使い方しだいではまだまだ利用価値がある「固定パスワード」
パスロジは、独自開発のワンタイムパスワード製品「PassLogic(パスロジック)」を中心に認証ソリューションを提供する企業。PassLogicは、ユーザーが「マス目の並び」を記憶し、認証の際に表示される乱数表から記憶しているマス目の並びに沿って文字を抜き出してパスワードを判別し、それを入力することで、ログインするというもの。
パスロジ株式会社 代表取締役社長 小川 秀治氏
認証のたびに乱数表が自動的にランダムに切り替わるために、ユーザーが決めた同じマス目の並びから文字を抜き出しても、結果的に毎回異なるパスワードが生成される。この仕組みにより、パスワード漏えいに起因するセキュリティリスクを排除できるという。さらに、トークンなどの認証機器を使用しないため、ユーザーの持ち運びの負担、管理者の管理負担と、ハードウェアの経費負担が軽減される。
PassLogicは既に国内で200社以上、107万IDで使われている実績があり、小川氏によれば「PassLogicを“I Have”認証と組み合わせることで、ログインハッキングはほぼ完全にシャットアウトできる」という。ただし、こうしたワンタイムパスワードの仕組みを導入せずとも、たとえ旧来の固定パスワードでも運用のやり方しだいではまだ十分に利用価値があるとも同氏は述べる。
「セキュリティ専門家の間では、『もはや固定パスワードでセキュリティを担保するのは無理』という認識が定着しつつあるようですが、ここではあえて『固定パスワードの使い方をあらためて見直してみませんか?』と提案してみたいと思います」
確かにワンタイムパスワードを導入すればセキュリティレベルは上がるが、その分ユーザーの利便性は低下する。であれば、「セキュリティ要件が特段高くない場合は、このまま固定パスワードを安全に使い続ける方法を模索するのも手ではないか」と同氏は提言する。
「固定パスワードには、それ以外の方法にはない優れた点も多々あります。そこで、固定パスワードのいいところはそのまま残しつつ、同時に弱点をカバーできる技術を開発しました。これによって、固定パスワードをこれからもどんどん使い倒していくことが可能になりました」
固定パスワードの安全かつ効率的な運用を可能にする「パスクリップ」
固定パスワードを運用する際、「定期的にパスワードを変更する」「サイトごとに異なるパスワードを使う」といったルールをユーザーに強いると、覚えやすい(よって類推されやすい)単純な文字列のパスワードが使われるか、あるいは付箋紙にパスワードをメモしてすぐ見えるところに貼っておくといったような、杜撰な運用にどうしても陥りがちだ。
こうした課題を解決するためにパスロジが提供するのが、「パスクリップ」という無料ダウンロードのスマホアプリ。これは一言で言えば、パスワードを安全かつ効率よく管理するためのパスワード管理システムやパスワードリマインダーの一種だが、同社がPassLogicで培った独自技術の数々が生かされているという。
出所:パスロジ株式会社 Security Online Day 2016 講演資料より[クリックすると図が拡大します]
具体的には、ユーザーはパスクリップを利用開始する際にPassLogicと同じくマス目の並びのパターンを指定する。そして、各システムのパスワードをパスクリップに登録していく。新しいパスワードを作る場合は、パスクリップに自動生成させてもよい。
システムへのログイン時には、ユーザーはパスクリップ上でパスワードを参照する。その表示形式は、ビンゴカードに似せた5×5のマス目に、ダミーを含めた文字が表示される。ユーザー自身が決めた並びパターンに沿って文字を抜き出すと、正しいパスワードが判別できるという仕組みだ。パスクリップは認証を行うシステムやサイト、アプリケーションごとに異なるビンゴカードを表示する。そのため、ユーザーは一通りのマス目の並びを覚えておくだけで、結果的に異なるサイトやシステムごとに別々のパスワードを記憶・入力できるようになる。
サイトごとのパスワードは基本的には固定パスワードだが、サイトと連携することで、パスワードを自動的に変更する機能も備えている。認証時に表示されるビンゴカード内の文字をシステムが定期的に、かつ自動的に変更することで、ユーザーは一貫して同じマス目の並びを指定していても、結果的には異なるパスワードに定期的に切り替わるようになる。この機能を、サイトやシステム側でパスワードを管理する仕組みと連動さることで、ユーザーに余計な負担を掛けることなく、パスワードを定期的に変更する運用が可能になる。
「パスワードを定期的に変更する運用は、ユーザーにもシステム管理者にも大きな負担を強います。しかしパスクリップならユーザーは毎回新たなパスワードを記憶し直す必要はなくなりますし、パスワードの定期的な変更をシステムが自動処理してくれるので、管理者もパスワード有効期限の管理やパスワード変更の依頼といった煩雑な作業から解放されます」(小川氏)
ユーザーや管理者のユーザビリティを損なわないセキュリティ対策を
ちなみに一般的なパスワード管理システムは、マスターパスワードを入力しないと利用できないものが多く、場合によっては「パスワード管理システムのためのパスワードの管理が煩雑」という本末転倒の事態を招きかねない。しかしパスクリップはマスターパスワードなしでも利用できるため、パスワード管理に起因するセキュリティリスクや生産性・管理効率の低下などの心配は無用だという。
出所:パスロジ株式会社 Security Online Day 2016 講演資料より[クリックすると図が拡大します]
また固定パスワードだけでなくワンタイムパスワードの機能も備えるほか、「ログインプロテクト」と呼ばれるユニークな機能も備える。これは、パスクリップを起動してビンゴカード画面が表示されてから60秒間だけログインが可能になり、それ以外のタイミングではログイン試行を受け付けないというもの。パスクリップを起動しないと認証をクリアできないため、第三者によるなりすましや不正ログインを効果的にシャットアウトできる。
こうした仕組みに加え、パスクリップアプリを導入したスマートフォン端末の所有確認を認証手段として組み合わせることにより、利用者や管理者が何も意識せずとも、現時点で最高レベルのログインセキュリティが確保できると小川氏は力説する。
「セキュリティ技術が発達した今、『強いセキュリティ』の実現は技術的には当たり前の時代になりました。これからは高いセキュリティレベルを担保しつつ、同時に利用者や管理者のユーザビリティをいかに高めるかがセキュリティ業界にとって最大の課題になるでしょう」
なお、現行パスクリップは一般ユーザー向けに無償で公開されているが、同社では現在、パスクリップを使った認証基盤を企業向けにSaaSとして提供する「PassClip Auth 企業版」というサービスも計画しているという。続報はパスクリップ公式サイトや、パスロジ社サイトで公表していく。
