、認証システムの優劣を左右する要素である。

写真1　指紋認証に利用する装置

写真2　手のひらの静脈認証

指紋認証: 手指の指紋で識別
静脈認証: 手のひらや指先の皮膚下に青い筋として見える静脈の血管形状パターンで、個人を識別する
虹彩認証: 「虹彩」とは眼の瞳孔の外側にある環状の部分で、ここのしわのパターンで個人を識別する
顔認証: 人の顔の画像データから抽出したパターンで、個人を識別する
筆跡認証: サインを書く際の筆圧・字形・ペンの動き・スピード・書き順などのパターンで、個人を識別する

　「セキュリティが高い」とされる生体認証だが、実際には認証デバイスや生体の状態によっては、本人なのに認証されない、ということもある。また、廉価な製品では、精巧に作られたグミ指（ゼラチン製の人工指）などで認証してしまうことがある。そのため、本人を確実に識別するには、生体認証だけでなく、ICカードやパスワードとの併用で、ダブルチェックまたはトリプルチェックを行なうことが望ましい。

不正PCの検知・排除には3つの方法

　不正PCの検知・排除には、現時点で、おおむね3つの方法がある。

　まず、1番目の方法は、不正PC検知アプライアンスの設置である。不正PC検知アプライアンスは、スイッチのモニタポート^※3に接続するアプライアンスで、LAN内のすべてのARPパケットを受信し、あらかじめ登録された正規PCのアドレス（IPアドレスまたはMACアドレス）と一致しないアドレスを検知する機器である（図1）。不正PCを検知すると、管理者（管理コンソール端末）に不正PCの情報を通知すると同時に、偽装ARPパケットを送信して不正PCと同じIPアドレスを持つ別の機器があるかのような状態を作り出し、不正PCの通信を阻止する。

※3 モニタポート：　通常のスイッチはMACアドレス学習機能により、ブロードキャスト以外のフレームは特定のポートにしか流れない。しかし、分析や調査のため、スイッチ内を流れるパケットをすべて採取できるポートを備えた製品もあり、そのポートをモニタポートまたはモニタリングポートと呼ぶ。

図1　不正PC検知アプライアンスの動作

　2番目の方法は、認証スイッチによる検疫ネットワークだ。認証スイッチは、おなじみのL2スイッチにIEEE802.1xなどの端末認証機能を付加した機器で、RADIUSサーバなどの認証サーバと連動して、正規のPCから送受信されるパケットだけを通過させ、不正なPCから送受信されるパケットを遮断する。

　とはいえ、不正PC検知アプライアンスや認証スイッチは1台20万円前後と高価で、最低でもサブネット（ルータで区切られたセグメント＝ブロードキャストドメイン）ごとに１台ずつ設置しなければならないため、ネットワークが大規模になるほど投資額が大きくなる。

　最後の方法は、ネットワーク管理システムとインテリジェントスイッチの連動である。これは、まずインテリジェントスイッチに接続されたすべてのPCのMACアドレスを、ネットワーク管理システムがSNMPを用いて収集。そして登録されたPC（正規のPC）のものではないMACアドレスを割り出し、そのPCが接続されたインテリジェントスイッチのポートをSNMPで閉鎖する、という仕組みである。

（次ページ、「SIMなどのセキュリティ管理ツール」に続く）

前へ 1 2 3 次へ

ツイートする

カテゴリートップへ