1. ホーム >
  2. FUJITSU PCセキュリティラボ >
  3. 富士通の手のひら静脈認証技術 徹底解剖 第3回 クライアント仮想化やクラウド利用の普及に対応する、新世代手のひら静脈認証システム

FUJITSU PC Security Lab.

富士通がお勧めする Windows.

富士通の手のひら静脈認証技術 徹底解剖

第3回 クライアント仮想化やクラウド利用の普及に対応する、
新世代手のひら静脈認証システム

記事の要約

  • 認証ソフトウェア「SMARTACCESS/Virtual」は、仮想デスクトップや仮想アプリケーションの利用ニーズの高まりを受けて開発。仮想環境での生体認証によるシステムログインが可能。
  • データを仮想デスクトップへ送信する際のネットワーク負荷を軽減し、ユーザビリティを維持するため、物理PC上のSMARTACCESSで認証・照合を行う方式を採用。
  • 仮想環境上で動作する社内システムのID・パスワード認証を、手のひら静脈認証に置き換え、社内システムを改修せずに仮想環境上での認証セキュリティを強化。

全文を読む

 手のひら静脈認証技術への取り組みについて、製品開発に携わる富士通の研究員及び開発者自身が、数回に分けて解説する。
 前回は、ID/パスワードおよび生体テンプレート情報を一括管理する個人認証専用サーバ「Secure Login Box」(以下、SLB)と、手のひら静脈を使って、Windowsや業務システムへのログインにおけるIDやパスワードの手入力を代行する統合認証ソフトウェア「SMARTACCESS」(以下、SA)について紹介した。いずれも、セキュリティレベルの向上とシングルサインオン(SSO)による利用者・管理者の利便性向上を実現する強力なツールである。
第2回「手のひら静脈認証の実用性を向上させる、専用サーバと専用ソフト」はこちら→
 第3回は、クラウドコンピューティングの普及や、モバイル環境などワークスタイルの多様化に伴い、生体認証ユーザーの間で急速に高まるクライアント仮想化への要望を受けて開発された、認証ソフトウェア「SMARTACCESS /Virtual」(以下、SA/Virtual)の開発背景や製品特徴について解説する。

SMARTACCESS /Virtualの開発背景

 近年、クライアント環境をサーバに集約することで端末にデータを残さず、必要に応じてシンクライアントから呼び出す、仮想デスクトップや仮想アプリケーションの利用ニーズが急速に高まっている。2014年に発表されたIDG Japanの調査によれば、5年後には法人向け端末は約半数が仮想環境で動作、国内シンクライアント出荷台数も現在の約2倍に成長すると予測され、国内のクライアント仮想化が急ピッチで進んでいることが明白である。
 今後、システムの仮想化が進展するに伴い、クライアント端末の社外持出しや、BYOD(Bring Your Own Device)に代表される個人端末からのアクセスなどのアクセス環境の多様化、さらには業務システムのクラウド化や他社業務システムとの連携が進展していく。性質の異なるシステム要素が一つの業務システムを構成することを考慮し、安全な作業環境を構築する必要がある。

 クライアントの仮想化では、端末にデータを残さないため、万が一端末を紛失したり盗難に遭っても、情報漏えいの心配はないと考えがちである。しかし、仮想化環境へのアクセスにはパスワードを用いており、それを見破られてしまえば、不正アクセスなどを防止することができない。よって、仮想環境上での業務システムなどへのログインをはじめ、さまざまな環境から外部ネットワークを介して仮想環境を利用する際の利便性を保ちつつ、確実に本人認証できる仕組みが必要なのは言うまでもない。
従来の生体認証システムでは、クライアント端末と生体認証サーバ、業務サーバを社内ネットワークに接続して運用することが前提となるケースが多い。第2回でも記載したが、富士通ではID/パスワードを一元管理する個人認証専用サーバ「SLB」と、統合認証ソフトウェア「SA/Premium」を利用し、次のような流れで処理を行っている。
●ID/パスワード入力画面を検知して、生体認証を要求する画面を表示。
●利用者の手のひら/指紋から特徴情報をSLBに送信。
●「SLBにて登録されているデータと照合を行いマッチした場合、ID/パスワードをSA/Premiumに送信。
●SA/PremiumがID/パスワードを入力画面に自動的に入力。

 SLBとSA/PremiumのID/パスワード自動入力機能を利用したSSOシステムは、利用者とシステムの接点、すなわち仮想環境へのアクセス時における生体認証に対応していたが、仮想環境上で利用される業務システム等のID/パスワードへの生体認証には対応できていなかった。
 お客さまがクライアント仮想化への移行を検討される際に、生体認証も仮想環境上で同じように利用したいという要望を受け、仮想デスクトップや仮想アプリケーションに対応した認証ソフトウェア「SA/Virtual」の開発を始めた。「SA/Virtual」では、「VMware」や「Citrix」といった仮想環境においても、生体認証によるWindows OSや社内システムのログインが可能になる。さらに、生体認証によりIDとパスワードを入力する手間がなくなるので利便性も向上する。

開発時の課題 -生体認証システムを仮想環境上で動かすということ

 「SA/Virtual」の開発を始めたころ、「仮想環境上で生体認証を動作させるためには、いくつかの課題があった。
 まず、認証を行いたいのは仮想デスクトップ、またはそこからアクセスする業務アプリケーション/Webサイトである。通常のアプリケーションであれば、仮想環境へすべての機能を移行することが考えられるが、その場合はクライアント側で手のひらの画像をセンサーが読み取り、その画像情報を仮想環境上のSAへ送信する必要がある。この時、読み取りをスムーズにするために、正しい手の位置を視覚的に示すユーザーガイド(図X)を表示させるのだが、仮想環境へすべての機能を移行した場合には、ユーザーガイドのフィードバック処理に負荷がかかるため、レスポンスの遅延によるユーザビリティ低下という問題が生じた。また、認証要求は通常、業務開始時に集中すると想定される。データを仮想デスクトップへ送信する際のネットワークにかかる負荷を軽減し、ユーザビリティを維持するためには、センサーとアプリケーション間の通信におけるデータを軽量にする必要があった。
 製品化するにあたっては、物理PC上でもSAを動かすことでこれらの課題を解決した。つまり、物理PC上に置いたSAが認証・照合までの処理を行い、それ以降の処理を仮想環境上のSAで行う方式とした。

図X

SA/Virtualの特徴

 「SA/Virtual」は、「VMware Horizon (with View)」、「Citrix XenDesktop」、「Citrix XenApp」といった仮想環境へのログオンをはじめ、仮想環境上で動作する社内システムのIDとパスワード認証を、手のひら静脈認証に置き換える。仮想環境上でパスワード認証画面を登録するだけの簡単な操作で、社内システムを改修せずに仮想環境上での生体認証に対応し、認証セキュリティを強化するのが特徴である。特に、偽造困難で認証精度が非常に高い手のひら静脈認証を利用することで、確実な本人認証を実現する。
 「SA/Virtual」を利用すれば、仮想デスクトップへのログインから仮想環境で動作する社内システムまで、仮想環境の複数システムへのSSO運用が可能となり、システムごとにIDとパスワードを手入力する必要がなくなる。センサーに手をかざすだけの簡単な操作で本人認証が完了するため、システム利用者の利便性と業務効率が向上する。また、セキュリティ運用レベルに応じて、特定の社内システムをシングルサインオンの対象から除外する設定も可能である。

 「SA/Virtual」のシステム設定情報や認証情報などのユーザー情報は、専用サーバ「SLB」で一括管理できる。利用者の生体情報を複数の業務システムのID/パスワード情報と紐付け、Active Directoryや資産管理台帳と連携させて管理者側で一元管理できるため、利用者にパスワード管理を委ねないセキュアな運用が実現する。
 また、生体認証による確実な本人認証が可能なうえ、システムの認証ログによる証跡管理が可能で、内部不正の抑止にも貢献する。さらに、パスワードの忘却対応など、管理者側の管理運用負担も軽減でき、VMware, Citrixによるクライアント仮想環境においても、従来のSA/Premiumでの生体認証と同様の運用が可能になる。
 このほか、SA/Virtualのみ使用の場合は物理端末のBIOSパスワードの入力とWindowsログオンには対応していないが、SA/Premiumと併用することにより、物理端末の起動以降、すべての認証を生体認証で行う構成も可能である。 つまり、仮想環境とFATクライアントのローカルデータ両方を生体認証で保護することができる。

※本商品とSMARTACCESS/Premium V4.0L10は、併用可能ですが、連携する機能はありません。
※クライアント端末でシングルサインオンが動作している場合でも仮想環境にログオンするときには認証が必要となります。
※また、SMARTACCESS/Premium を併用する場合の仮想環境へのログオンは、SMARTACCESS/Virtualで設定をおこなってください。

 本稿ではこれまで3回に分けて、生体認証技術のパイオニア富士通の、手のひら静脈認証技術への取り組みの最前線を解説してきた。
 富士通では、2015年10月から、富士通及び国内グループ約200社8万人の従業員用端末を対象に、生体認証とクライアント仮想化の適用を順次展開することを決定した。クラウド上に生体認証システムを構築し、生体認証を搭載したモバイルノートPCやタブレット端末を活用した、仮想化による情報一元管理で情報漏えいリスクの低減に取り組んでいく試みである。今後も富士通はこうした自社での実践を通じて獲得した成果と、生体認証にかかわる技術力やイノベーションを基に、お客さまの情報セキュリティ対策の向上に貢献すべく取り組んでいく。

【関連記事】
富士通の手のひら静脈認証技術 徹底解剖 第1回 認証方式の仕組みと安全性
富士通の手のひら静脈認証技術 徹底解剖 第2回 手のひら静脈認証の実用性を向上させる、専用サーバと専用ソフト
和田 篤志

富士通株式会社
ユビキタス戦略本部
先進開発統括部
マネージャー

横澤 宏

富士通株式会社
ユビキタス戦略本部
先進開発統括部
シニアマネージャー

新崎 卓

株式会社富士通研究所
知識情報処理研究所
次世代認証・
認可プロジェクト
プロジェクト
ディレクター

富士通パートナー及び当社担当営業とお取引があるお客様は直接担当者へお問い合わせ
ください。
電話でもご注文・ご相談を承りますので、右記窓口までご連絡ください。

富士通購入相談窓口

0120-996-186受付時間 9時〜19時

Intel Inside® 飛躍的な生産性を

  • インテル® Core™ i7 vPro™ プロセッサー
  • インテル® Core™ i5 vPro™ プロセッサー
  • インテル® Atom™ プロセッサー

Intel、インテル、Intel ロゴ、Intel Inside、Intel Inside ロゴ、Intel Atom、Intel Atom Inside、Intel Core、Core Inside、Intel vPro、vPro Inside、Celeron、Celeron Inside、
Itanium、Itanium Inside、Pentium、Pentium Inside、Xeon、Xeon Phi、Xeon Inside、Ultrabook は、アメリカ合衆国および/またはその他の国における Intel Corporation の商標です。