1. ホーム >
  2. FUJITSU PCセキュリティラボ >
  3. 富士通の手のひら静脈認証技術 徹底解剖 第2回 手のひら静脈認証の実用性を向上させる、専用サーバと専用ソフト

FUJITSU PC Security Lab.

富士通がお勧めする Windows.

富士通の手のひら静脈認証技術 徹底解剖

第2回 手のひら静脈認証の実用性を向上させる、専用サーバと専用ソフト

記事の要約

  • 認証に必要なデータを一元管理する専用機Secure Login Box(SLB)は、複雑な設定作業が不要。既存のアプリケーションにアドオンし、手のひら静脈認証が可能に。
  • 登録時と格納時の二重の暗号化や、クライアント端末との通信時に毎回暗号鍵を自動変更するなど、強固な安全対策を実施しているSLB。さらに、2種類のログ機能で情報漏えいのリスクを低減。
  • 認証後に自動的にID/パスワードを代行入力する専用ソフトウェアSMARTACCESS。パスワードの記憶・入力を不要とし、認証基盤の強化と利便性向上を実現。

全文を読む

 手のひら静脈認証技術への取り組みについて、製品開発に携わる富士通の研究員及び開発者自身が、数回に分けて解説する。
 2004年に世界で初めて金融ATM向けに実用化して以来、ノートPCやタブレット内蔵型の開発・改良を進めている富士通の手のひら静脈認証技術。体内情報であるため外部環境に左右されにくく、本人以外は同じ特徴を持たないため盗まれにくい、という利点を活かした手のひら静脈認証技術は、2015年現在、他人受け入れ率0.00008%という高精度の認証を実現している。
第1回「認証方式の仕組みと安全性」はこちら→
 第2回は、こうした安全性の高い機能を備える手のひら静脈認証の実用性向上に貢献する2種類の秘密兵器――ID/パスワードおよび生体テンプレート情報を一括管理する個人認証専用サーバ「Secure Login Box」と、手のひら静脈を使って、Windowsや業務システムへのログインにおけるIDやパスワードの手入力を代行する、統合認証ソフトウェア「SMARTACCESS」――の機能と特性について詳しく解説する。

パスワード認証の課題

 近年、企業内では本人確認を必要とするアプリケーションが増え、そのためのID/パスワードの管理が大きな課題になっている。パスワード認証では一般的に、①利用するシステムごとにパスワードを設定する。②類推しにくいもので定期的に更新する。③パスワードをメモ帳などに記載しない、などのパスワード管理を要求される。類推を容易にさせるパスワードの使い回しを防止し、リスト型アカウントハッキングのような不正アクセスを試みる側につけ入る隙を与えないのがその理由だが、利用するシステムが多いとこれらの厳密な運用をすべての利用者が行うことは困難である。富士通が一般ビジネスマンを対象に行った調査では、一人の社員が使用するシステム数は平均で4.7。従業員のうち、93%がパスワードを使い回しており、3人中2人が類似パスワードを使用しているという実態が明らかになっている。
 一方、本人認証時の履歴の一括管理も求められている。万一、不正アクセスが発見された場合も、ユーザーのログイン履歴を基に証跡を追うことで、被害を最小限にとどめることが可能になるからである。
こうした背景を踏まえ、ビジネスユーザーのシステムログイン時における認証セキュリティ強化のために開発されたのが、個人認証サーバ「Secure Login Box」(以下、SLB)と、ID/パスワードの自動入力管理ソフトウェア「SMARTACCESS」(以下、SA)である。

SLB、SAの機能と仕組み

 SLBは認証に必要なユーザーデータを一元管理するアプライアンスである。付属ユーティリティでIPアドレスなどの設定を行うだけで、既存システムへ導入できる。Windowsログオンや業務システムのログイン時のID/パスワードの代わりに手のひら静脈での認証を実行し、ユーザー名をキーに、手のひら静脈データ、ID/パスワードとひも付けて管理する機能を持つ。また、専用ソフトSA/Premium(後述)と連携し、シングルサインオン機能を提供する。SLBは利用者の認証ログを確実に残すことができ、認証履歴の収集や分析による証跡管理の強化も可能になる。
 一方、SAは、SLBと連携してID/パスワードの自動入力管理機能をクライアントPC側で実行するソフトウェアである。SAは認証後に自動的にID/パスワードを代行入力する。導入時に生体情報を登録すれば、パスワード入力なしに手のひらだけで本人の認証が可能になる。
 このように、パスワードをキーボードで入力する代わりに手のひら静脈で認証を行うので確実な個人認証を実現できる。システム管理者側は、パスワードの使い回しやなりすましなどの心配が解消されると同時に、パスワード忘却への対応から解放される。一方、利用者は多くのパスワードを覚える必要がなくなり、利用者のパスワードリテラシーに依存しない認証管理の運用が可能になる。

<基本的な認証の流れ>(図1)

図1:基本的な認証の流れ

SLBは導入しやすい簡単セッティング

 SLBのコンセプトの一つとして簡単セッティングがある。導入後、比較的に複雑な設定作業を必要とせず、既存のアプリケーションにアドオンする形で簡単かつ迅速に手のひら静脈認証システムの運用を開始できる。SLBをLAN(お客さまネットワーク)につないで装置添付のユーティリティ、またはブラウザにより、装置のIPアドレスや管理者設定などを、専用機ならではの簡単な対話式画面で設定が可能である。
 通常のサーバセットアップでは不可欠な、端末自体の設定やアプリケーションのインストール、システム構築等も不要。システム自体の設定項目も必要なものだけなので、電源を入れてネットワークにつなげば、すぐ認証システムのセッティングが可能となる。また、専用のグラフィカルUIによりコマンド操作もいらず、ユーザー管理やシステムの運用設定が簡単にできる。
 さらにSLBは、多人数の利用者やグループの登録および権限の設定のために、指定形式のCSVファイルによるインポート/エクスポート機能をサポートしている。CSVでリストを作成し、インポートすることにより、複数利用者やグループの情報を一括して登録可能である。この機能を用いてほかのシステム、たとえば人事DBとCSVデータを通して連携を取ることも可能である。本日付で退社/異動した人、明日から入社/異動してくる人などのデータを人事DBから生成し、CSVファイルに変換して、SLBに夜間バッチなどでインポートすることで、ID管理を効率的にサポートすることが可能となる
 SLBでは基本の2台構成で3,000人の利用者に対応し、最大4台連携動作で6,000人の利用者への対応が可能である。安定運用のため、万が一の故障に備えて2台構成を基本にしている。
 最新のSLBでは、1利用者あたり50種類の業務システムのID/パスワードの登録が可能である。会社の制度やシステム上、定期的にパスワードを変更する必要がある場合も、前記のインポート機能を利用すればパスワードの一括変更を行うことができる。管理者の負担は増えるように見えるが、作業をバッチシステム化させれば自動化も可能である。

二重の暗号化で強固な安全対策

 SLBは利用者の手のひらから取り出した静脈パターンを暗号化して登録(図2-①)。さらに、登録データはSLBのハードディスクに格納する際にも暗号化する(図2-②)ことで、静脈データなどの保護を実施している。
 SLBとクライアント端末間で通信する際にも、手のひら静脈情報やID/パスワード情報は毎回暗号鍵を自動変更しており(図2-③)、たとえ通信内容を傍受されたとしても容易に内容が分からないような仕組みをとっている。万一、SLBが盗難に遭っても、データベース自体も暗号化しており、容易に盗まれたデータを悪用することはできないようにしている。

図2:強固なデータセキュリティ

 また、SLBは24時間運転に対応していると同時に、停電時などに備え、UPS(無停電電源装置)の接続にも対応している。UPSのバッテリ残量が少なくなった場合には、自動的にシャットダウン処理を実行して、データを安全に保護する。

認証ログの詳細な保管と管理で、情報漏えいのリスクを低減

 SLBは企業の内部統制用に、システム管理者が利用者の管理に用いる詳細なログ機能を用意している。ログ機能には2種類あり、管理者ログとして、SLBの管理者が設定変更などの操作を行った場合に、実施した操作の内容を自動的にログとして記録する。一方、利用者ログとして、いつ、どのPCが、どの業務システムにログインを試みたか、その結果なども詳細に記録することができる。
 クライアントとSLBのネットワーク接続が切れている状態でクライアントPC内で認証を行った場合でも、SLBとの再接続時にクライアントPCからSLBにログが自動的にアップロードされる機能を持つ。SLBの認証サービス管理者は、これらのログに対して参照、ダウンロード、削除などの操作を行うことができる。これらのログはほかのPCにダウンロードして保存することが可能である。
 さらに運用モニタリング機能を使用すると、こうしたログを参照する負荷を軽減することができる。ログから得られる情報を基に自動的に分析してまとめて表示することでSLBの稼働状況、手のひら静脈認証の照合成功率の監視、利用者ログの容量監視、照合トラフィックを監視することが可能である。
 そのほかにも、SLBは認証のための専用装置であり、汎用サーバと比較してセキュリティホールとなりやすい認証機能には不要な外部とのインタフェースやI/Oを持たなくともよいという利点がある。

既存のパスワード認証システムにアドオン。
SAによる認証の仕組みと特長。

 SAは、Windowsログオンや業務システムへのログインにおける、IDやパスワードの手入力を代行する、統合認証ソフトウェアである。利用者はシステムごとに異なるパスワードを記憶・入力する必要がなくなり、複数の業務システムのログイン時にもSSO(シングルサインオン)が可能になるため、認証基盤の強化と同時に、利便性向上と運用コストの低減を実現する。
 また、システム管理者にとっても、一般利用者にシステムへのログインパスワードを知らせないで運用することも可能なため、パスワード忘却時の対応工数の削減やパスワード漏えいリスクの低下が可能となる。さらに一般利用者にとって定期的なパスワード変更作業が不要になることや、SSOによりシステムごとに異なるID/パスワードの統合管理作業工数の削減など、導入効果は大きい。
 入力したパスワードがPCに残らない仕組みも特長の一つである。インターネットにつながっていれば、外出時もこの仕組みを利用でき、オフライン時にもあらかじめSLBに保管してあるデータをPCにダウンロードすることで利用できる。なおオフライン時の使用可能期間は、管理者が設定できる。

 SAには、BasicとPremiumの2種類のエディションがあり、基本となるWindowsログオンやアプリケーションログインなどの機能では同じだが、Basicは小規模で、ユーザーが自分で管理するための機能を持つ。それに対してPremiumはSLBでのユーザーの集中管理が可能なため、大規模システムで管理者が設定、管理する機能を持つ。いずれもお客様の既存のパスワード認証システムに大規模な変更を必要とせず、従来の運用にアドオンすることができるためスムーズな導入が可能である。

 業務システムへのログインは、SAの「SSO Catalog Manager」から、ログイン時のID/パスワード入力画面にマウスでドラッグ&ドロップし、表題とURLを自動取得して関連付けし、流し込みのテストを行う。ID/パスワード入力画面に対してSAの設定をおこなう(ログイン画面の表題、ID入力フィールド、パスワード入力フィールド、OKボタンなどをSAに記憶させる)ため、元となる業務システム自体の改造を必要としない。設定完了後、ログイン画面が表示されると、自動的にセキュリティツールを要求する画面が表示される仕組みである。関連付けした結果の情報は、他のPCへファイルとして配布したり、ネットワーク共有フォルダに保存し、他のPCと共有することが可能であり、各端末で何回も同じ関連付け作業を行う必要がない。(図3)

図3:SAによる業務システムの関連付け

 ただし、アプリケーションのログオン画面には様々な種類があり、全てのアプリケーションでSAのアプリケーションログイン機能を利用できるわけではないため、SSO Catalog Managerで事前に流し込みできることをテストしていただきたい。
また、1台当たりにログオン可能な業務システム数は、セキュリティハードや情報の格納場所により、Windowsログオンを含め単体利用時で30個(SLB連携時は50個)となる。
運用にあたってはSLBと連携した以下のようなユースケースが想定される。
<ローカル運用>
SAを使ってWindowsや業務システムのパスワード入力を手のひら静脈認証で代行。静脈センサー内蔵PCに標準装備されたSA・Basicを使用し、利用者が自分で設定・運用することができる。
<クライアント・サーバ運用>
SA・Premiumを使用することで、手のひら静脈データや、代行入力するID/パスワードデータをSLBで一元管理。PCに依存せず、配下のどのPCからの利用も可能とする。SLBの管理者権限により、一時的な認証不許可など多様なユーザー管理を実現するほか、他のID管理システムとの連携によるトータルなユーザー管理をサポートする。
※SA・Premium は導入規模(コンピュータの台数)に応じて、ライセンスの購入が必要。

 以上、第2回では、手のひら静脈認証の実用性を広げる専用サーバと専用ソフトについて解説した。次回は、社内システムの仮想化やクラウド利用の普及に対応する手のひら静脈認証システムについて解説する。

【関連記事】
富士通の手のひら静脈認証技術 徹底解剖 第1回 認証方式の仕組みと安全性
富士通の手のひら静脈認証技術 徹底解剖 第3回 クライアント仮想化やクラウド利用の普及に対応する、新世代手のひら静脈認証システム
和田 篤志

富士通株式会社
ユビキタス戦略本部
先進開発統括部
マネージャー

横澤 宏

富士通株式会社
ユビキタス戦略本部
先進開発統括部
シニアマネージャー

新崎 卓

株式会社富士通研究所
知識情報処理研究所
次世代認証・
認可プロジェクト
プロジェクト
ディレクター

富士通パートナー及び当社担当営業とお取引があるお客様は直接担当者へお問い合わせ
ください。
電話でもご注文・ご相談を承りますので、右記窓口までご連絡ください。

富士通購入相談窓口

0120-996-186受付時間 9時〜19時

Intel Inside® 飛躍的な生産性を

  • インテル® Core™ i7 vPro™ プロセッサー
  • インテル® Core™ i5 vPro™ プロセッサー
  • インテル® Atom™ プロセッサー

Intel、インテル、Intel ロゴ、Intel Inside、Intel Inside ロゴ、Intel Atom、Intel Atom Inside、Intel Core、Core Inside、Intel vPro、vPro Inside、Celeron、Celeron Inside、
Itanium、Itanium Inside、Pentium、Pentium Inside、Xeon、Xeon Phi、Xeon Inside、Ultrabook は、アメリカ合衆国および/またはその他の国における Intel Corporation の商標です。