Windows端末へのサインインを

トークンレス・ワンタイムパスワード化する機能

「PassLogic for Windows Desktop」

企業においてセキュアかつ利便性の高い認証を実現する、パスロジの認証プラットフォーム「PassLogic」。2017年5月18日に予定されている「Ver.3.0.0」アップデートでは、さらなる新機能の追加が行われます。そこで、新機能のひとつである「PassLogic for Windows Desktop」の開発を担当したパスロジ 技術部 リーダー 仲民善氏に、機能概要やメリットなどを伺いました。
PassLogic製品紹介ページ

Windows OSへのサインイン時もセキュリティと利便性を両立

PassLogic for Windows Desktopは、企業内のAD(Active Directory)と連携し、Windows OSへのサインインにもPassLogicのトークンレス・ワンタイムパスワードを適用できる機能です。Windows端末の起動時、通常は固定パスワードでの認証を行いますが、それだけでは十分なセキュリティが確保できないと考える企業・団体が多くなってきました。同機能を使えば、端末起動時に12×4マスの乱数表が表示され、ハードウェアトークンなどの認証専用デバイスがなくても、パスロジック方式によるセキュアなワンタイムパスワードでの認証が可能となります。

■PassLogic for Windows Desktop導入後のサインイン画面

仲氏は認証の仕組みについて「クライアント端末に専用アプリをインストールすると、端末を起動して、Windows OSへの認証時にパスロジック方式の乱数表が表示されるようになります。その乱数表に基づいて入力されたパスワードについて、PassLogicサーバへアクセスして確認します。正しければ端末内に保存されたADの認証データをアプリが自動でADサーバへ送信、認証されればそのままサインインができるわけです。これにより、PassLogicのパスワード入力だけでドメイン環境へのアクセスが可能になるため、セキュリティ強度を上げつつも運用自体が変わらず、ユーザの利便性を損ないません。開発もマイクロソフト社から公開されている「Credential Provider」に沿って行ったので、Windowsの正式な認証動作から逸脱することはありません」と解説します。

乱数表の保存でオフライン認証にも対応

サインインにはPassLogicサーバへのアクセスが必要になるとのことですが、オフライン環境時はどうなるのでしょうか。
この点について仲氏は「もちろんオフライン時にもご利用いただけます。PassLogic for Windows Desktopでは認証成功時、最大1万件までの乱数表と正解のハッシュ値をクライアント端末内にAES-256bitで暗号化して保存します。オフラインの間はこの乱数表で認証判定を行い、オンライン状態での認証成功で再び乱数表が補充される仕組みです。もし悪意ある第三者が暗号化データの内容を復号できたとしても読み取れるデータは乱数表のみですから、セキュリティが破られることはありません」と語ります。
オフライン時の認証可能回数は、システム管理者が0~1万件までの間で任意に設定できます。なお、乱数表のデータサイズは1万件でもわずか820kBと極小なことに加え、初回以外は利用回数の差分のみを補充する形式となっているため、端末やネットワークにかかる負荷も最小限に抑えられます。

同じ端末を複数ユーザで共有することも可能

企業によっては、同じ端末を複数ユーザで共有利用しているようなケースもあると思います。こうした共有クライアント端末でもPassLogic for Windows Desktopが使えるのか、仲氏に伺ったところ「PassLogic for Windows Desktopは共有クライアント端末でも問題なく利用できます。サインイン時に『他のユーザ』から各自のユーザアカウントを選ぶという違いだけで、乱数表が表示されてからの操作は単一ユーザの場合と同じです。共有クライアント端末は、いつ誰が使用しているのか分かりづらいため、システム管理者として悩みの種でもあります。しかし、PassLogic for Windows Desktopを使えばPassLogicサーバ上で認証履歴が確認できるため、ログ管理も容易になりお勧めです」との回答をいただきました。

専用アプリのインストール方法は?

クライアント端末に専用アプリをインストールする方法ですが、こちらについては「インストーラは、クライアント端末用のMSIファイルとテキスト形式の設定ファイルで構成されています。これらが同一フォルダ内にある状態でMSIファイルを実行すると、専用アプリがインストールされる仕組みです。設定ファイルには認証の対象となるPassLogicサーバのURLなどが記載されています。オフライン時における認証可能回数の変更、『固定パスワード+乱数』の組み合わせを使用する、といった各種設定は、システム管理者がPassLogicサーバから行えます」と仲氏。
なお、専用アプリはインストーラからのみアンインストールが可能な仕様になっているとのこと。ファイルサーバでの共有やメール送付で各ユーザにインストールしてもらう方法もありますが、システム管理者がインストール後に端末を配布し、ユーザの手が届かないところにインストーラを保存しておくのがもっともセキュアな導入方法だそうです。

さらに利便性を高める機能拡張も予定

最後に今後の機能拡張予定を伺ったところ、仲氏は「どの端末からのログインかをサーバ上に記録する、サインイン時に乱数表を表示せずスマートフォンアプリ『パスクリップ』でパスワードを確認して認証を行う、Webブラウザ経由だけではなくWindows OSのサインイン画面でもシークレットパターンの変更が行えるようにする、といった機能を追加していく予定です」と語ってくれました。

このPassLogic for Windows Desktop機能により、社内ネットワークや業務用アプリへの認証のみならず、Windows端末への認証にも、セキュアかつ利便性の高い認証が利用可能となります。
専用機器を使用しないワンタイムパスワードを実現するPassLogic。他の機能など、製品スペックについては、下記の製品紹介ページをご参照ください。

PassLogic製品紹介ページ
パスロジ製品に関する資料請求・お問合せ