Archive for the ‘アクセス管理’ Category

仮想化技術を応用した次世代ファイアーウォール

Friday, March 15th, 2013

RSA Innovation Sandboxで注目を集めた企業にBromium (ブロミアム) がある。BromiumはCupertino (カリフォルニア州) に拠点を置くベンチャー企業で、企業向けに、次世代のファイアーウォール技術を提供している。同社ブースでは即席のセミナーが始まり、多くの参加者が詰めかけた (下の写真、出展:VentureClef)。

g311_bromium_01

仮想化技術で攻撃を封じ込める

Bromiumが提供するソフトウェアはvSentry (ブイ・セントリー) と呼ばれ、利用者のパソコンにマイクロ仮想化領域を生成して、マルウェアからの攻撃を防ぐ。利用者がウェブサイトにアクセスした際は、この操作をマイクロ仮想化領域で実行する。悪意あるサイトにアクセスした際は、サイトからの攻撃を仮想化領域に留め、システム全体に被害が及ばない構造である。Bromiumは、Hardware Assisted Virtualizationという方式で、パソコン上に仮想化領域を生成する。この方式はCPUに組み込まれているハードウェア機能 (Intel VT-xなど) を使って、高速に仮想化処理を実行する。Bromiumは、MicrovisorというコンポーネントをWindowsにインストールし、マイクロ仮想化領域を生成する。マイクロ仮想化領域は、通常の仮想化技術のように事前にプロビジョニングしておく必要はなく、必要に応じて高速で生成される。

g311_bromium_02

利用者はブラウザーでウェブサイトにアクセスする際に、ホワイトリストで指定されたサイトは、通常通り、Windows上で処理される (上のグラフィックスの水色の領域、出展:Bromium)。一方、これ以外のサイトにアクセスする際は、Microvisorがマイクロ仮想化領域を生成し、処理はこの領域で実行される (同赤色の領域)。マイクロ仮想化領域は、実行しているタスクの挙動をモニターし、制限されている命令を実行すると、CPU VM_EXIT命令を発行し、タスクを停止し、制御をMicrovisorに返す。マイクロ仮想化領域では、タスクが必要とするコンピュータ資源だけを割り当てる構成となっている。

仮想化技術をファイアーウォールに応用

Bromiumの共同創設者は、オープンソース仮想化技術を開発してきたSimon Crosby (サイモン・クロスビー) である。Crosbyは、オープンソース仮想化技術であるXen (ゼン) をサポートする企業である XenSourceを設立し、後に、Citrixが買収した。Xenは、サーバ仮想化技術で幅広く利用されているソフトウェアである。Crosbyは、今回は、仮想化技術をファイアーウォール向けに応用した製品を開発した。ネットワーク・トラフィックの特徴から攻撃を見つけ出すという、従来方式のファイアーウォールがうまく機能しない中、仮想化技術を応用したファイアーウォールに期待が寄せられている。

パスワードでの情報保護は限界に達したのか

Thursday, March 7th, 2013

Googleは、2013年1月、セキュリティに関する研究結果を公表した。このレポートは「Authentication at Scale」というタイトルで、ユーザ認証技術についての評価報告である。Googleはこのレポートで、「パスワードとクッキーで利用者を守ることはできない」と結論付け、新たな技術の導入を検討していることを明らかにした。

g309_yubico_01

ユーザ認証にハードウェア・キーを利用

Googleが評価している技術の一つがYubiKey (ユビキー) という製品である。この製品は、Palo Alto (カリフォルニア州) に拠点を置く、Yubico (ユビカ) というベンチャー企業により開発されている。YubicoはRSA Conferenceに同社の最新技術を出展していた。Yubicoのブースにおいて (上の写真、出展はすべてVentureClef)、John Salterから、製品デモを交えて、最新製品の説明を受けた。下の写真がYubicoが提供しているYubiKeyで、ハードウェア・トークンとして機能する。利用者はYubiKeyをパソコンのUSBドライブに差し込んで使用する。YubiKeyはワンタイム・パスワードを生成する装置で、ウェブサイトへのログインなどで使用する。利用者はウェブサイトのログインで、パスワードの入力を行う代わりに、YubiKeyにタッチしてワンタイム・パスワードを生成する。

g309_yubico_02

YubiKeyは三つのタイプがあり、写真中央がYukiKey Standard、左側がその小型版のYubiKey Nano、右側がUSBに加えNFC (Near Field Communication) インターフェイスを備えているYubiKey NEOである。

g309_yubico_03

上の写真は、パソコンのUSBポートに、YubiKey Standardを挿入して利用している様子である。パソコンではブラウザーを起動し、ウェブサイトにログインするところである。IDとパスワードを入力する代わりに、YubiKey Standardが生成するワンタイム・パスワードを利用する。カーソルをパスワード入力枠に合わせ、YubiKey Standardの表面 (金色の円盤の部分) にタッチすると、パスワードが自動的に入力される。下のスクリーンショットがその様子で、パスワード入力枠にYubiKey Standardが生成した、ワンタイム・パスワードが入力されたところである。パスワードは、一瞬だけ表示され、文字はドットに置き換わり、非表示のモードとなる。これでウェブサイトへのログインが完了する。

g309_yubico_04

上述のYubiKey NEOは、USBとNFCインターフェイスを持つ製品である。YubiKey NEOをNFC機能を搭載しているスマートフォンやタブレットにかざすと、同様に、ワンタイム・パスワードを生成する。下のスクリーンショットは、YubiKey NEOをNexus 7にかざして、パスワードを入力し、ウェブサイトにアクセスした様子である。 これはYubiKeyのデモサイトで、認証が完了すると、Congratulations!のメッセージが表示される。このように、YubiKeyは、自動車のキーのように、デスクトップやスマホ・タブレットから、ウェブサイトにアクセスする際に利用する。

g309_yubico_05

パスワードが破られる事件が相次いだ

2012年は著名人のパスワードが破られる事件が頻発した年となった。雑誌Wiredの記者であるMat Honanは、2012年8月に、パスワードを盗まれ被害にあったことをWiredの記事で明らかにし、もはやパスワードは機能していないと主張している。Honanによると、Apple、Twitter、Gmailのパスワードが盗まれ、iPhone、iPad、MacBookに保存していた、メール、住所録、子供の写真など、全てのファイルが消去された。Honanは、「デジタル・ライフのすべてを失った」と述べている。Honanのパスワードを盗んだ手口はSocialing (ソーシャリング) と呼ばれている。Socialingとは、クラッカーがサポート・センターに電話して、利用者のパスワードをリセットする手口である。Honanのケースでは、Appleのパスワードがリセットされた。クラッカーは、Honanの住所とクレジットカード番号下四桁で、Appleサポート・センターに電話し、簡単にパスワードのリセットに成功した。消費者の住所とクレジットカード番号はウェブサイトで違法に購入できる。数か月後には、New York TimesのDavid PogueのAppleパスワードが盗まれた。PogueのケースではSecurity Questions (秘密の質問) が悪用された。Pogueの秘密の質問は1) 最初に買った自動車、2) 好みの車種、3) 2000年1月1日に何処にいた、である。クラッカーはGoogle検索エンジンで、Pogueの最初の車はCorollaで、Priusを高く評価していることを見つけ出した。2000年1月1日は、ミレニアムを祝って、多くの人はパーティー会場にいた。これでハッカーはパスワードをリセットすることに成功した。

パスワードを安全に運用するために、パスワード構成文字列を強化し、同じパスワードを別のサイトで使用すべきでないと言われても、人間の記憶能力には限界がある。パスワードを強化しても、Socialingの手口やウェブサイトに流出している個人情報を悪用して、パスワードがリセットされる。パスワードという方式そのものが限界に達し、Yubicoのような物理的なキーが注目され始めた。デバイスを紛失した際に、どう対応するかなど、解決すべき問題を含んでいるが、YubiKeyを使ってみて、認証技術の方向が見えてきたように感じた。

日本市場を意識したBYODソリューション

Saturday, March 2nd, 2013

セキュリティに関する最大のカンファレンスであるRSA Conferenceが、今週、San Franciscoで開催された。近年、ベンチャー・キャピタルはセキュリティ企業に重点的に投資を行っており、イノベーティブな技術が数多く登場した。

g308_remotium_01

スマホ・タブレットで安全に業務遂行

カンファレンスでは、Innovation Sandbox (イノベーション・サンドボックス) と題して、最新のセキュリティ技術が紹介された。予備審査を通過した10社が、ステージで技術を披露し、審査員が内容を判定する形式で実施された。会場ではベンチャー・キャピタルが有望企業と面談し、その場で投資の決定が行われるなど、熱気のこもったイベントとなった。その中で、今年の最優秀賞を獲得したのは、Remotium (リモーティアム) という新興企業である。同社のCEOであるSinan Erenが、会場中央のステージの上で、製品のポイントを印象的にアピールした(上の写真、出展:VentureClef)。

RemotiumはSan Mateo (カリフォルニア州) に拠点を置くベンチャー企業で、企業内に持ち込まれるタブレットやスマートフォン向けにセキュリティ機能を開発している。社員はスマートフォンやタブレットにRemotiumというアプリをインストールして利用する。下の写真 (出展:VentureClef) は、iPhone 5でRemotiumを起動したところで、Remotium配下で稼働しているアプリが表示されている。ここには、メール、ブラウザー、Evernoteなどが登録されており、社員はこれらのアプリを使って業務を行う。これらのアプリは、iPhone 5にインストールされ、デバイスで稼働しているのではなく、Remotiumのサーバで稼働している。アプリの実行結果がVisual Elementsとして、iPhone 5にストリーミングされる。デバイス側にはデータが残らないため、iPhone 5から企業データに安全にアクセスすることができる。

g308_remotium_02

後日、ErenがRemotiumのデモを交えて、機能を紹介してくれた。実際にiPhone 5でRemotiumを起動し、Boxアプリを使ってみた。Boxアプリをオープンすると、Boxに保存されているフォルダーとファイルが表示された。この中でPDFファイルにタッチすると、プレゼンテーション形式のスライドが表示された。操作感覚は、iPhone 5でネイティブ・アプリを操作しているようで、違和感は全くなかった。ただ、大容量ファイル操作では、Verizonの通信状況が悪く、ぎこちない面もあった。下の写真 (出展:Remotium) はDropboxを起動 (左側) して、保存しているフォルダーとファイルを閲覧 (右側) している様子である。iPhone 5にはデータは保存されず、社員はスマートフォンやタブレットから、安全に企業データを閲覧できる。

g308_remotium_03

Remotiumのシステム構造

Remotiumはサーバ側にアプリをインストールして稼働させる。Appleのケースでは、Volume Purchase Programの規定に準拠して、アプリを纏めて購入し、デバイスに配信する。サーバ側でアプリは、Virtual Instanceとして、Linux上で稼働する。サーバからは、前述の通り、アプリ実行結果がデバイスにストリーミングされる。これはSonyが買収したGaikai (ガイカイ) という技術に似ている。Gaikaiはサーバ側でゲームが実行され、実行結果がデバイスにストリーミングされ、利用者はこれをインタラクティブに操作する。これと同様に、Remotiumサーバでのアプリ実行結果が、映画のようにデバイスにストリーミングされ、利用者はデバイスでこれをインタラクティブに操作する。下の写真 (出展:VentureClef) は、コンソールからRemotiumで利用できるアプリを定義している様子である。IT管理者は業務で利用するアプリとして、Adobe PlayerやDropboxなどを登録している。アプリのアイコンがコンソールに示されており、IT管理者はアイコン上の登録ボタンをクリックするだけで登録処理が完了する。登録されたアプリはRemotiumのサーバで稼働する。アプリはVirtual Instanceとして稼働するため、アプリへの改造などは不要である。

g308_remotium_04

ネットワーク通信速度がカギを握る

Remotiumはアプリの実行結果をデバイスにストリーミングする構造で、回線速度は3G以上が必要である。Erenは、「Remotiumは、開発当初から、通信ネットワークが高速である日本市場を意識している」と述べ、「Remotiumは日本市場との相性がいい」と説明した。Remotiumは、Amazon上に構築されており、アメリカ、ヨーロッパ、日本のAmazonでシステムを展開している。Erenは、システム展開方式についても言及した。「現在はRemotiumはクラウド・サービスとして展開しているが、今後は、ハードウェアとソフトウェアを統合したアプライアンスとして提供する」と説明した。企業はRemotiumアプライアンスを自社に設置して、安全にBYODソリューションを展開できる。Erenはアメリカ政府とセキュリティ技術の研究を行い、スマートフォンやタブレットの脆弱性を一番理解している人物である。如何にデバイスのシステムを堅牢に設計しても、必ずデバイスに侵入する手法が登場する。企業データを安全に扱うためには、デバイス側にデータを残さないことである、というのがErenの信条である。Remotiumはそれを体現した構造となっている。

Out of Band Authentication

Thursday, November 15th, 2012

新興企業が最新技術を紹介するカンファレンスであるDEMO Fall 2012では、スマートフォンを活用した様々なセキュリティ技術が登場した。

g293_authentify_01

Authentifyというベンチャー企業

AuthentifyはChicago (イリノイ州) に拠点を置く企業で、Out of Band Authentication技術を開発している。Out of Band Authenticationとは、利用者がパソコンでウェブサイトにアクセスする際に、パスワード入力の他に、第二の認証をパソコンとは異なるルートで行なう技術である。上のスクリーンショット (出展はいずれもAuthentify) がその事例で、利用者がXYZ Financialという銀行のオンライン・バンキングにアクセスして、銀行送金を行なっている様子である。この際Authentifyは、パソコンとは異なるルートであるスマートフォンで第二の認証を行なう。利用者はこのサービスを利用するにあたり、Authentifyが提供する2CHKというアプリをスマートフォンにインストールしておく。下のスクリーンショットがその様子で、利用者であるJohn Smithが、上述オンライン・バンキングで、2500ドル送金する処理を行なうと、その通知が利用者のiPhoneに届く (下のスクリーンショット左側画面)。この項目にタッチすると、トランザクションの詳細が表示される (同右側画面)。

g293_authentify_02

利用者は内容が正しければConfirmボタンを押すとトランザクションが成立する。見覚えのない銀行送金トランザクションが2CHKに表示された場合は不正行為で、利用者はCancelボタンを押すことで、この処理を中止することができる。2CHKはスマートフォン・アプリの他に、ウェブアプリとしても提供されている。利用者が銀行送金処理を行なうと、確認画面が別のブラウザーに表示される。銀行送金の他に、オンライン・ショッピングでの高額な買い物や、パスワード・リセットなどに、この技術が使われている。

トレンド

スマートフォンやタブレットなど、モバイル技術が進化する中、モバイル・デバイスを利用したセキュリティ新技術の登場が相次いでいる。ToopherはAustin (テキサス州) に拠点を置く新興企業で、Androidアプリで二要素認証を行なう技術を提供している。Duo SecurityはAnn Arbor (ミシガン州) に拠点を置く新興企業で、iPhone向けに二要素認証サービスを提供している。両社とも、利用者がウェブサイトにログインした際に、スマートフォンに確認メッセージが表示される技術を開発している。トークンとは異なる方式の二要素認証技術が普及し始めた。

スマートフォンでの生体認証技術

Thursday, November 15th, 2012

新興企業が最新技術を紹介するカンファレンスであるDEMO Fall 2012では、スマートフォンやタブレットを対象としたセキュリティ技術が登場した。

g292_passban_01

PassBanというベンチャー企業

PassBanはSan Francisco (カリフォルニア州) に拠点を置くベンチャー企業で、Passboardというアプリを開発している。Passboardは利用者がスマートフォン上でアプリにアクセスする際の認証機能を提供している。上の写真 (出展はいずれもPassBan) 左側がPassboardのホーム画面で、認証機能としてPasswordの他に、Voice、Location、Face、Token、Motionなどのオプションを提供している。利用者はアプリにアクセスする際に、これらを組み合わせて使用し、アプリに応じて認証強度を調整することができる。上の写真右側がその様子で、Cameraアプリにアクセスする際の認証強度をHighに設定しているところである。

次の写真左側は、認証機能のうち、Faceを利用している様子である。Faceとは顔認証機能で、利用者は事前に顔写真を登録しておき、Passboardはスマートフォンのカメラで撮影した写真と登録している写真を比較し、本人であることを確認する (下の写真左側)。下の写真右側はVoiceという音声認証を利用している様子で、利用者はディスプレイに表示される数字を読み上げていく。Passboardはスマートフォンのマイクから入力された利用者の音声と、登録している音声を比較し、認証を行なう仕組みである。

g292_passban_02

Locationは位置情報に応じた認証機能を提供する。また、TokenはRSA SerureIDのように、第二のパスワードとしてトークンを生成する。Motionは、指定されたデバイスを振ることで、認証を受ける機能である。

Passboardブースにて、Business Strategy担当のNeda Mandegaranが、デモを交えて利用方法を解説した。Mandegaranは、仕事でSalesforceアプリを起動する際に、FaceやVoiceなどを利用し、そのバックアップとしてMotionを使うとPassboardの使い方を解説した。実際にブースでFaceとVoiceを試したが、会場は暗く騒がしいため、認証結果はFailとなった。このバックアップとしてMotionを指定し、持っているタブレットを振ることで、認証が完了した。まだ技術改良の余地はあるものの、PassBanのように、スマートフォンで生体認証を行える環境が整い始めた。