クライアント証明書で接続可能端末を制限
認証用機器なしで「2要素認証」も実現

ユーザの利便性を損なうことなくセキュアな認証環境が構築できる、パスロジの認証プラットフォーム「PassLogic」。2017年5月18日に予定されている「Ver.3.0.0」アップデートでは、さらなる新機能の追加が行われます。そこで、新機能のひとつである「クライアント証明書による端末制限」の開発を担当したパスロジ 技術部 の大力慶祐氏に、機能概要やメリット、使用されている技術について伺いました。
PassLogic製品紹介ページ

認証用機器なしで「2要素認証」が行えるPassLogic

一般的な認証手段として使われているパスワードは、本人の持つ知識によって確認する「I Know 認証」に分類されます。これにICカードや指紋・静脈など、本人の所有物や身体的特徴で確認する「I Have 認証」を組み合わせてセキュリティ強度を高める手法が「2要素認証」です。
PassLogicは、独自技術の「パスロジック方式」で「I Know認証」によるトークンレス・ワンタイムパスワードを実現し、認証強化が可能です。
さらに高度なセキュリティレベルを確保するために、「I Have認証」の要素を追加し、2要素認証が実現できます。この認証要素の追加には、ICカード&リーダーや生体認証用機器などの認証用機器が必要ありません。

「PKI」を利用した、よりセキュアな端末認証

認証の基本的な目的は「誰が」システムにアクセスするのかを確認する「本人認証」です。ただし、ビジネスにおける業務システムへの認証においては「何を使って」アクセスするのかを確認する「端末認証」も重要になります。今回紹介する機能は2要素認証と端末認証を同時に実現します。
大力氏は「端末認証を行う方法としては、たとえばウェブブラウザ経由で端末内に保存した『クッキー(Cookie)』を基に認証を行う手法が知られています。このクッキーは、標準のウェブブラウザさえあれば特定ソフトウェアなどのインストールが不要で手軽に使える反面、コピーや偽造、削除などが簡単にできてしまうというデメリットがあります。そこで、よりセキュアな端末認証手段として用いられているのが、『PKI(公開鍵基盤:Public Key Infrastructure)』によって発行された『電子証明書』を利用する方式です」と語ります。

電子署名により電子証明書の正当性を確認するPKI

大力氏は「PKIは、『認証局(CA:Certification Authority)』が発行したクライアント向けの電子証明書『クライアント証明書』を端末にインストールしておき、アクセス時に認証サーバがそのクライアント証明書の正当性を確認することで認証を行います。クライアント証明書の中には『電子署名』が暗号化されて含まれており、この電子署名は認証局でしか署名することができません。これにより、対応する証明書がない端末からのアクセスを防げるのです。」と解説します。
PassLogicでは、このPKIの仕組みを利用することで、端末認証と、パスロジック方式ワンタイムパスワードとの組み合わせによる2要素認証が実現できるのです。

システム管理者によるクライアント証明書の発行や管理も簡単

それでは実際に、PassLogicでどのように「クライアント証明書による端末制限」を適用するのか見ていきましょう。
1:PassLogic管理面上で、必要事項を入力し、ルート証明書を発行。プライベート認証局を作成
※外部で発行したルート証明書のインストールも可能

PassLogic管理画面でルート証明書を発行

2:PassLogic管理画面から、ユーザにクライアント証明書を発行・配布
※すべてのユーザ共用の証明書にすることも可能

3:ユーザ端末に、クライアント証明書をインストール

4:認証時に、証明書の確認が行われるようになる。

という流れになります。
認証局の設置は、PassLogicの管理画面にあるポリシー設定から『PKI認証』のチェックボックスにチェックをするだけで、ルート証明書を発行できるようになります。クライアント証明書の発行も、『PKI設定状況』の『ルート証明書設定』から『インポート』もしくは『パラメータを入れて発行』を選ぶだけなのでとても簡単です。また各企業のセキュリティポリシーに応じて、1ユーザあたりの発行件数やダウンロード回数制限なども設定できます。
また、各自の端末からのアクセスのみに限定するためユーザごとに異なる証明書を発行する、逆に共有端末での作業を考えて全員に同じ証明書を発行する、といった使い分けも可能です。さらに、証明書管理では一括ダウンロードや失効時の削除なども簡単に行えます。

クライアント証明書の自動発行機能

証明書の配布に関しては、以下方法が用意されています。

1:メールでダウンロード用ページのURLおよびダウンロード&インストールキーを送付
2:1と同様の内容をプリントアウトして配布
3:システム管理者が直接端末にインストール
4:PassLogicサーバへの初回ログイン時に自動発行

「4」の自動発行機能について、大力氏は「たとえば企業内のAD(Active Directory)に登録済みながら、まだPassLogicには未登録のユーザがいたとします。このユーザがPassLogicにADのIDとパスワードでログインすると、PassLogic側で自動的にユーザが作成される『LDAP認証連携機能』が備わっています。これは管理者の手間を省き、ユーザの利便性も向上させる便利なものですが、一般のクライアント証明書発行機能では管理者が操作して電子証明書を発行していたため、自動作成されたユーザに発行できないということがありました。そこで新たに追加したのが、ユーザの作成時や初回ログイン時などに対する電子証明書の自動発行機能です。これにより、LDAP認証連携やCSVファイルでユーザの新規作成を行った際なども、手間なく電子証明書の発行が可能になります」と解説します。

大力氏には、アクセス端末の制限と、認証用機器なしでの2要素認証を実現する「クライアント証明書による端末制限」について、使用されている技術と自動配布機能についてお話しいただきました。
この機能以外にも、シングルサインオンや、トークンレス・ワンタイムパスワードによるWindows OSへの認証機能などを実装したPassLogic。製品スペックについては、下記の製品紹介ページをご参照ください。

【PassLogic Ver.3.0.0】「PassLogic for Windows Desktop」開発者インタビュー
PassLogic製品紹介ページ
パスロジ製品に関する資料請求・お問合せ