CA Technologiesは強化認証、情報漏えい、アクセスコントロール、フェデレーションサービスなど、さまざまなID管理製品を展開している。パスワード認証やハードウェアトークンの限界を克服するArcotIDを担当するラム・パラダラジャン氏に話を聞いた
秘密鍵を安全に格納できるソフトウェアトークン
ArcotIDは、CA Technologiesの多要素認証方式で、CA Arcot WebFortというWebサービス用のセキュリティソフトに組み込まれている。このCA Arcot WebFortは、2010年にCA Technologiesが買収したアルコットシステムズの製品をベースにしており、今回話を伺ったCA Technologiesのラム・パラダラジャン氏はアルコットシステムズの共同創設者兼CEOを務めていた。
CA Technologies CA Arcot セキュリティ・ソリューション担当 ジェネラル・マネージャ ラム・パラダラジャン氏
CA Arcot WebFortではパスワード認証、OATHトークン、セキュリティQ&A、SMS/メール/音声によるOTP(OneTime Password)などさまざまな認証方式をサポートしているが、ArcotIDは独自技術でより高いセキュリティを実現する。
パスワード認証よりも強固なセキュリティを誇るハードウェアトークンは、多要素認証などで用いられ、認証に用いる秘密鍵をUSBトークンやスマートカードなどに格納する。しかし、「対象の人数が少なければよいが、人数が増えるとコストもかかる。ハードウェアの故障もあり、管理も大変だ」(パラダラジャン氏)という弱点が存在する。これに対して、ArcotIDは「Cryptographic Camouflage」という特許技術で、PKIなどで用いられる秘密鍵をソフトウェアに格納することができるという。
通常、攻撃者はパスワードを解読するために、まずパスワードの部分を抽出し、総当たり攻撃でパターンマッチングをかける。秘密鍵は16進数で初めと終わりがそれぞれ1なので、たとえ暗号化されてても、どのからがパスワードで、どこからパターンマッチングを行なえばよいかわかってしまう。
Cryptographic Camouflageによる秘密鍵のカモフラージュ
これに対して、Cryptographic Camouflageでは特定のアルゴリズムで、すべてを秘密鍵のようなパターンで登録し、本物の秘密鍵を隠ぺいしてしまう。「間違った鍵を取得するとアラートが挙がる」(パラダラジャン氏)とのことで、まさに暗号のカモフラージュするのだ。秘密鍵を安全に格納できるArcotIDは、PKIやSSLの開発者からも、高い評価を得ているという。
不特定多数のユーザーに向けた意識されない認証
シンプルながら強力なこのArcotIDのアイデアは特許技術となっており、他社では提供できないという。PCやスマートデバイスなどに組み込むことができ、Webポータル、VPNの認証、アプリケーションログインなど、幅広い場面で利用することも可能だ。また、「ハードウェアトークンよりも価格を下げることができるし、ソフトウェアなので配布やリプレースのコストもかからない」(パラダラジャン氏)というメリットも大きい。
そして、最大の特徴は、ユーザーが意識しない限り透過的に利用できる点だという。「ユーザーにとって特別な操作は不要だ。セキリティを確保するために、ユーザーの使い勝手に無理を強いる方法ではない」(パラダラジャン氏)。
こうしたメリットは、ITのコンシューマライゼーションやサービス化という流れで特に重視されるポイントだという。「以前のIT部門は社員だけを管理していればよかったが、今や一般消費者までがITサービスの対象になっている。たとえば、銀行は預金者に安全にオンラインバンクを使ってもらう必要がある」(パラダラジャン氏)。すでにオンラインバンクではOTPトークンなどを利用しているところもあるが、ソフトウェアベースのArcotIDであればコストは下げられ、しかも違和感なく利用できるという。
金融や証券会社、病院など、導入企業の業種は幅広く、グローバルでのユーザーはすでに1万4000社、エンドユーザーまで含めるとユーザーはすでに1億5000万を超えるという。すでに数百万のコンシューマログインをArcotIDで提供しているオンラインバンクもあるとのことで、実績も高い。
日本では昨年の東日本大震災以降、ノートPCやトークンなどのハードウェアに依存しない認証方式として注目を集めているほか、Google Appsなどのアプリケーションをモバイル環境で利用するための認証としての関心も高いという。また、2月9日には、NECとの協業も発表され、NECのID管理ソリューション「NC7000-3A」、モバイル向けセキュリティソリューション「NEC Mobile Security」にArcotIDが統合されることになった。スマートモバイルデバイスの活用を図るサービスプロバイダーなどをターゲットにしており、グローバルでの展開も進めていくという。
