19.総合ユ−ザ・サ−ビス管理 19-1. 改めてユ−ザ認証のいろいろ `28/01〜 (1) いろいろなユ−ザ認証がある * 指静脈認証はどうか 指静脈認証はどうか。PKIの仕組みでICカ−ドに暗号化鍵を入れておく。指紋よりも 認識の精度はいいかも知れない。指の内部のことであり、死にかけでない限り血管は検知 できるだろう。しかしユ−ザの登録が面倒だ。全従業員を登録作業するとなると大変であ る。これは指紋でも同じだと思うが。パソコンを使う人だけ登録するとか。現場の作業員 のような人のは登録しないとか。指紋押捺と同じような気分になる。暗号化したデ−タが 漏れても、まずもって他者に使われる心配はない。使うことはできない。ここの所、先ず は自分つまりこのよい子の管理者がちゃんと理解すること。そして利用者にもきちんと説 明すること。漏れても指紋や静脈のデ−タそのものが流出するわけでないこと。静脈認証 はスキャナ−で指の中の静脈をスキャンして、特徴点を抽出する。つまりこの点を暗号化 した情報をデ−タとして記憶することになる。ノ−トパソコンに指静脈認証を実装してい るのは日立しかないかも。2007年の日立のプライベ−トショ−のシンクライアントの 展示で見た。外付けの指静脈認証装置はちょっと大きいかな。 * 画像文字認証はどうか 「UNIX MAGAZINE」2005/02, P.180〜184, "インタ−フェ−スの街角 最近の画像認証"。画 像文字の CAPTCHA、おかしな文字、ねじれたり、ぼけていたりする。人は分かっても、コ ンピュ−タにはパタ−ン認識がしにくい。画像を生成するソフト GIMPYとか、これを簡略 にした ez-gimpy。2009/05/29 のトレンドマイクロメ−ルマガジンのセキュリティレポ− トによると、人間にしか解けない CAPTCHAR を破る手口、ボットからWebサイトを守る ためにつくられた CAPTCHAR を破る手口が確認されています。偽サイトなどをつくりフィ ッシングした人間に解かせる KOOBFACE 攻撃。あるいは小遣いかせぎで、雇った人にせっ せとやと CAPTCHAR の文字列を判読させるとか。SSL-VPN 装置の A-Gate は CAPTCHAR が あったのでセキュリティ的には評価していたが。CAPTCHA( Completely Automated Public Turing Test To Tell Computers and Humans Apart )。おまけ、なぞなぞ認証というのが ある。「UNIX MAGAZINE」2006/03, P.153〜156, "インタ−フェ−スの街角96, マイ認証"。 2001/07 と 2002/01 号でなぞなぞ認証を紹介していた。産業技術総合研究所の人の記事。 * 画像マトリクス認証はどうか WisePoint シリ−ズの Imaging Matrix。 基本的にはワンタイムパスワ−ドの認証である。 Windows ログオンには対応してない。Webのアカウントを入れる場面のみ対応する。車 とかバイクとかの絵が幾つかあって、絵をあらかじめ選ぶ、選んだ順番も覚えておく。認 証画面が出たら、順番通り絵をクリックする、それで毎回違うパスワ−ドの文字列が出る ので、それを入力すると認証される。基本的には何かを覚えておくということ、パスワ− ドと変わりない。文字列を覚えるよりも絵を覚える方が分かりやすい、親しみやすいとい うことがある。子供や年配の人には好評のようである。例えばテ−マパ−クに入園するの にゲ−トで絵を幾つかタッチして入るという利用が考えられる。毎回、絵の配置は異なる。 マトリクスの行と列に書いてある2桁の番号をキ−入力してもいい。絵をクリックすると、 2桁の番号がキ−入力のところに表示される、キ−ロガ−の恐れあり。表示しないように して運用するお客さんが多いとのこと。ライセンスは1ユ−ザ3千円、保守が年20%と 2008年の展示会で資料をもらった。この時 ROUD と連携するデモをやっていた。 * 数字マトリクス認証はどうか よく雑誌の広告や記事でみかける SECUREMATRIX によるワンタイムパスワ−ド。これって ユ−ザに仕組みを説明するのがめんどうな感じ。一般の人は、すっと分かってくれるのか な。ひょっとして、どなたさんでも似たような辿りになって来るのでないか。パンフレッ トにはV字の辿りとかあるが。V字の他に横一文字とか単純なのに落ち着いたりするので ないか。ぎざぎざとしたややこしげな辿りは、覚えるのはやはり難しいのでないか。辿り でなくてピンポイントでもいい、これこれポンポンぽん。この方式も結局のところはパス ワ−ドと同じことである。手元には黒っぽい8ペ−ジのパンフレットが一部だけある。ど こでもらったか。値段は載ってない。 サ−バにするマシンは Red Hat Enterprise Linux か TurboLinux、アプライアンスもあると書かれている。 パンフレットにはちょっと気に なる記述があった。 SECUREMATRIX およびマトリクス認証は株式会社シ−・エス−・イ− の登録商標です。開発元シ−・エス−・イ−ともある、これ国産ソフトなの?。 * ICカ−ドの Felica はどうか 慶応義塾大学で2005年4月から生協で、Edy や NTTドコモの i モ−ド Felica 対 応の携帯電話が利用可能になった。Suica JR東日本の乗車券カ−ド、ICOCA JR西日本 の乗車券カ−ドも Felica。ここら辺りからICカ−ドは Felicaがデファクトになってき た。ソニ−のVAIOパソコンは Suica や ICOCA、電子マネ−の Edy を読み取るソフト が入っていて、電車利用などの履歴を表示できる。 Felica の心臓部はカ−ド内部にある 小さなICチップである。カ−ドをかざすとパソコンのスクリ−ンセ−バを自動で解除で きる。カ−ドをかざすとWebサ−バに自動でロッグインできる。NECのノ−トパソコ ンも Felica 搭載。おサイフケ−タイ。Edy カ−ド、ビットワレット(株)が管理する。プ リペイド型電子マネ−サ−ビス。ICカ−ドの利用。ICチップを内臓した携帯電話、非 接触型のICカ−ドの利用が進ん固有のIDがふられている。FelicaはICカ−ドであり USBト−クンも仕組みは同じである。耐タンパ−性があるので分解して中身を見ようと すると壊れる。社員証を作る FUJIFILM の Felica 対応カ−ドプリンタ STR-100 とか。 * USBト−クンはどうか USBト−クンにパソコンなどのパスワ−ドを保存し、ログオン認証やシングルサインオ ンをする。ファイルやフォルダの暗号化をする。SONY の PUPPY はメモリを持ち指紋認証 もできるようになっている。PUPPY にのみ指紋デ−タを保存する。PUPPY 本体はUSBメ モリとして使え、指紋認証で保護された暗号化ファイルの記憶装置として使うことができ る。Soliton の SmartOn は何故か一杯パンフレットが手元にある。 いろんな業者が扱っ ているようである。(株)ソリトンシステムズ製。 SmartOn はUSBト−クンの他 Felica などICカ−ドでもいい。PUPPY のようにユ−ザが作成しファイルを保存することはでき ないが、パソコンのログをとる、パソコンの利用制限をかけることができる。2002年 に見積りをくれた業者がいる。基本パック 5万円、ライセンス10個で2万円、iKey 1000 が10個 5.6万円、ライセンス保守15万円(これは毎年いるのかも)。ライセンスの発注最 小単位が10個である。SmartOn も使った Soliton Smart Security という統合セキュリ ティソリュ−ションがある。情報漏洩、資産管理、検疫ネットワ−クである。 * ワンタイムパスワ−ドはどうか ワンタイムパスワ−ド生成ト−クン。RSAセキュリティ社のハ−ドウェア・ト−クンが デファクトである。他のメ−カのってあるのなか。キ−ホルダ−型 RSA SecurID 700。価 格8,300円、100〜249 ユ−ザ、使用期間2年で。 「UNIX MAGAZINE」2005/06 に出ていた。 銀行が顧客に出し始めている。ジャパンネット銀行が 2006/05から順に全員に配布し、9 月から使用開始、口座維持手数料を月額105円から189円にする、一定の利用基準を満たす 人は無料。三井住友銀行は 2006/02 から月額105円の利用料で開始した、インタ−ネット バンキング One'sダイレクトで、銀行では初の利用とのこと。 1997年だったか、Sun のサ−バを検討していた時、Sun のエンジニアにノ−トパソコンと携帯電話と SecurIDで リモ−ト接続するのを見せてもらったことがある。メニュ−がでてきて、これらを利用で きますとやってくれた。ワンタイムパスワ−ドは昔からある実績のある認証方法である。 * 携帯電話を利用した認証がある 今やほとんどの人がいつでもどこでも携帯電話を持っている。小生は未だ持ってないのだ が。ともかくその携帯電話を利用すれば何らかの認証ができるはずという訳である。何と なく手軽に仕組みを作れるような気がするが、そうではない。シンプルで低コストでセキ ュアでハ−ドウェアト−クンに代わる、MITS OTP( Mobile Internet Transaction Server One Time Password )。開発は(株)アイディ−エス、国産製品のようだ。 ワンタイムパス ワ−ドが携帯電話に届く。 パンフレットには SSL-VPN 装置のユ−ザ認証用に利用する例 が出ていた。DMZにはワンタイムパスワ−ドを生成するソフトを入れたマシン、LAN には RADIUS サ−バなどユ−ザのアカウント情報を入れたマシンが必要である。もう一つ 紹介。携帯電話認証サ−ビス SecureCall、携帯電話をト−クンとしたコ−ルバック/発信 者番号による本人認証ASPサ−ビス。2007/10 入手の三井物産の関連会社のパンフレッ トより、Aventail 社製 SSL-VPN + SecureCall バンドルキャンペ−ン。 * かつての生体認証に関する見解 指紋とか静脈を使う生体認証は強固だが、安易に採用すべきではない。万が一、照合のた めの指紋情報などが漏洩したらどうなるか。その人は一生、指紋認証を使えなくなる。第 三者に悪用して使われる可能性がある。ひょっとすると今後、公的な個人認証で生体認証 を採用することだって有り得るかも知れない。このような重大なことに、一企業が生殺与 奪の権利があるはずがない。もし企業内で生体認証を実施する場合は、相当に指紋情報な どを厳重に管理できる場合に限らなければならない。指紋をとられるのは犯罪者に結び付 くイメ−ジがあるから、企業なんかで生体認証に使うのは躊躇するという話があるが。そ んなものではない。その人の一生にかかわる重大な問題と考えるべきである。社外でパソ コンを利用する場合、自分が携帯する物でも借りる場合でも生体認証は、照合情報が漏れ る危険性がより高い。ワンタイムパスワ−ド、マトリックス認証、デジタルIDなど別の 手段をとるべきである。ワンタイムパスワ−ドが現実的な解だろうと思う。`22 頃。 ↓ ソニ−の PUPPY、DDSの UBF を見て見解は変わった。`28 頃 * 参考 「オ−プンソ−スマガジン」2006/07, "第2特集:PCから読み取る非接触型ICカ−ド", > "Felica リ−ダ/ライタ− PaSoRi カ−ド内部をのぞく"。 http://www2.itc.nagoya-u.ac.jp/pub/pdf/ 名古屋大学情報連携基盤センタ−ニュ−ス > Vol.6 No.1 2007.2, PKIと連携したスマ−トカ−ドログオンについて、−共有端末にお ける個人認証システムへの適用−。Vol.6 No.2 2007.5 UNIX−Windows 統合認証22page。 「UNIX MAGAZINE」2006/03,P.153〜156,"インタ−フェ−スの街角96, マイ認証"。2001/07, > 2002/01号でなぞなぞ認証を紹介していた。産業技術総合研究所 ますいとしゆき。パス ワ−ド認証はそのままで、何らかの方法でパスワ−ドを生成する。 (2) そろそろ指紋認証が有効か * 指紋認証の様子 指紋認証の方式には現在3種類ぐらいある。一昔前は指紋そのものの画像を取って認識し ていた。画像デ−タのパタ−ンパッチングである。今は指紋画像を取るが、それから特徴 を抽出した情報を保持しておき、それと比較することになっている。特徴点とか、なんか 周波数みたいなことに変換するとか。気持ち的にあまり抵抗がないのがでてきた。DDS 社の製品である。検討の価値があるかも。DDS社の指紋認証は、自宅でとっている朝日 新聞にもでていた。切り抜いておいておいた。 2007/12/14 付け朝日新聞の経済面に紹介 されていた。過去のカタログやパンフレットに、2003年3月と自分が入手した日付け を書いたDDSのパンフレットがあった、デモキット 66,000円(今はもうない)。 ・特徴点抽出の画像パタ−ンパッチング、特徴点のマニュ−シャ方式。 ・NECの SecureFinger は特徴点抽出。 ・周波数解析法を用いた指紋認証方式。DDS社の特許になっている。 特徴点による指紋認証では、100人に1人か2人うまくいかない人もいるとか。指の指 紋が変化がなくて特徴点が少ない指は登録ができない人がたまにいる。普通はまず認証に 失敗することはないらしい、実際に導入している大手の電話会社の人の話。指が乾燥して いるとか、女性の指は認識できないことがままあるという話だ。誰から聞いたかな、ソニ −の PUPPYを扱っている会社の人だったかな。DDS社の資料によれば乾燥、摩耗、手荒 れで2〜5%の人が登録不可能と書いている。指をスライドさせるのは、なかなかきれい に指紋の画像をとるのは難しいというか、コツが各社それぞれあるようだ。でもソニ−の 指を当てるやり方だと、だいたい一回で画像をきれいに取れて認識できるとの話。 * 各社ノ−トパソコンの状況 HPのノ−トパソコンで、液晶パネルの画面にずばり指紋の画像がでているのを見た。い いんかよと思わず唸ったが、調べたらこれは表示しなくもできると分かった。DDSので も指紋画像が出ていて、これも表示しなくできると聞いた。ざっと市販のノ−トパソコン のパンフレットを見たら、だいたい指紋の特徴点を使っている。HPでもNECでもソニ −のでもノ−トパソコンなどに付いている指紋認証は、仕様にパタ−ンマッチング方式と 書かれているが、指紋画像から抽出した特徴点を比較するものである。指紋の画像そのも のを保存して使っているのを探すことの方が困難だと思う。聞いたとこによるとノ−トパ ソコン搭載の指紋認証装置は500円位らしい。パソコンのコストを切り詰めるために安 いパ−ツを使っているとのこと。そんなに安いもんなのか、大丈夫かと思う。こうした安 い指紋認証ではパソコンをセ−フモ−ドで起動したら、結局なんでもできてしまうとか。 NECのノ−トPC LaVie > 指紋センサユ−ザ−ズガイド。パソコンの機動を指紋で(指紋ログオン)、ホ−ムペ−ジ のパスワ−ド入力を指紋で(パスワ−ドバンク)、 ソフトの起動を指紋で(アプリケ−シ ョンランチャ−)、ファイルやフォルダを暗号化(File Safe)。暗号化はファイルとフォ ルダができる。指紋認証ソフトは Protector Suite QL という。 FMVは富士通独自の適応型特徴相関法 > 指紋認証は特徴点とベクトルを利用している。ちょっと他のメ−カのノ−トPCよりま しな指紋認証みたいな気がする。バイオ認証装置 FMSE-C301指紋デ−タを始めユ−ザ情 報を一括管理する装置、2台1セットで 798,000円+税。クライアントには別売りソフ トが必要。Felica ポ−ト搭載。FMV-LIFEBOOK。2007/07 のカタログより。 他パソコン用の指紋認証装置 > USB接続 指紋認証システム U-CLEF/F PUS-FCL 希望小売価格 17,800円。富士通製セ ンサ−採用。特徴点のマニュ−シャ方式。Windows のログオンをこれで行なう。専用ソ フトウェア付属。`27/09 のプリンストンテクノロジ−(株)のパンフレットより。Vista は未対応。仕様を見るとファイル暗号化、スクリ−ンセ−バともある。 * DDS社の UBF指紋認証ユニット 周波数解析法を用いた指紋認証方式、国際特許を取得。名古屋工業大学の先生と共同開発。 (株)ディ−・ディ−・エス。本社は名古屋。http://www.dds.co.jp/ 2006年9月のパ ンフレットが手元にあった。指紋認証エンジン UB-safe 他人受入率 0.001% 以下、 本人 拒否率 0.1% 以下。この新しい指紋認証の方式は、去年に朝日新聞で見た。この会社のサ イトに 2007/12/14 付け朝日新聞の経済面に紹介されていた、気になり取っておいた。 2006年9月のパンフレットによれば、UBF エントリ−ライセンスは指紋認証ユニット 5台と1年間の保守を含む。価格も載っていた。UBF スイ−トであるソフトウェアの価格 はない。基本的に指紋認証ユニットの数と契約年数で決まる。つまり指紋認証ユニット1 個だけ購入しても UBFスイ−トのソフトは付いてくる。動作確認がこれで安価にできると いうこと。その後のパンフレットには価格は載ってない。オ−プンプライスになった。 << UBF-mini >> 指紋情報はUSBキ−に保持する。サ−バは不要、登録指の数は10。ノ−トパソコ ンのモバイル用として UBF-blue の後に開発された。2006/06 出荷開始。パソコンが 2台あってソフトを両方に入れれば、1個の UBF-mini はどちらのパソコンでも使え る。万が一指紋でログインできない時には、パスワ−ドで入ることができる。ネット ワ−クでも使える。1個の UBF-mini は複数人で使うソフトにはなってない。 << UBF-blue >> 指紋情報はサ−バで管理、これで1台のパソコンを複数人で使用できる。デスクトッ プでの利用を想定。UBF-blue の場合。万が一指紋でログインできない時は、 管理者 から1回だけ有効なパスワ−ドを発行してもらってログインできる。 UBF-blue は装 置に指紋情報をキャッシュすることができる。長期出張とかの場合だと3ヶ月間とか。 このキャッシュにより UBF-mini と同じようにパソコン単体でも認証ができる。 UBF-blue はスタンドアロンでも使える。UBF-mini は1人だけの利用である。UBF-blueは パソコンを複数人で使う場合にも対応できる。mini は1人1個。blue は共有できる、1 台の共有パソコンに blue を差しておき何人かで認証して使える。それで費用はどのぐら いかかるか。100人が5年間使うとすると。 100x17,280 + 100x19,800 = 3,708,000円。 17,280 は100人分のライセンス価格、19,800 は 指紋認証ユニット UBF-blue。管理サ −バのソフトもこのライセンスに含まれる。 [ 管理サ−バの種類 ] 管理サ−バがあれば、パソコンに指紋認証ログインした日時などのログがとれる。多分こ れだけのログはとれても、あまり意味はない。いつログオンしてどんな操作をしてたのか、 ファイル共有サ−バにアクセスしてXXXファイルをみたとか。パソコンの操作ログ収集 ソフトだ。UBFスイ−ト、EVE FA、EVE MA の3タイプあり。これらはソフトウェアだけで ある。指紋認証ユニットは必要な数だけ買うこと。 Active Directory とは連携できるが LDAP は連携できない。Active Directory の利用は必須ではない、無しで構わない。 UBFスイ−ト : 中小企業向け、クライアントとサ−バの認証。 > 管理サ−バを設置しなくても使えるスタンドアロン版も入っている。ADと連携ができる。 UBF管理サ−バには Windows 2000 Server か Windows Server 2003 が必要。 EVE FA( Finger Authentication ) : 大規模向け SQL Server か Oracle が必要。 > AD と連携ができる、AD は無しでも可。シンクライアントの Windows RDP と Citrix に対応。UBF-mini はシンクライアントでは利用はできない。 EVE MA( Multi Authentication ) : AD と完全連携、ICカ−ドなども管理できる。 > 既にICカ−ドなどを導入していて、それも利用したい。部門や権限毎に異なる認証方 式を運用したい。多要素認証プラットフォ−ム。どっちにせよ大がかりな話である。 << UBFスイ−トでの構成 >> ----------------- ------- ---------- ------------ ---------------- -------- |UBFクライアント| |UBF管| |IDマネ−| |UBF管理ソ | |IDマネ−ジャ | |Active| | IDマネ−ジャ/ | |理サ | |ジャ/サ | |フト,UBFク| |管理ツ−ル,UBF| |Direct| | クライアント | |−バ | |−バ | |ライアント| |クライアント | |ory | ----------------- ------- ---------- ------------ ---------------- -------- | | | | | | -------------------------------------------------------------------------------- まとめてみた ↓ いろんなソフトがあって分かりにくい。 ○UBF-blue | Windows 2000/XP でも これら Windows サ−バOS ----------------- ------------------------ -------------------- ----------- |UBFクライアント| |UBF管理ソフト | |UBF管理サ−バ | |Active | | IDマネ−ジャ/ | |IDマネ−ジャ管理ツ−ル| |IDマネ−ジャサ−バ| |Directory| | クライアント | |UBFクライアント | | | | | ----------------- ------------------------ -------------------- ----------- | | | | -------------------------------------------------------------------------------- 一般ユ−ザ 管理者はここで操作 サ−バル−ムにでも設置 * DDS社の指紋認証を試しに買う UBF-mini 2個、UBF-blue 2個、ユ−ザ数2でライセンス期間2年で約11万円。先ずは これだけ買って試してみよう。組み合わせていろんなパタ−ンを試せるはず。指紋認証装 置は全部で4個、ユ−ザ数もそれに合わせて4つないといけないということはない。直接 この会社は販売していない。出入りのSI業者に窓口になってもらって入手されたい。 `28/04現在、指紋認証ユニットのソフトには2つのバ−ジョンがある。出荷しているのは Version 3.31。2000 と XP 用が入り用な場合はその旨言っておくこと。Version 3.31 は XP と Vista 用、Version 3.19 は 2000 と XP用である。手元に来たのはネットワ−ク版 ソフトウェア Rel.3.31.xx CD-ROMとスタンドアロン版ソフトウェア Rel.3.31.xx CD-ROM。 DDS社は女性陣が精力的に頑張っている。一つ試しに買って下さい。ディ−・ディ−・ エス(DDS) がスピ−カのセミナ−。"Security Solution 2008" 展示会、2008/08/20〜 22 開催。事前登録制のセミナ−で "ネットワ−ク、Active Directory からアプリケ−シ ョンまで−理想の認証統合環境とは?"。 オ−ビックのセミナ−も名古屋であった。 指をすべらせて認証する感覚。パソコンの右横のUSBにさして、そのまま自分の方にス ライドする。これはいい。認証にはどうもコツがいる。慣れなくて何度もスライドさせて いやになることも、ままあった。しかし指をなぞるため残留指紋が指紋認証装置に残らな いので安全性としては高いと営業さんは話していた。 認証精度をあげた製品が出た。新世代技術ハイブリッド指紋認証方式、2008年6月の セミナ−で発表があった。製品出荷は11月だったか。独自の周波数解析法とマニュ−シ ャ法の組み合わせ。実際やらせてもらった、大体一発で認証してくれた。製品としては大 規模向けのものが出るらしい。1つ2つ買って試すということはできないとのこと。 ハイブリッドタイプの製品、2008年9月からは1つ2つお試しでも買えるようになっ た。2009年秋に何故か飛び込みの営業電話がありそう聞いた。え−、試しに買ったの はちょうどこの時期、ほんの少し待てばハイブリッドタイプが買えたのか。UBF サポ−ト センタ−からメ−ルが '28/10/31 からだいたい月一で来ている。確認してみるか。 * 指紋認証装置のこといろいろ UBF-mini 改めてテストしてみた。やはりかなり認識するのは鈍い。 姿勢を正してすっと 指を引いても5回や10回やらないとダメ。PUPPY の方が1回か2回で認識してくれる。 PUPPY はOS標準のドライバ−ソフトを利用するため、USBポ−トに差し込むだけで利 用できると書かれている。UBF-mini も同じく、実際にそうだった。 PUPPY を使えるようにしたパソコンで、PUPPY のソフトを削除しようとしたら、できない。 PUPPY をパソコンに差していないと削除できなかった、UBF-mini の方は削除できた。 Windows のアプリケ−ションの追加/削除で PUPPY のクライアントソフトを選んで削除し ようとしたら、PUPPY の指紋認証の画面がでてきた。成る程安全側にでてきている。 (3) ソニ−の指紋認証 PUPPY を試す * ソニ−の PUPPY について あまり知られていないが実績はかなりある。2002年のパンフレットには名刺大の平た い形の物が出ていた。指紋認証機能付ト−クン FIU-710-N03、ユ−ザメモリ−容量 512KB、 照合方式はパタ−ンマッチング、他人受入率 0.1% 以下、本人拒否率照合2回で 1.0% 以 下。2008年のパンフレットでは他人受入率 は 0.001 % 以下と載っていた。 指をスライドさせるのでなく、当てるやり方である。認識率は高いという評判、しかし値 段も高い。メモリが0のから2GBとかある。1万円から2万円ぐらい。スティックの半 分のところで割れて、直接パソコンのUSBに付けることができる。指をあてやすいよう なデザインになっている。スティックの中にしか指紋デ−タはない。 今売っているのは3っつ。パンフレットには 0MB対応というのもあるが、256MB/1GB/2GB の製品で記憶をなしにできるという意味。0MBの製品があるということではない。製品名 は FIU-830-N03 256MB、FIU-850-N03 1GB、FIU-860-N03 2GB。どこか雑誌に載っていた価 格、参考までに FIU-810-N03 64MB 17,850円税込み。価格はオ−プンプライス。 パソコンの Safe モ−ドには対応してない。PUPPY 本体だけだと暗号化の安全な記憶装置 として使える。ライトプロテクト、通常領域と暗号領域でそれぞれ制御ができる。ソフト も買うとパソコンのログオンなんかが指紋認証でできるようになる。PuppySuite 810パ− ソナル版と PuppySuite 810 エンタ−プライズ版がある。 Puppy Suite Personal Edition は単体制御用。Puppy Suite Enterprise Edition はネッ トワ−ク管理ができる。どちらもライセンスはト−クン1つにつき8千円位。Enterprise Edition ではユ−ザマネ−ジャ、アカウントマネ−ジャ、証明書マネ−ジャの機能がある。 2007年11月のパンフレットでは Windows Vista に近日中に対応するとあった。 Puppy Suite Personal Edition ----- FIS-810-S01 Puppy Suite Enterprise Edition --- FIS-811-S01, FIS-811-M21 810 と 811 の違い。同じ製品だと思った。もっと別な番号なり付けろよ。 PUPPY は誰の指かは見てない。1人1個で使ってもらいたい。FIU-830-N03、FIU-850-N03、 FIU-860-N03 は10指まで登録ができる。つまり1個 PUPPY を用意して、 10人の指を 登録することができるということ。外持ち出し用にノ−トパソコンを1台用意し、10人 分アカウントを登録して、1個の PUPPY でユ−ザ認証をさせることも可能ということ。 指紋照合LSIを内臓しているので高速に照合する。大容量フラッシュメモリを搭載する。 指紋認証とOKIを組み合わせることで、より強固なセキュリティを実現できる。デバイ スドライバ−はOSの標準ドライバ−を使用するので、USBポ−トに接続するだけでド ライバ−がインスト−ルされてすぐに利用ができる。ドライバ−だけでは使えません!。 エンタ−プライズ管理者用ソフトを使うと、あらかじめ自動ログオンなどを設定してユ− ザに PUPPY を渡すことができる。製品は年間ライセンスではなく買い取り。 本体とライ センス代で1人2万5千円位。PUPPY は安全な記憶装置としても使える。 256MB/1GB/2GB の暗号化USBメモリとして使える。パソコンのフォルダ内のファイルも暗号化ができる。 1) ダウンロ−ドして無料で使えるソフト。指紋認証と暗号化のみ。 2) パソコン単体で使える有償のソフト。指紋認証と暗号化と追加機能。 3) ネットワ−ク管理ができる有償ソフト。企業などでの利用。 * 試しに購入する エンタ−プライズ版を買ってテストすればいい。パ−ソナル版の機能は含まれている。指 紋認証ト−クン FIU-850-N03、メモリ1GBを2個、価格はオ−プンプライスだが、1個 だいたい2万円まで行かない。エンタ−プライズ管理者用ソフトを1つ、6万円弱。エン タ−プライズ用ライセンスはト−クンの数だけ必要で、1つ8千円ぐらい。それにエンタ −プライズ管理者用ソフトの CD-ROM 代が千円ぐらい。ざくっと全部で11万円位。毎年 のライセンス代というのはない、有難いです。1メ−トルのUSBケ−ブルも付属する。 CD-ROM Puppy Suite 810 Enterprise > PUPPY Suite 810 FIS-811-M21 Fingerprint Identification Software Enterprise Administrator Ver.3.01.xxxx。 CD-ROM Puppy Suite 810 Enterprise > PUPPY Suite 810 FIS-811-S01 Fingerprint Identification Software Enterprise Client Ver.3.01.xxxx。FIS-811-S01 はメディア、FIS-811-L01 はライセンス。 * PUPPY の箱に入っていたメモ書き ストレ−ジ付き指紋認証ト−クン FIU-850-N03、メモリ1GB。 PUPPYが入っていた箱に 折り畳んだ1枚の紙が入っていた。こんなのは先ず見ることはないが、肝心なことが書か れていた。何と "本製品だけでは指紋認証機能を使用できません。ソフトウェアが必要で す"。とある。http://www.sony.co.jp/Products/Media/puppy/ の [User Manager]からダ ウンロ−ドする。無料のソフトウェアがあるということ。特に登録とかはなく、自由に取 ることができる。この "User Manager" というソフトは指紋認証だけと暗号化だけできる。 ただし便利なアプリケ−ションランチャなどの機能はない。提供機能は以下の通り。 ・指紋やパスワ−ド登録・管理する機能。 ・指紋やパスワ−ドで保護された領域を設定・管理する機能等。 利用対象が次のようにホ−ムペ−ジに出ている。FIU-800 シリ−ズを単独で指紋認証機能 付きUSBメモリとしてのみ使用する方。PuppySuite810 パ−ソナル版/エンタ−プライ ズ版や、指紋の登録・管理機能を有するサ−ドパ−ティ製 FIU-800シリ−ズ対応ソフトウ ェア等を使用しない方。 対応OSは Windows Vista(SP1適用および非適用)、Windows XP、 Windows 2000 Professional。 アプリケ−ションランチャとは、指とアプリケ−ションを 関係付ける機能。人差し指を PUPPY に置くとメ−ルソフトの Outlook Express が起動す るとか。中指を PUPPY に置くとブラウザのIEの画面が出てくるとか。 * 1台のノ−トパソコンにソフトをいれた Puppy Suite 810 Enterprise Edition 管理者用  Windows XP Professional で購入  -> Puppy Suite 810 ヘルプ クライアント用 して特に何もいじってない状態で。  -> Puppy Suite 810 ヘルプ 管理者用 ソニ−のノ−トパソコン。クライ  -> 管理者ツール ント用ソフトをインスト−ル際に、 装備の指紋認証を外しますうんぬ Puppy Suite 810 Enterprise Edition クライント用 んのメッセ−ジが出てきた。結局  -> Password Provider の起動 "アカウントマネージャの起動"は  -> Puppy Suite 810 ヘルプ 入らなかった。これが使えないと -> アカウントマネージャの起動 指紋認証でパソコンにログオンで  -> ユーザマネージャの起動 きない訳で、PUPPY を使う意味が  -> 証明書マネージャの起動 半減する。何とかしなくては。 Password Provider は指紋認証を便利に使うことができる機能。IEなどアカウントを入 れる場面で、専用の認証画面が出てきて、そこで指を PUPPYに置くと、アカウントが自動 的に入力されるというもの。利用の方法は Password Providerが起動した状態でアカウン ト入力画面でユ−ザ名とパスワ−ドを入れ、[Alt] キ−を押しマウスで [YES] とか [OK] をクリックすると Password Provider の指紋認証登録画面が出てくる。 mixi とか teacup とかの認証画面で Password Provider を設定してみた。できるのはで きたのだが、ログインした後もしつこく PUPPY の認証画面が出てくる。自動で PUPPY の 認証画面をださないようにすることができる。その代わり [F12]キ−を押して認証画面を 出す。パソコン右下の PUPPY のアイコンをクリック。[Password Provider の停止] の下 に [全ての登録デ−タリストの表示] の登録デ−タの編集で {自動} のチェックを外す。 PUUPY をパソコンから抜くと、パソコンがロックする。このままではパソコンはまるで使 うことができない。PUPPY をパソコンに差し込んで指紋認証するなりパスワ−ドを入れる なりしないと使えるようにならない。パソコンのロックができるようにするには、 PUPPY のアカウントマネージャで Windows ログオン時点で PUPPY を使ってユ−ザ認証するよう に設定してのこと。この設定をしても PUPPY を差してなければ通常のログオンになる。 何かUSBキ−の接触が甘いのか反応しないことがとても多い気がする。いやそんなこと ない。姿勢をちゃんとして指を置けばほぼ認識してくれる。指を置いてパット離さないこ と。認証しました緑色の画面に変わるまでちょっとの時間、指を置いておくこと。1メ− トルのUSBケ−ブルでは短いか。パソコンのタワ−型で、USBポ−トが下の方や後ろ にあると、机の上に PUPPY を真直ぐに置くのはしんどい。 もう1台パソコンを使って、1個の PUPPY でそれぞれの Windows ログオンの登録をした。 ユ−ザ−名は異なる、パソコンの名前であるログオン先は同じ名前である、たまたまかも。 PUPPY にユ−ザ−名を幾つか登録している場合は選ぶことになる。そして指紋認証をやる。 パソコンの名前を違えていたらどうなるか。自動的に自分のパソコンの名前を認識してく れるのだろうか。パソコンのコンピュ−タ名を途中で変えていいものか。 * Windows ログオンの画面 こちらは自宅の Windows XP Professional のソニ−のノ−トパソコンでのこと。PUPPYも UBF-mini も Windows ログオンを制御する部分のソフトは自宅のパソコンには入った。し かし会社の Windows XP Professional、それにその後購入した Windows XP Embeddedには Windows ログオン制御のところは入らなかった。PUPPY をインスト−ルしたら、パソコン のログオン画面が下のように変わった。それまではちょうちょうのような絵が出ていてお 遊び的な感じの画面だった。パソコンは購入したままではちょうちょうが出ていた。1)の 画面も表示しないようにできる。[コントロ−ル パネル] の [ユ−ザ− アカウント]画面 の [詳細設定] で、{セキュリティで保護されたログオン} のところの{〆ユ−ザ−が必ず Ctrl+Alt+Del キ−を押す} で〆を外せばいい。Windows 2000 Professional では[ユ−ザ −とパスワ−ド] の画面に似たようなメニュ−がある。 1)最初に出てくる画面 2)次はもし PUPPYが刺さってなか --------------------------------------------- ったら3センチ角の PUPPYが接 |ようこそ | 続されていませんという画面。 |-------------------------------------------| | ログオンし、デバイスを初期化してください| 3)そして PUPPY制御のログオン画 | Ctrl+Alt+Delete キー うんぬん | 面が出てくる。指紋を入れるな --------------------------------------------- り、パスワ−ドを入れるなり。 * こんなことができるか PUPPY を抜いてロックがかかるのは確認した。PUPPY のクライアントソフトのメニュ−の [環境設定]の {PUPPY取り外し設定}で "●コンピュ−タのロック" にしてできた。メニュ −の [コンピュ−タのロック] をクリックすると、直ちにロックがかかる。PUPPY のログ オン画面が出て指をなぞると解除になった。何かキ−でも押してロックをかける、復帰は 指紋というようにできないか。ファンクションキ−でもロック用に登録できるかというこ とである。パソコン本体のUSBキ−部はそんな頑丈にできてはいない。USBキ−を頻 繁に抜き差しするとコネクタ部が壊れるぞ。ノ−トパソコンであれば、まず盗まれる心配 のない場所。例えば客先で1日仕事するのにノ−トパソコンを持っていった場合。昼休み でしばらく席を外すような場合はUSBキ−を抜いてロックをかける。その他のトイレに ちょっと行くとか3時や10時の休憩とか、そんな場合はUSBキ−は差したままで、何 かキ−を押してロックをかける。ロックもTPOで使い分けができると便利である。 ユ−ザのパソコン用の PUPPY でのこと。このパソコンのログオンは PUPPY を使って行な うようにする。ユ−ザにはログオンのパスワ−ドは知らせないでおく。PUPPY による指紋 認証でログオンしてパソコンを使ってもらう。万が一、指を怪我したとかで指紋を認識し てくれない場合のこと。会社の PUPPYの管理者に連絡してパスワ−ドを教えてもらい、パ ソコンにとりあえずログオンする。ユ−ザは別な指の指紋をこのパソコンで直ちに登録す る。このパソコンのアカウント情報は PUPPYに入っている。いったんパスワ−ドを教えた ら、このパスワ−ドはすぐに変えることにする。この作業を下の図ようなことでPUPPY の 管理者用ソフトで変更できないか。パソコン PC1 で PC2 に差さっている PUPPYにアクセ スして、この中のアカウント情報のパスワ−ドを変えるのである。あるいは定期的に変え てもいいだろう。ユ−ザは自分用のパスワ−ドがいつの間にか変わっていることはまるで 気付くことはない。しかし多分 PUPPY は PC1 に差さないとできないのでないか。 ----------- ----------- 例えば、PC2 はノ−トパソコン |PUPPY管理|PC1 |PUPPYクラ|PC2 で外に持ち出ししているような |者用ソフ | |イアント | 場合である。会社に帰ってネッ |ト | |用ソフト |■ PUPPY トワ−クにつないでおく。する ----------- ----------- といつの間にかパスワ−ドが変 | | えられているという寸法である。 ------------------------------------- * PUPPY のパソコンのロックのこと Windows XP に PUPPY のクライアントソフトを CD-ROMでインスト−ルするところ。PUPPY のパソコンにログオンする、ロックする機能のソフトを入れることができない。こんな画 面がでてきて、はいでもいいえでも結局入れることができなかった。Windows XPは会社と 自宅のソニ−のノ−トパソコンで、どちらも内臓の指紋認証装置が付いている。会社のは Active Directory の制御下にある。自宅のはその後ちゃんと全部 PUPPY のクライアント ソフト入った。UBF-mini のソフトも入った。 -------------------------------------------------------------------------- |他のソフトェアの Windowsログオン/コンピュ−タのロック解除機能が既に | |インスト−ルされています。Puppy Suite の Windowsログオン/コンピュ−タ | |のロック解除機能をインスト−ルすると、既存の同機能は機能しなくなります。| | | |Puppy Suite の Windowsログオン/コンピュ−タのロック解除機能を外して、 | |インスト−ルを継続しますか? | | [はい] [いいえ] | -------------------------------------------------------------------------- (4) ユ−ザ認証のアラカルト * 頭隠して尻隠さず パソコンのブラウザなどでパスワ−ドを入れるところで、自動入力になっていたら幾らパ ソコンの個体認証をします、指紋認証しますといったところで、何の意味もなさなくなっ てしまう。ディスク全体の暗号化もそうだ、パスワ−ドに相当する PINが自動入力になっ ていたら何にもならない。自動うんぬんはオフ、できないようにしておかなければいけな い。しかし Windowsパソコンの設定、挙動は不確実なところが多い。動作の確認をするの は大変である。ユ−ザ認証などの設定に Windows 2003 Server 等の Active Directoryに よるグル−プポリシ−を背後で使っていると最っと挙動不審になる。テストするにもグル −プポリシ−がクライアントに反映されるのが90分後だとか。 Active Directory での 変更を直ちにユ−ザのパソコンに反映させるのに gpupdate コマンドを用いるだとか。と りあえず基本的なユ−ザ認証の確認のテストには Active Directory はかませない方がい い。UTMの FortiGate 等で手元のネットワ−クを隔離のようにするとかした方がいい。 * IEのオ−トコンプリート機能 自宅のソニ−のVAIOの期限が切れた Norton を、改めてソニ−スタイルでソニ−のポ イントを使って買ってインスト−ルした。Norton を入れて、次の日、mixi に自動ログイ ンできなくなった。毎度アカウントを入れないといけなくなった。 http://www.atmarkit.co.jp/fwin2k/win2ktips/201achisclear/achisclear.html > IEのオ−トコンプリート履歴を削除する http://www.atmarkit.co.jp/fwin2k/win2ktips/204autocdiag/autocdiag.html > オ−トコンプリートの「パスワード保存」ダイアログを理解する IE 6.x の [ツ−ル]->[インタ−ネットオプション]->[コンテンツ] --------------------------------------------------------------------- |オ−トコンプリ−トの設定 | |-------------------------------------------------------------------| |オ−トコンプリ−トは以前に入力した設定内容から可能な限り一致する | |ものを表示します。 | | | | --オ−トコンプリ−トの使用目的----------------------------------- | この設定状 | |〆 Webアドレス | | 態がデフォ | |□ フォ−ム | | ルトのはず。 | |〆 フォ−ムのユ−ザ名およびパスワ−ド | | | | □ パスワ−ドを保存する確認をする | | | ----------------------------------------------------------------- | | | | --オ−トコンプリ−ト履歴のクリア--------------------------------- | | |[フォ−ムのクリア] [パスワ−ドのクリア] | | | | | | | | Webアドレスのエントリを削除するには [インタ−ネットオプション]| | | | の [全般] タブで、[履歴のクリア] ボタンをクリックして下さい。 | | | ----------------------------------------------------------------- | | [ OK ] [キャンセル] | --------------------------------------------------------------------- * アプリケ−ションのログインのいろいろ mixi のログインは この画面では Cookie を利用している。ブラウザで e-mail [ ] Cookie を受け付ける設定にすること。 うまくでき password [ ] ない場合は一度IEの Cookie 情報を削除してみる。 □次回から自動的にログイン 次回から自動的にログインとは、Cookie 情報をこのブラウザ内に保存して、 次回からは 保存した Cookie 情報を使って自動的にログインできるようにします、ということ。 * メ−ルのこと POP3 のアカウント # ls /var/mail .satou.cache キャッシュというファイルがないのもある。 satou -------------- .katou.cache ファイルはない。 .satou.cache |+Qpope+i katou | @aA 中身はバイナリになっていた。Qpop という tomoe |FpS)kjkdsjkd 文字のつづりだけが見える。 |D?bLjdsjkdsd 変なファイルがあるぞ。 .katou.cache というのはないぞな。一体いつからこんなファイ ルがあるのか。たまに POP3 アクセスでパスワ−ドをきいてくることがある。どういうタ イミングなのか、滅多にないのだが、これまで10年のうちに何回か自分もあった。個人 のプロバイダのも同じことがあった。ひょっとしてこのファイルが関係しているかも知れ ない。一度しっかり調べないといけない。入力画面がでてきたら、また入れればいいじゃ ん。自分のパスワ−ドを忘れるんじゃないぞ、と管理者はぶつぶつ言って対応する。そう した短絡的な思考では、次のステップに踏み出すことはできないというものだ。 これはアカウントの管理の話になる。パスワ−ドを聞いてくる、そしてパスワ−ドを入れ るというのは。指紋認証でいろんなサ−ビスのログイン画面で、自動的にユ−ザ名とパス ワ−ドを入れることができる。これはつまりユ−ザさんは、ユ−ザ名とパスワ−ドを知ら なくてもログインできるということ。ということは、パスワ−ドを定期的に変えるという ような運用ポリシ−はとる必要がないということ。これは大切な話だ。実際にこうしたア カウントの運用をした際に、ユ−ザ名とパスワ−ドを入れてくれと画面がでてきたりする、 これはまずいということである。こんな画面は出ないようにしなければいけない。 * ユ−ザ認証の場面を挙げてみる どこで何をユ−ザ認証するか。パソコン自体へのログオン、サ−バへのアクセス許可、ネ ットワ−ク装置で、Sambaサ−バで、Webサ−バで、SSL-VPN装置で。ファイアウォ−ル でも、無線LANでも、プロキシサ−バでも、RADIUS サ−バでも。 a) LDAP はインタ−ネット周りでのユ−ザ認証に限定するか > メ−ルのアカウント、spamメ−ル対策で。 b) Active Directory は必要なところでのみに限定するか > ホスト端末アクセス、資産管理ソフトで必要とか。 c) 指紋認証は部門サ−バでのユ−ザ認証に使うか > 部門用サ−バの自分の領域、共通領域。 d) パソコン認証は全社サ−バにアクセスするのに使うか > かつ指紋認証するのは機密情報サ−バを使う際。 e) 各自のノ−トパソコンからリモ−トアクセスは > IPSec のデジタルIDによる暗号化で十分か。 * ユ−ザID管理の考え方 何か一つベ−スになるものを考えた方がいい。何を軸にして考えるか。部署か役職か。部 署は変わっても役職が変わることはまずない。通常は課長は配置転換になっても課長は課 長である。昨今の不況から脱出できない状況では、部署の統廃合を進める企業は少なくな い。部署が無くなってまで役職ポストを確保してあげる企業はないと思うが。とりあえず 役職を基本に考えるとユ−ザIDを管理するのに RBAC なる手法があるらしい。とあるセ ミナ−で聞いた話だ。つまるところユ−ザのアカウントの統合はやるところは多いが、リ ソ−スのアクセス制限と結び付けることまでやらないと、本当のユ−ザID管理ではない とのこと。SOX法にも内部統制上にも必要なことである、うんぬんという話だった。 RBAC( Role Based Access Control )は一般的な用語である。Solaris 8、セキュアOSの SELinux などに実装されている。従来からある ACL とは別のもので、 ソフトウェアで制 限をかけるみたい。これまでの ACLはディレクトリとファイルのパ−ミッションで読み書 きを制限するものである。ユ−ザID管理という中で RBAC をやろうとする話と Solaris などOSの機能として実装されている RBAC の話は違うのでないか。OSでも RBAC 的な ことはできるが、管理をきちんとやるには IDM というソフトでないとできない。 という ことでないのか。そうなると市販ソフトで5百とか1千万円とかいることになる訳だ。 RBAC でのユ−ザID管理は ユ−ザ(Users) --> (役割)Roles --> (資源)Resources と関 連付ける。Users は社員で加藤さんとか佐藤さんとか。Roles は平社員とか部長とか課長 とか設計課とか。RBAC を説明したセミナ−の資料で Roles は少し定義が瞹昧な気がする。 設計課という組織の名前、それに部長とか課長とかいう役職の名前が Rolesに混在してい る。こういうことはただの LDAP や AD で実現できるのか。IDM というユ−ザID管理ソ フトなるものでしか実現できないのか。多分 IDM でないとできないように思える。 どう したって紐付けする付加的な情報が必要であり、LDAP と AD ではできないのでないか。 * シングルサインオンとユ−ザ認証基盤の整備 シングルサインオンには対象とする範囲は2つある。 パソコンから IDM ソフトヘで1つ、 利用サ−バへで1つである。パソコンから IDMソフトにログインして、ポ−タル画面から 各サ−バにアクセスする場合である。これが一般的にはシングルサインオンと言われるも のである。もう1つのパソコンにログインして、それから各サ−バにアクセスする場合も シングルサインオンと言われる。こちらはパソコン内で専用ソフトがサ−バへのログイン を見張っていて、代わりにユ−ザ名とパスワ−ドを送出する。ユ−ザはサ−バへのログイ ン作業はしなくていい。つまり自分のパソコンにログインするアカウントは覚えておかな ければならないが、その後のアプリのアカウントは覚えなくても済むという話である。 多分そこそこの規模の組織、企業なり学校なり役所ではユ−ザ認証に、Active Directory か LDAP サ−バを一部でも使っている。あるいは混在しているというのが大方の状況では ないのか。Active Directory は事務系のサ−バで業者に言われるまま設置したとか。 そ れぞれ無関係ならほかっておいてもいいが、いつまでも関係無しという訳にはいかないだ ろう。できれば次のユ−ザ認証基盤用のソフトを用いてユ−ザID管理をまとめて行きた いものである。Sun や Oracle など高額製品の他に比較的安価なソフトやアプライアンス もある。ユ−ザ認証の窓口として機能させるだけでも価値はあるかも知れない。窓口だけ なら OpenSSO というシングルサインオンのオ−プンソ−スで間に合うかも知れない。 * 改めてユ−ザの認証の意味を考えてみる 人を基本的に信用するか信用しないか、認証には2つのパタ−ンがある。パソコンにログ オンする際の認証。もう1つがパソコンにログオンした後に特定のソフトを使う場合の認 証。ユ−ザの認証だけでなくパソコンを認証するというのもある。ユ−ザを信用するかし ないか。パスワ−ドを知っていること、特定のファイルがあるかどうかということ、マト リックス認証もそうだが、何かを知っているということで認証するということに変わりは ない。何かを持っているということ。例えばデジタルIDの入ったICカ−ドやUSBキ −を持っているということ。指紋は自分が肌身離さず持っているというものである。 ・何かを持っていることを認証に使う --- デジタルID、USBキ−。 ・何かを覚えていることを認証に使う --- パスワ−ド、マトリックス認証。 * シングルサインオン的なこと [ 日立ソリュ−ソンズの Array シリ−ズ ] シングルサインオンは可能かというサイトのFAQに。Basic 認証、POST認証に対応して います。これらのサ−バに登録されたユ−ザID/パスワ−ドとポ−タルサイトにログイ ンするためのと同じであればできるとのこと。 [ SSL-VPN 装置 Juniper MAG の仕様から ] SAML 認証連携というのは。 Juniper MAG は SaaS アプリケ−ションとのシングルサイン オンを実現する SAML(Security Assertion Markup Language) 2.0 に対応。 Google Apps Salesforce など SAML 対応クラウドサ−ビスには認証情報を再入力を不要にできる。 * パスワ−ドについて考察する ( `2h/11/M 付録からここに移した ) パスワ−ドを頻繁に変更すると安全か。毎月変える、半年に一度変えるとか。セキュリテ ィポリシ−を策定するのが当り前になっているが。本当に安全になるのか。かえって危く なるのでないか。今や個人が持つパスワ−ドは1つや2つではない。会社でも最低でも3 つや4つ。個人的には銀行のキャッシュカ−ドの暗唱番号とか、マンションのオ−トロッ クの暗唱番号とか、いろいろある。そうなると結局、同じパスワ−ドを付けたりすること が多くなるのでないか。あるいはパスワ−ドを変えるのは変えても、henoAb1 の次は例え ば henoAb2, henoAb3 とか。そんなんではまるで意味がない。 そもそもなぜ、同じパスワ−ドを使うことが危険なのか。そもそも誰が危険だと唱えてい るのか、または危険を証明したのか。パソコンにログオンする際のパスワ−ドが暗号化さ れていたらどうか。パケットをキャプチャしても分からない。さらにキ−ロガ−にも検知 されないようにしたらどうか。パスワ−ドはその人の頭の中にあるだけで、紙などどこに も書かれていない。それで一体どこからパスワ−ドが他に知れる、漏れるというのか。イ ンタ−ネットのサ−バなどは telnet で入って作業せずに、直接マシンのモニタの前に座 ってログインする。こうすればサ−バのログインのパスワ−ドは変える必要はない。 パスワ−ドのセキュリティポリシ−の策定。大体どこの会社でも学校でも、ポリシ−は1 つにしている。パスワ−ドでも生体認証でも構わないというようなセキュリティポリシ− を掲げるところはまずない。どうもそういうものらしい。指紋認証をやろうとすると、だ いたい1人や2人はだめな人がでてくる。そのために指紋認証の採用をその組織では見直 すことになるという。特例を認めないということらしい。ここは一つITを使って柔軟な システムを組もうよ。セキュリティポリシ−を守ることが大事なのでなく、ユ−ザをいか に確かに認証するかが本来やりたいことのはずだ。 ユ−ザのアカウントは流れるパケットを暗号化するというのはどういうことになるか。た とえば全員同じパスワ−ドでも、暗号化しておいてそれが解読されなければ問題ないと言 える。解読が十分に困難であることが条件になるが。メ−ルソフトで何かの拍子にパスワ −ドを入れよと出てくることがある。こんなことが起きるとちょっと困る。こんな現象は 起きないようにしないといけない。多分メ−ルソフトの何かロック機構が怪しいのでない か思うのだが。そうすればユ−ザには全くメ−ルソフトのパスワ−ドを教える必要がない。 パスワ−ドを定期的に変えるというポリシ−をとる必要はまるでない。 (5) ユ−ザ認証基盤用のソフト `28/05 * このソフトの2つの仕組み "シングルサインオン" と "アカウント一括登録" [ シングルサインオン ] ユ−ザからは IDM にログインするユ−ザ名とパスワ−ドを使うことになる。 IDM のパス ワ−ドを変えても LDAP, AD で保有しているそのユ−ザのアカウントのパスワ−ドは変わ らない。IDM がユ−ザ認証の窓口として機能する。これによりログインできる時間制限を 設けるとか独自な制限を付加することが可能になる。2つの会社が統合したとか買収した とか、そういう場合には大がかりなアカウントの変更をしなくても済むのでいい。 -------□----□SV1 1 2 IDM の画面 PC | LDAP ----> -------------> ---------- □−→□IDM □ □ □ □ | [SV1] | | AD |PC |IDM |LDAP |SV1 | [SV2] | -------□----□SV2 ------------------------------- ---------- 基本は2つのアカウントのマッピングである。紐付け、リンク、ポインタ−。マッピング するには LDAP や AD ソフトウェアの API を介して IDM ソフトで操作するのが1つ。各 ソフトウェアと IDM ソフトで中間ファイルを介して操作するのが1つである。LDAP とAD の他に RADIUS サ−バもある。IDM ソフトによっては LDAP,AD から IDM へのマッピング ができたり、IDM から LDAP はできるが AD はだめとかいろいろ特徴がある。 [ アカウント一括登録 ] ユ−ザのアカウントの登録や変更、一箇所で直せば全部に波及する。LDAP と ADにはユ− ザのアカウント taro がパスワ−ド pass1 で、それぞれ登録してあるとする。IDMでユ− ザ名 taro のパスワ−ドを pass1 から pass2 へ変更する、するとLDAP と ADの方も自動 で修正されるという話。下の絵はパソコン PC で、サ−バ SV2のWebなどのサ−ビスを アカウント taro で利用しようとするところ。 --------□----□SV1 1 taro 2 taroログイン、3 で許可 | LDAP ----> ----> □IDM □ □ □ <---3 □ | AD SV2 PC |IDM |PC |SV2 |AD --------□----□←−□ --------------------------------- [ 認証基盤用のソフト ] -------□SV3 (a) PC | 1---> 2---> (a)の絵 □−→□IDM □ □ <---3 □ | LDAP SV4 |PC |IDM |SV3 -------□----□ (b) ------------------------- (a) SV3 は IDMソフトなり IDM装置内部に登録したアカウントを使う場合である。(b) は IDM 自体はアカウント情報は持ってなく、指定した LDAP/AD/RADIUS サ−バなりに問い合 わせる形である。以下参考、サ−バ単体で内部にユ−ザIDを持っている場合はUNIX 系なら /etc/passwd、/etc/nsswitch.conf の"hosts: files" 指定。アプリケ−ション単 体でソフト内部に独自方式でユ−ザIDを持っている場合もある。 * ユ−ザID管理ソフト OpenIDってなんだ。まだ使える段階にはないのでないか。固有のURLを認証情報にする のかな。mixi にも OpenID うんたらの文字が画面に見える。 Yahoo! JAPAN ID をとって みた、無料。OpenID も使えると書いてあった。`29/01 幕の内のこと。なんか名前らしい ような ID は全部くまなく取られているという感じだった。katou ならば akatou,bkatou, katou123,katou9 とか。メ−ルアドレスは xxxx@yahoo.co.jp。SenderID か何かやられて いるのか。登録の申請画面では西暦生年月日、それに普段使っている個人のメ−ルアドレ スぐらいが個人情報だ。住所とかフルネ−ムとかは入れる所はない。 mixi のような自分 用のペ−ジが与えられる。Active Directory, LDAP, RADIUS, OpenID が現時点の選択肢。 RADIUS はこれまでのようにネットワ−ク装置利用のユ−ザを登録し、 認証するために今 後も使われていくと思う。OpenID はURL情報をもとに認証するので、 これを社内で利 用しようというのには無理があると思う。インタ−ネットのWWWなどを利用する際の認 証にはいいと思う。問題は Active Directory と LDAP である。5年10年先まで生き残 るのはどっちかということを考えると LDAP だろうと思う。マイクロソフト1社に依存し た Active Directory が、このまま存続するとは思えない。Windows OSが果たして5年 先、市場にあるかどうか。多くの企業が Active Directory を導入している。しかしユ− ザ認証は LDAP に変わっていくことを想定して、準備を進めた方がいい。 Sun や Oracle が出しているのはとんでもなく高い。先ず1桁違う。Novell とか Tivoli とか CAとかも幾つかある。CTCのユ−ザ認証基盤の例が次に出ている「テクインフォ」 2007/03, VOL.66, P.1〜4。Solaris 用の統合ID管理ソフト Sun Java System Identity Management の紹介。Webコンテナを動かすために J2EE対応のサ−バが必要。複数のデ −タベ−ス、LDAPを統合管理できる。しかしIDやパスワ−ドを統一するかしないかは別 のこと、このソフトの中ではしなくても構わない。伊藤忠テクノソリュ−ションズが鳴り 物入りで構築した eWork@CTC の中核となるユ−ザ認証に使用している。eldentity統合認 証/ID管理システム。eWork@CTC は構築するのに数十億円かかったのでないか。 * LDAP Manager が適当な感じ EXGEN LDAP Manager、国産ソフト。Windows Server 2003 が必要で、これでしか動かない。 シングルサインオンしたいとかいうのは、別の話になる。このソフトではできない。利用 者プロファイルメンテナンス用WWWサ−バが必要。 これも Windows Server 2003 に一 緒に入れることができる。500ユ−ザでベ−ス100万円ぐらい。あと必要に応じてプ ラグイン・ソフトを追加する。最初に大量のユ−ザの情報を登録するのに CSV形式のファ イルがいる。CSV -> LDAP モジュ−ル。その後ユ−ザを追加したり登録情報を変更したり するがいる。ユ−ザ情報メンテナンス、パスワ−ドなどsendmail と連携させるには LDAP -> UNIX モジュ−ルが必要である。あると便利なのが LDAP -> CSV モジュ−ル。LDAP が 保持している情報を CSV 形式のファイルで吐き出す。注意すべきは Active Directoryに ついては、AD の情報を LDAP に反映させることはできない。 LDAP サ−バ周り全部でどれぐらい費用がかかるのか、 とあるSI業者に見積りをとった。 これまでその会社の営業さんがたまに来たり、セミナ−に出たりはしていたが、実際買っ た物といえば Cobalt Qube を数台だけだったりして。LDAP Manager ソフトはオプション を含めて約400万円、ハ−ドは ProLiant DL360 で Windows Server 2003 R2 Std がバ ンドルで約60万円。 LDAP サ−バ用には同じく ProLiant DL360 を2台で約100万円、 Red Hat Enterprise Linux のサブスクリプションが毎年約10万円。 ハ−ド3台のOS インスト−ルなど設置や設定費用が1台10万円前後。大きいのは LDAP サ−バの設計構 築、LDAP Manager の設計構築それに管理ツ−ルとしての運用設計の費用である、 これが 400から500万円。合計では1千万円を超す、高いです。多分どこのSI業者でも自 分達に LDAP の何の知識もなければ、これぐらいの見積りを出してくると思う。 * 統合ユ−ザID管理製品 NetSpring AXIOLE 1U認証アプライアンス > LDAP ベ−スの認証サ−ビスプラットフォ−ム。LDAP と RADIUS 認証に対応。スキ−マ 作成不要、手軽に導入、スグ使えるLDAPアプライアンス。Web画面でユ−ザ自身がパ スワ−ドを変えることができる。時間と場所でアクセス制限をかけることができる。す でに導入してある LDAP や AD のユ−ザ名とパスワ−ドを利用し、認証ポリシ−だけを AXIOLE にすることもできる。AXIOLE から既存 AD にアカウントの変更を反映すること ができる、この逆はできない。 RADIUS 認証の際のMACアドレスによる認証制限機能。 2008/01 にパンフレットを整理していて出てきた。どこかのサ−バにあるアカウントの デ−タを CSVで吐き出して、取り込んで認証情報を連携させるとか。導入する際にLDAP の構造を設計したりする必要はないのが売り。http://www.axiole.jp/。 IDsentrie 1Uアプライアンス 2006年4月に発売。 > ネットワ−クのID情報を最適化、RADIUS認証、802.1X認証、DHCP認証、仮想的なディ レクトリサ−バとして動作する。IDsentrie 1000 はオ−プン価格で350万円。 アメ リカのベンチャ−企業開発、http://www.a10networks.com/japan/。 NECネッツエス アイ(株)が取り扱っている。1枚だけのパンフレットを展示会でもらって来てはいたが、 ぱっと見て何をする製品なのか分からなかった。他の LDAP や AD のアカウント情報を 参照する。この装置自体はアカウント情報はもたない。複数の窓口として働く。アカウ ントの追加はそれぞれのサ−バで登録する。 アカウント情報の変更は IDsentrie でで きるという、サ−バに反映される。もう1社この装置を扱っていたが今はその会社のホ −ムペ−ジも出ない http://www.busan-networks.com/。 Ignition 3000E 1Uアプライアンス > IDsentrie と似た製品みたいである。図研ネットウェイブ(株)が当初、扱ったがもう扱 ってないぞ。図研のホ−ムペ−ジにも出てこないし、他の国内業者で扱っているところ もないみたい。一応どんなものだったか書いておく。アメリカ Identity Engines 社製。 375万円から。2006年7月から出荷。既に社内に幾つかの LDAPサ−バや Active Directory サ−バがあって、窓口を一つにしたい場合に使う。ユ−ザのアカウント管理 をするサ−バを仮想的に統合すると書いてある。ミドルウェアというような奴か。図研 という会社は元々は電子回路用CADを開発し、一時期その分野のデファクトを築いた。 機械設計用CADにも乗り出したが、こちらはいつしか立ち消えになった。新幹線の横 浜駅すぐ近くに本社ビルがある。学生の頃、入社見学会に行った覚えがある。 NTTソフトウェアの ACTCenter と CSLGuard > `29/09 ビッグサイトで出ていた高額商品。お値段を聞いたてみた 1,500から2,000万円。 RedHat Enterprise Linux で RDBMS は Oracle使用。シングルサインオン。既に幾つか サ−バがあり、めいめい別なユ−ザ名、パスワ−ドで運用していたとする。それをこの ソフトを介して、1つのログイン画面を提供する。この時のアカウントと他のサ−バの アカウントを紐付けする。パソコンから直接、サ−バにはアクセスできないといってい た。あくまでもこのソフトのログインを通してでないとだめと。ユ−ザはそれぞれのサ −バのアカウントを覚える必要はなくなる。探したら 05.03付けのパンフレットをがあ った。2005年3月ということか。セキュリティと利便性を両立した情報漏洩対策の 決め手、アカウント統合ソリュ−ションと書かれてあった。 * 続ユ−ザID管理ソフト "オ−プンソ−スカンファレンス2009 Nagoya" で野村総合研究所が OpenStandiaSolution /統合ID管理というソフトを出していた。 オ−プンソ−スの OpenSSO とID管理製品 の LDAP Manager を連携することによって、統合ID管理とシングルサインオンを低コス トで実現します!。とちらしに書かれている。詳しくはhttp://openstandia.jp/。ただし LDAP Manager を使うのだからただではない。 "Security Solution 2009" オ−ジス総研の 'レストラン'で見た。ThemiStruct-Identity Management。OSS(Open Source Software) で開発、ID管理に本当に必要な機能を低コス トで実現するソリュ−ション。2009年9月から提供開始。ユ−ザ数による課金は取っ てない。動作環境 Red Hat Enterprise Linux 5 / CentOS 5、MySQL 5.1以上。Tomcat 5/ JBoss AS 4.2 以上。サイトでの販売価格:430万円〜、サポ−トサ−ビス:120万円〜。 富士通の統合認証ソフト SMARTACCESS シリ−ズ。FeliCa 対応、スマ−トカ−ド対応、セ キュリティチップ対応。手のひら静脈認証、USB外付け指紋センサ−。FMV LIFEBOOKノ −トPC内臓指紋センサ−。Secure Login Box 装置、FMSE-C401 2台セット価格 79.8万 円+税。6千ユ−ザ登録。LIFEBOOK の一部機種では BIOSパスワ−ド入力を指紋でやると Windowsログオン、アプリログオンまでシングルサインオンができる。`28/04 付パンフで。 * 参考 「日系SYSTEMS」2008/02, P.96〜101, "プロダクト賢者の選択 ID管理ソフト 利 > 用にかかせないビジネス・ロジック その開発手法に違いあり"。 ID管理ソフトは CA, Green Office, HP, Microsoft, Novell, Secured AccountOne, Oracle, Sun, Tivoli。 Sun Java System Identity Manager > http://docs.sun.com/source/819-5518/index.html。2005Q4M3 管理ガイド。 かなりの ボリュ−ムできちんとまとまっているドキュメント。 「日経SYSTEMS」2008/08, P.19〜39,"特集1 安全性と業務効率を両立させる バラ > ンス感覚のセキュリティ対策"。指紋認証1回で BIOS起動時、暗号化ハ−ドディスク、 Windows ログインの三つの認証をする。3回それぞれパスワ−ドを入れるのもできる。 ------------------------------------------------------------------------------------ [ 付録 ] パスワ−ドとユ−ザ認証について * ユ−ザ認証をちょっと考えた `27/10 2007年10月9日の晩に寝床でうかんで考えていた。パソコンの画面に表示されてい るアイコンを利用する。アイコンを順番に3つとか5つ、触れるなりクリックして行くと ロッグインができるというもの。選択したアイコンとその順番が認証コ−ドになる。これ がまず基本である。キ−ロガ−に分からないようにすることが大事である。 あと幾らでも考えられる。例えばアイコンをクリックする時間間隔も要素に入れてもいい。 1つ目から2つ目は5秒から7秒の間にクリックすることとか。アイコンの色を画面の背 景と同じ色にして隠してしまうとか。最初のパソコンの画面は、それ用の画面になるだろ う。ユ−ザ毎に表示するアイコンとかクリックするアイコンとかできるようにする。 認証の強度をどうやって計ったらいいか。パスワ−ドについては文字列8個で、組み合わ せは幾つと計算ができる。しかしこのアイコンの場合はどうか、同じか。アイコンの大き さが皆、一緒なら画面に並ぶ個数は最大幾つと分かる。その中で何個か選ぶ訳で結局、数 学的には組み合わせということになるのか。いや数学的な意味と実際では違うと思う。 アイコンをクリックする時間間隔をパラメ−タに加えた場合は、パスワ−ドの文字をキ− 入力していく時間間隔と同じことになる。今のところキ−入力の時間間隔を計ることはで きないと思うが。やってやれないことはない話だろう。Xウィンドウではマウスをクリッ クする時間間隔を設定して制御することができる。 個体認証との関係で何か思いついて、あるところで話したと思うが。ある特定のファイル がパソコンのフォルダにあるか、ある特定のプログラムが動いているかどうか。パソコン を使う前に特定のファイルを手作業で、指定フォルダにコピ−してやる。あるいはプログ ラムを用意してクリックすると、ファイルが生成されて指定フォルダにおかれるとか。 そういう利用ではなくて、ある指定したプログラムが実行されているか、ある指定したフ ァイルなり、ファイルの中のたとえばキ−ワ−ドがあるか。そういうファイルなどが存在 しているかどうかによって、パソコンの個体を識別する。どのぐらい安全なのか。各人で ファイルの中身や入れるフォルダの場所などを変えないとまずい。全員が同じ場所という のでは、どこかで1つばれれば全部のパソコンでばれてしまうことになる。 特定なファイルの存在を SSL-VPN のホストチェッカ−で調べることにより、 パソコンの 個体認証をするということ。FirePass では SSL コネクションが張られた後にホストチェ ッカ−が働くので、特定なファイルの存在は分からない、盗聴はできない。特定なプログ ラムを起動するということでも、そのプログラムの名前を SSL-VPN装置との間でやりとり する訳で、やりとりは暗号化されているので分からない。 これはかなり安全なユ−ザ認証になると思われる。 ↓ しかし単純には、何かを覚えていることには変わりない。 ↓ つまりパスワ−ドを覚えるということと同じである。 特定なファイルを特定のフォルダに手動で移動する。特定なプログラムを起動して、特定 なファイルを生成し特定のフォルダに入れる。最終的にどういうファイルがどこにあるか を SSL-VPN のホストチェッカ−で調べる、これは安全である。 しかしこの間のパソコン 内の動きはキ−ロガ−で分かるはずである。こうなると安全とはいえない。 そっくりパソコンをコピ−して、その人がとんずらしたらコピ−したパソコンでも、その 人は使えてしまう。あるいはそのパソコンを入手した第三者は使える。パソコンの個体認 証をホストチェッカ−だけでは破られるということである。パソコン個体認証の ROUD で はハ−ドディスクのスマ−ト情報( S.M.A.R.T. ) なんかも見ているので安全なのだが。 -------------------------------------------------------------------------------- こんなアイデアを特許にしないでください。幾らでもアイデアはでてくる。暗号化のアル ゴリズムは学会の発表論文になるだろうが、認証についてはあまりというかこれまで論文 はみたことがない。論文が載るとすればやはり情報処理学会か、昔入っていたけどやめた。 -------------------------------------------------------------------------------- * S.M.A.R.T. 情報について ( または SMART 情報 ) `2c〜`2e S.M.A.R.T. とは、ウィキペディアの説明では、 ハ−ドディスクドライブの障害の早期発 見・故障の予測を目的としてハ−ドディスクドライブに搭載されている機能である。 ATA 仕様は属性のIDが何かは規定されていない。ベンダ−がそれぞれ取り決めをしている。 SmartHDD Proと言うソフトをお試しでもらったことがある。最近まで机の中に入れてあっ たのだが、期限切れを見るかして多分ほかってしまった。他にもフリ−ソフトなんかが一 杯ある。資産管理ソフトを導入し、エンドユ−ザのパソコンに資産管理ソフトのクライア ントを入れているなら、多分 S.M.A.R.T. 情報の幾つかは取ってきているのでないか。 これまで S.M.A.R.T. 情報のハ−ドディスクの何がしかIDが取得できなかったことはな いのでないか。ROUD のパソコン個体認証でも利用されているのでないか。 取得できない ような状態とは、相当ハ−ドディスクが劣化しているか完全に故障したか。SI業者の話 として、稀に取得できないハ−ドディスクがあるとのことで、どこかメ−カも怪しいとか。 SSL-VPN 装置の Aventail は、この S.M.A.R.T. 情報をみることができるらしい。あるい は独自の仕組みでみているらしい。SSL-VPN 装置の利用がパソコンのハ−ドディスクの状 態チェックに流用できるということかも。パソコンのエンドユ−ザにとっては有難迷惑か も。結果的に SSL-VPN 装置が利用できないと、文句をいわれることもあるかも知れない。