安全性と利便性の対立するパスワード問題

シー・エス・イーの主力製品の1つが「SECUREMATRIX(セキュアマトリクス)」だ。1度限りで使えなくなるワンタイムパスワードを手軽に活用するためのソリューションで、2003年に発売されて以来、高い安全性と簡便な利用方法を特徴に、ユーザーを増やしてきた。

阿久津茂郎 - シー・エス・イー ICT本部 事業企画部 マーケティング課 課長。シー・エス・イーがセキュリティに本格的に取り組み始めた1997年に入社。出向先でソフォスのローカライズに携わる。現在はSECUREMATRIXのマーケティングに取り組んでいる

「よく、開発元はどこですか、SECUREMATRIX社というのがアメリカあたりにあるんでしょう、と聞かれるのですが、シー・エス・イーの自社開発です。海外で実績のある製品に見えるのだとしたら、うれしいことですね」と阿久津氏は笑う。

近年、企業が情報漏洩の防止やシステムの安全性確保のためにパスワードに気を遣うようになっている。桁数が増え、指定が複雑化し、頻繁な変更を要求していることも少なくない。

「大文字と小文字と数字を組み合わせて、辞書に載っていない言葉で12桁以上のものを作りなさい、それを毎月変更しなさい、と言われてもユーザーは不便になるばかりです。覚えられず、メモをとって貼っておく、という本末転倒な事態にもなりかねません」と阿久津氏は指摘する。しかし、簡単なパスワードを長く使うという、ユーザーにとって楽な方法では安全性が確保しがたいのも確かだ。

画面内のパネルを「形」で使うワンタイムパスワード

そこで注目を集めるのが、ワンタイムパスワードだ。

特に金融機関のオンラインバンキングなどで古くから採用されてきたワンタイムパスワードは、利用期限を極端に短く区切り、1回限りの利用とすることでパスワードの漏洩による不正アクセスを防ぐ。安全性は確かに高いのだが、ワンタイムパスワードを生成する方法に問題がある。

「多くは、あらかじめ用意された乱数表から指定欄の数値を入力するタイプや、トークンの液晶に表示されるパスワードを入力するタイプです。つまり、何かしら物体を必要とするわけですが、紛失時の再発行の問題もありますし、モバイルアクセス時の利便性も低いのが問題です」(阿久津氏)

外出先からモバイル端末で社内メールなどを確認したいという要望が多くなっている今、荷物を持ちながら片手にはパスワードを示すものを持ち、もう片手で端末にパスワードを入力するという状況が容易に想像できる。いかにも不便で、電車内などでのシーンを想像すると、つり革につかまることもできずに危険だという考え方もある。

手軽に安全性を確保したい。ワンタイムパスワードを手軽に使いたい。そうした要望を満たしてくれるのが「SECUREMATRIX」だ。

画面上に表示される文字パネルの中から、自分があらかじめ定めた順に文字を拾ってパスワードにする。ユーザーが覚えておかなければならないのは、文字列を拾う順を示す「形」だけだ。

たとえば、左上から右下に向かって一番下の列まで進み、そこから右上に向かって最上列まで進む、というV字型を設定し、覚える。表示される文字パネルの内容は毎回違うが、ユーザーは毎回同じようにV字をたどって文字を拾うだけで良い。ワンタイムパスワードでありながら、覚えるものは1つだけ、しかも長期間覚えやすい形を使い続けることができる。そして、画面内で完結しているため紛失や再発行のリスクはなく、モバイルアクセス時も利便性が高い。

「昨年は新型インフルエンザの問題などもあり、オフィスに出勤せずに業務を行うということについて改めて考えた企業が数多くありました。外部から安全に情報を参照するにはどうしたら良いのか、どういう方法ならばユーザーの負担にもならず、企業としてコストもかからず、セキュリティを担保できるのかということを考えた時に、採用していただけることが多いですね」(阿久津氏)

導入ユーザーが語る「トークンなし方式で最も洗練された方式」

実際に「SECUREMATRIX」を活用しているうちの1社が、毎日コミュニケーションズだ。外部から社内ポータルへのアクセス時にワンタイムパスワードを導入しようと考え、数ある製品の中から「SECUREMATRIX」を採用した。導入の決め手となったのは、ワンタイムパスワード発行のためにユーザーに「物」を配布する必要がないことだったという。

「トークンは広く配布するにはコストが高く、紛失する危険性もあります。中途退職者からきちんと回収しなければなりませんし、再発行の手間もかかります。そのため、トークン方式は早々に検討対象から外しました。トークンを使わない方式の中でワンタイムパスワードを利用できるソリューションを探し、最も洗練されていたのがSECUREMATRIXだったというわけです。出会いはネットか雑誌の広告で見かけたのだと思いますが、これだと思いましたね」と語るのは、毎日コミュニケーションズ システム統括本部 業務システム統括部の部長である薄井照丈氏だ。

6月30日開催の「ジャーナルITサミット~20102010Webセキュリティセミナー」では、薄井氏が実際に使われている現場ではどのようなポイントが特に便利なのか、運用する上でのコツやユーザーの反応はどうなのかといった利用者ならではの体験を語る。また、近く新バージョンがリリースされる「SECUREMATRIX」についても、新たな機能についての解説や、具体的な活用方法の紹介が行われる予定だ。ユーザーの求める手軽さと、企業の求めるコスト感、システムが必要とする安全性の全てを並び立たせる「SECUREMATRIX」の詳細に興味のある方は、ぜひ足を運んで欲しい。