secure login boxによる簡単,確実な個人認証とシ …...100 fujitsu. 61, 2, p. 100-108...

9
100 FUJITSU. 61, 2, p. 100-108 (03, 2010) Secure Login Boxによる簡単,確実な 個人認証とシングルサインオンの実現 Realization of Easy and Certain Authentication and Single Sign-On with Secure Login Box あらまし 企業内では本人確認を必要とするアプリケーションが増え,そのためのID/パスワード管 理が問題になっている。富士通が開発した業界唯一の個人認証専用サーバ“Secure Login BoxによるPCログイン認証システムでは,ID/パスワードの一括管理によるシングルサイ ンオンを提供する。本人認証後,Secure Login Boxに保存したID/パスワードを自動的にア プリケーションに代行入力してログインする。本人認証の手段には,富士通独自の「手のひ ら静脈認証」のほか,富士通製ノートPC LIFEBOOK ”に内蔵可能な「指紋認証」, FeliCa認証」などのセキュリティハードウェアが利用可能である。利用者は多くのパス ワードを覚える必要がなくなる。また,利用者認証履歴(ログ)の一元管理も行うことが可 能である。 本稿では,Secure Login Boxの開発背景,使用する認証技術,および機能について述 べる。 Abstract An increasing number of applications used in companies require personal identification, and the management of IDs and passwords for that purpose has become an issue. A PC login authentication system using Secure Login Box, the industry’s only server exclusive for personal authentication developed by Fujitsu, provides single sign-on convenience via centralized management of IDs and passwords. After identifying the user, Secure Login Box automatically enters the stored ID and password in the application, allowing the user to log in. As a means of personal authentication, in addition to Fujitsu’s proprietary palm vein pattern authentication, security hardware installable in Fujitsu’s LIFEBOOK series of notebooks, such as fingerprint or FeliCa authentication, can be used. This eliminates the need to remember many passwords. A user authentication history (log) can be centrally managed as well. This paper describes the development background of Secure Login Box, the authentication technology it uses and its functions. 坂巻健士 (さかまき けんじ) ソリューション開発統括 所属 現在,個人認証や盗難対 策などのPC用セキュリ ティソリューションの開 発に従事。 福田慶郎 (ふくだ よしお) ソリューション開発統括 所属 現在,個人認証や盗難対 策などのPC用セキュリ ティソリューションの開 発に従事。 新崎 (しんざき たかし) 画像・バイオメトリクス 研究センター 所属 現在,個人(生体)認証 技術とシステムの研究開 発に従事。 山崎政利 (やまざき まさとし) ソリューション開発統括 所属 現在,個人認証などのPC 用セキュリティソリュー ションの開発に従事。

Upload: others

Post on 14-Mar-2020

3 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Secure Login Boxによる簡単,確実な個人認証とシ …...100 FUJITSU. 61, 2, p. 100-108 (03, 2010) Secure Login Boxによる簡単,確実な 個人認証とシングルサインオンの実現

100 FUJITSU. 61, 2, p. 100-108 (03, 2010)

Secure Login Boxによる簡単,確実な個人認証とシングルサインオンの実現

Realization of Easy and Certain Authentication and Single Sign-On with Secure Login Box

あらまし

企業内では本人確認を必要とするアプリケーションが増え,そのためのID/パスワード管

理が問題になっている。富士通が開発した業界唯一の個人認証専用サーバ“Secure Login Box”によるPCログイン認証システムでは,ID/パスワードの一括管理によるシングルサイ

ンオンを提供する。本人認証後,Secure Login Boxに保存したID/パスワードを自動的にア

プリケーションに代行入力してログインする。本人認証の手段には,富士通独自の「手のひ

ら静脈認証」のほか,富士通製ノートPC“LIFEBOOK”に内蔵可能な「指紋認証」,

「FeliCa認証」などのセキュリティハードウェアが利用可能である。利用者は多くのパス

ワードを覚える必要がなくなる。また,利用者認証履歴(ログ)の一元管理も行うことが可

能である。 本稿では,Secure Login Boxの開発背景,使用する認証技術,および機能について述

べる。

Abstract

An increasing number of applications used in companies require personal identification, and the management of IDs and passwords for that purpose has become an issue. A PC login authentication system using Secure Login Box, the industry’s only server exclusive for personal authentication developed by Fujitsu, provides single sign-on convenience via centralized management of IDs and passwords. After identifying the user, Secure Login Box automatically enters the stored ID and password in the application, allowing the user to log in. As a means of personal authentication, in addition to Fujitsu’s proprietary palm vein pattern authentication, security hardware installable in Fujitsu’s LIFEBOOK series of notebooks, such as fingerprint or FeliCa authentication, can be used. This eliminates the need to remember many passwords. A user authentication history (log) can be centrally managed as well. This paper describes the development background of Secure Login Box, the authentication technology it uses and its functions.

坂巻健士 (さかまき けんじ)

ソリューション開発統括

部 所属 現在,個人認証や盗難対

策などのPC用セキュリ

ティソリューションの開

発に従事。

福田慶郎 (ふくだ よしお)

ソリューション開発統括

部 所属 現在,個人認証や盗難対

策などのPC用セキュリ

ティソリューションの開

発に従事。

新崎 卓 (しんざき たかし)

画像・バイオメトリクス

研究センター 所属 現在,個人(生体)認証

技術とシステムの研究開

発に従事。

山崎政利 (やまざき まさとし)

ソリューション開発統括

部 所属 現在,個人認証などのPC用セキュリティソリュー

ションの開発に従事。

Page 2: Secure Login Boxによる簡単,確実な個人認証とシ …...100 FUJITSU. 61, 2, p. 100-108 (03, 2010) Secure Login Boxによる簡単,確実な 個人認証とシングルサインオンの実現

Secure Login Boxによる簡単,確実な個人認証とシングルサインオンの実現

FUJITSU. 61, 2 (03, 2010) 101

認証が必要なシステム

業務A 業務B 業務CActive Directory

ID/ID/パスワードをキーボード入力で認証パスワードをキーボード入力で認証

共通アカウントなら誰が使用しているか特定できないし悪用してしまえ!!

覚えるパスワードが多すぎる

セキュリティポリシーを統一しないと

管理者

パスワード変更が定期的にされているか心配だ 利用者

覚えやすいパスワードにしよう

すべて同じパスワードにしよう

複数人で運用

図-1 利用者管理・パスワード管理の抱える問題 Fig.1-Problems associated with management of user and password.

ま え が き

近年,企業内では本人確認を必要とするアプリ

ケーションが増え,そのためのID/パスワードの管

理が問題になっている(図-1)。同時に本人認証時

の履歴の一括管理も求められている。 このような背景のもと,富士通は,ID/パスワー

ドを一括管理する個人認証サーバ“Secure Login Box(SLB)”によるシングルサインオンを用いた

PCログインシステムを開発した。本システムのシ

ングルサインオン機能により,本人認証後,SLBに保存されているID/パスワードを,自動的に登録

したアプリケーションに代行入力してログインする

ことができる。 本人認証の手段には,富士通独自の「手のひら静

脈 認 証 」 の ほ か , 富 士 通 製 ノ ー ト PC“LIFEBOOK”にも内蔵可能な「指紋認証」,

「FeliCa認証」などの個人認証用のセキュリティ

ハードウェアが利用可能である。本人確認をこれら

のハードウェアにより一括して行うシングルサイン

オン機能を提供することで,利用者は多くの個々の

アプリケーションのID/パスワードを覚える必要が

なくなる。

さらに,指紋認証とFeliCaは,LIFEBOOKで内

蔵オプションとしても用意されており,外付けデバ

イスを持ち歩かなくても,モバイル運用が可能で

ある。 また,セキュリティハードウェアを用いない場合

は,シングルサインオン用の「SLBパスワード」

も利用することができる。 さらに,SLBで利用者とデータを一元管理する

ことにより,情報システム部門の作業工数を大幅に

削減するとともに利用者認証履歴の一元管理も行う

ことが可能である。 本稿では,SLBの開発背景,使用する認証技術,

および機能について述べる。

SLB開発の背景と機能概要

パスワード認証では,利用者は一般的に下記のよ

うなパスワード管理を要求される。 ・利用するシステムごとにパスワードを設定する。 ・類推しにくいもので定期的に更新する。 ・パスワードをメモ帳などに記載しない。 しかし,利用するシステムが多いとこれらの運用

をすべての利用者が行うことは困難となる。 このため,ID/パスワードの一括管理を生体認証

Page 3: Secure Login Boxによる簡単,確実な個人認証とシ …...100 FUJITSU. 61, 2, p. 100-108 (03, 2010) Secure Login Boxによる簡単,確実な 個人認証とシングルサインオンの実現

Secure Login Boxによる簡単,確実な個人認証とシングルサインオンの実現

102 FUJITSU. 61, 2 (03, 2010)

(a)指紋特徴点 (b)特徴相関法

端点

指紋中心

分岐点

三角州

灰色:指紋隆線 白色:指紋谷線 特徴点の位置・種類 + 特徴点の連結関係

連結関係

B

A

図-2 指紋認証における適応型特徴相関法 Fig.2-Adaptive connected-minutiae-relation method in fingerprint authentication.

やFeliCa認証で行うためのシングルサインオン機

能を持つ,オフィス向けソリューションとして

SLBを開発した。現在,新旧の機種を含めて数百

システムが顧客先で稼働中である。 SLBは,個人情報保護法やSOX法を背景とした

企業の内部統制強化のために,システム管理者が利

用者管理をする装置として認知されており,近年の

エンハンスでは利用者管理機能,ログ管理機能,運

用モニタリング機能の強化を図っている。SLBで

はアプリケーションのパスワードを生体認証やカー

ド認証により一括管理するため,利用者の認証ログ

を確実に残すことができると同時に,利用者のパス

ワードリテラシーに依存しない認証管理の運用が可

能になる。 さらに,顧客が利用中の既存アプリケーションの

改造を行わず生体認証やカード認証を導入できるよ

うに,SLBでは生体認証やFeliCa認証を行った後

にアプリケーションへのID/パスワードの自動入力

管理を行う機能を備えており,既存のアプリケー

ションにアドオンする形で生体認証やFeliCa認証

を簡単にかつ迅速に導入できる。 SLBと連携してID/パスワードの自動入力管理機

能をクライアントPC側で実行するソフトウェアと

してSMARTACCESS/Premiumが提供されている。

認 証 技 術

本章では,SLBが利用できる三つの認証技術に

ついて述べる。 ● 指紋認証 (1) 技術 SLBの指紋認証は,富士通研究所が開発した技

術である「適応型特徴相関法」を採用している

(図-2)。この方法では,指紋の特徴点情報(分岐点,

端点,その連結関係)と,指紋の形状的な特徴情報

を併用し,指紋だけによるIDレス(1対N)認証に

必要な高速性と,不鮮明な指紋でも認証できる高い

対応率を両立させた。(1) 両情報の併用で,指先側の

指紋の入力でも認証でき,入力操作に慣れない利用

者でも,簡単に利用することができる。 適応型特徴相関法では,情報量の少ない低コスト

の小型指紋センサデバイスを用いながらも業界トッ

プの1/1000万の他人受入率(当社による測定条

件)を実現し,SLB(FMSE-C301以降)において

1対1000指のIDレス(1対N)認証を実現している。

今後の技術開発により,さらに対応人数を増やして

いく予定である。 (2) 装置 LIFEBOOK内蔵型と外付け型指紋センサユニッ

トを製品化し提供している(図-3)。高い精度を維

持しつつ低コストのスライド型指紋センサに対応し

たことで,指紋センサを標準搭載したLIFEBOOKも提供している。 さらにLIFEBOOK内蔵型ではBIOS起動時の指

紋認証もサポートしている。認証専用CPUを利用

せずにスライド型センサで実現したのは世界初で

ある。 ● 手のひら静脈認証 SLB(FMSE-C301以降)は,富士通研究所が世

界で初めて開発した非接触型の手のひら静脈認証を

採用している。 (1) 手のひら静脈の特長 手のひら静脈パターンは,手のひらにある網目の

Page 4: Secure Login Boxによる簡単,確実な個人認証とシ …...100 FUJITSU. 61, 2, p. 100-108 (03, 2010) Secure Login Boxによる簡単,確実な 個人認証とシングルサインオンの実現

Secure Login Boxによる簡単,確実な個人認証とシングルサインオンの実現

FUJITSU. 61, 2 (03, 2010) 103

(a)LIFEBOOK内蔵指紋センサ (b)PC外付け指紋センサ 図-3 指紋認証装置

Fig.3-Fingerprint authentication device.

(a)手のひらの近赤外撮影画像 (b)静脈抽出画像 図-4 手のひら静脈認証

Fig.4-Palm vein pattern authentication.

ように見える紋様であり,大きなけがなどがなけれ

ば,胎内で決まった後,大きさが変化する以外は不

変である(図-4)。手のひら静脈パターンは経年変

化が少ないこと,体内情報であるため体の外からの

攻撃(盗み見,変形)を受けにくく信頼性が高く使

えない人がほとんどいないという特長がある。(1),(2) (2) 手のひら静脈認証技術 手のひら静脈認証は,手の甲静脈認証と比較して

体毛の影響を受けない性質がある。さらに,指静脈

に比べて情報量が多く,安定して高い認証性能を確

保しやすいという特長を持つ。非接触型の手のひら

静脈認証では,非接触でも安定して手の位置を検出

する技術を開発している。照合処理は,手のひら静

脈パターンの回転,傾き,撮像倍率変化に対応した

技術により安定した認証性能を実現している。その

結果,本人拒否率0.01%,他人受入率0.00008%(当

社による測定条件)という高い認証精度を達成した。

最近では,高速なカメラを用いて動いている手の

ひらから静脈パターンを抽出し,飛躍的に使い勝手

を向上する試作機も開発されており,さらなる利便

性向上が期待されている。 (3) 手のひら静脈認証装置 マウス型とPC外付け型の静脈センサユニットが

製品化されている(図-5)。マウス型は,静脈セン

サとマウスを一体化し,デスクトップの省スペース

化が可能である。手のひら静脈のみによるIDレス

(1対N)認証をサポートする高精度なPalmSecureと低価格でPCログインを実現できるPalmSecure-LTの二つのブランドがある。今後,飛躍的な小型

化と低コスト化を実現してLIFEBOOKに内蔵する

ことが望まれている。 ● FeliCa認証 (1) FeliCa IDm認証 FeliCaには,ユニークな番号(IDm)が付与さ

Page 5: Secure Login Boxによる簡単,確実な個人認証とシ …...100 FUJITSU. 61, 2, p. 100-108 (03, 2010) Secure Login Boxによる簡単,確実な 個人認証とシングルサインオンの実現

Secure Login Boxによる簡単,確実な個人認証とシングルサインオンの実現

104 FUJITSU. 61, 2 (03, 2010)

(a)PalmSecure(マウス型)

(c)PalmSecure-LT(PC外付け型)

(b)PalmSecure-LT(マウス型)

図-5 静脈センサユニット Fig.5-Sensor unit for palm vein pattern authentication.

図-6 LIFEBOOK内蔵のFeliCaリーダライタ

Fig.6-FeliCa reader/writer built-in LIFEBOOK.

れている。その番号をSLBに登録しておき認証す

ることで,各カードを識別するのがFeliCa IDm認

証である。 FeliCaリーダライタはLIFEBOOK内蔵型(図-6)とPC外付け型が提供されている。 FeliCa IDm認証では既存のFeliCaカードの使用

が可能で,ICカード運用で課題となるカード導入

コストを抑えられる。社員証,ドア入退室などで使

われている既存のFeliCaカード,携帯電話に内蔵

されたFeliCaチップを使いPCログインを行うこと

もできる。 (2) FeliCa PIN認証 FeliCa認証では,カード盗難に備え,入力者が

正規のカード所持者であることを証明するために,

PINコード入力の利用を推奨している。また,カー

ドを据置き利用する場合は,カード抜取り時の動作

や外付けリーダライタを抜いた場合の動作の設定も

可能である。

SLBの機能

● セッティングと利用者登録 (1) 簡単セッティング SLBのコンセプトの一つとして簡単セッティン

グがある。梱包箱を開けたその日から生体認証シス

テムの運用を開始できることが特長である。 SLBをLAN(お客様ネットワーク)につないで

装置添付のユーティリティ,またはブラウザにより,

装置のIPアドレスや管理者設定などを,専用機な

らではの簡単な対話式画面で設定が可能である。 (2) 利用者登録 SLB(FMSE-C401)では基本の2台構成で3000

人の利用者に対応し,最大4台連携動作で6000人の

利用者への対応が可能である。安定運用のため,万

が一の故障に備えて2台構成を基本にしている。 多人数の利用者やグループの登録および権限の設

定のために,指定形式のCSVファイルによるイン

ポート/エクスポート機能をサポートしている。

CSVでリストを作成し,インポートすることによ

り,複数利用者/グループの情報を一括して登録可

能である。 この機能を用いてほかのシステム,例えば人事

DBとCSVデータを通して連携を取ることも可能で

ある。本日付けで退社/異動した人,明日から入社/異動してくる人などのデータを人事DBから生成し,

CSVファイルに変換して,SLBに夜間バッチなど

でインポートすることで,ID管理を効率的にサ

ポートすることが可能となる。 上述の利用者登録に関連して,システム導入の基

本的な流れを紹介する。 ①運用内容の決定 SLB認証を使用するログインシステムを選定し,

Page 6: Secure Login Boxによる簡単,確実な個人認証とシ …...100 FUJITSU. 61, 2, p. 100-108 (03, 2010) Secure Login Boxによる簡単,確実な 個人認証とシングルサインオンの実現

Secure Login Boxによる簡単,確実な個人認証とシングルサインオンの実現

FUJITSU. 61, 2 (03, 2010) 105

①アプリケーション起動

SLB(FMSE-C401)

指紋センサ内蔵のLIFEBOOK

ネットワーク

②指紋入力の要求

③指紋入力

⑥ID/パスワード

④指紋データ

⑤指紋照合

図-7 アプリケーションと指紋認証の自動連携 Fig.7-Automatic linkage between application software

and fingerprint authentication.

クライアント側の運用モードを選択(生体認証のみ

など)する。 ②利用者リストの作成 指定形式のCSVファイルで,利用者データを作

成する。 ③SLBの設置,設定作業 ①で決めた内容に従い,SLBを設定した後に②

で作った利用者リストをインポートする。あらかじ

め設定内容を決めておけば,1時間程度で作業が終

了する。 ④各クライアントの設定 生 体 セ ン サ / リ ー ダ ラ イ タ を 接 続 し ,

SMARTACCESS/Premium(クライアント用ソフ

トウェア)をインストールし,設定する。 ⑤生体情報の登録 各利用者の指紋や静脈データの登録を行う。シス

テムには,あらかじめ管理者が設定したIDおよび

利用者ごとのSLBパスワードでログインして登録

を行う。 生体情報の登録は,「健康診断」のようにあらか

じめ利用者に登録を行う場所と時間を指定して行う

方法を推奨している。適切な操作方法を熟知して一

般利用者に指導でき,かつシステムに登録された利

用者名に対して本当に本人が登録したか確認する管

理者の同席のもとで効率良く登録作業を行うためで

ある。 ● ログインパスワードの運用管理 (1) パスワード管理のリスク 多くの企業では,利用者はWebサービスをはじめ

とした多くのシステムを使って業務を行っている。

つまり,利用者は使うシステムごとに類推困難なパ

スワードを設定して,定期的に更新し,記憶してお

く必要がある。しかし,実際は電話番号や誕生日な

ど本人が覚えやすいパスワードを設定する人が多く,

第三者に推測される可能性がある。さらに複数のパ

スワードを記憶することが億劫おっくう

そのような状況でパスワードが漏えいした場合,

すべてのシステムが第三者に使用されてしまう。ま

た,パスワードをキーボードで入力しなければなら

ないという性質上,第三者にのぞき見されるリスク

が伴う。以上のことから,パスワードの設定や管理

を利用者自身が行っている場合,実際にはセキュリ

ティのリスクが非常に高くなる。

となり,利用する

すべてのシステムに同じパスワードを設定する傾向

にある。

(2) 生体(指紋,静脈),FeliCaによる認証 SLBは,Windowsログイン,アプリケーション

やWebサイトの利用時に必要なID/パスワードを一

元管理し,ID/パスワードの代わりに指紋や手のひ

らの静脈パターン,およびFeliCa汎用カードによ

る統合認証(SLB認証)を実現することができる。 指紋認証を例としてその仕組みを図-7に示す。 あらかじめID/パスワード認証を要求するアプリ

ケ ー シ ョ ン を ク ラ イ ア ン ト ソ フ ト ウ ェ ア

(SMARTACCESS)経由で登録しておく。 ①認証を要求するアプリケーションを起動する。 ②自動的に指紋,手のひら静脈の入力または

FeliCaの提示が要求される。 ③クライアント側で,指紋,静脈を入力する,もし

くはカードをタッチする。 ④SLBに本人かどうか確認の要求がいく。 ⑤SLBは,あらかじめ保管されている情報をもと

に,本人であることを確認する。 ⑥確認後に保管されている必要なID/パスワードの

組合せをクライアント側に送り,認証を要求する

アプリケーションにID/パスワードが自動的に入

力される。 パスワードをキーボードで入力する代わりに指紋,

手のひら静脈やFeliCaで認証を行うので,確実な

個人認証を実現できる。パスワードの入力がないの

で,利用者は,他人にのぞき見される心配や,推測

Page 7: Secure Login Boxによる簡単,確実な個人認証とシ …...100 FUJITSU. 61, 2, p. 100-108 (03, 2010) Secure Login Boxによる簡単,確実な 個人認証とシングルサインオンの実現

Secure Login Boxによる簡単,確実な個人認証とシングルサインオンの実現

106 FUJITSU. 61, 2 (03, 2010)

指紋をなぞるだけなので楽になった

パスワードを覚えなくて良くなった

パスワード変更作業から解放された

指定デバイスで認証(指紋指定デバイスで認証(指紋//静脈静脈//FeliCaFeliCaカード)カード)

セキュリティポリシーの管理コストが削減できた

パスワードは教えないので漏えいリスクが削減された

利用者を追跡/特定

できてしまうのでもう悪用できない

認証が必要なシステム

業務A 業務B 業務CActive Directory

管理者

利用者 複数人で運用

図-8 SLBの導入による改善効果

Fig.8-Improvement effects by introduction of SLB.

の危険を感じずに済む。システム管理者側は,パス

ワードの使い回しなどの心配が解消されると同時に,

パスワード忘却への対応から開放される。 (3) SLBのパスワード管理機能 SLBではシステムがID/パスワードを自動的に代

行入力するので,利用者は個々のID/パスワードを

覚える必要はなく,そのため忘れることも,そこか

ら漏えいすることもない(図-8)。最新機FMSE-C401では,1利用者あたり50種類のアプリケー

ションのID/パスワードの登録が可能である。 会社の制度やシステム上,定期的にパスワードを

変更する必要がある場合は,アプリケーションサー

バ側とSLBのパスワードリストの同期をとって一

括変更することができる。利用者は何もする必要は

ない。管理者の負担は増えるように見えるが,作業

をバッチシステム化することによる自動化も可能で

ある。利用者からのパスワード変更,忘却の対応工

数削減,利用者からのパスワード漏えいの可能性が

なくなることによるトータルメリットは非常に大

きい。 ● 認証ログの機能 (1) 認証ログの保管と管理 SLBは企業の内部統制用に,システム管理者が

利用者の管理に用いるため,詳細なログ機能を用意

している。 ・管理者ログ SLBの管理者がSLBの設定変更などの操作を実

施した場合に,管理者が実施した操作の内容を自動

的にログとして記録する。 ・利用者ログ いつ,どのPC(IPアドレス)が,何に(どのア

プリケーションに)ログインを試みたか,その結果

なども詳細に記録することができる。 クライアントとSLBのネットワーク接続が切れ

ている状態でクライアントPC内で認証を行った場

合でも,SLBとの再接続時にクライアントPCから

SLBにログが自動的にアップロードされる機能を

持つ。SLBの認証サービス管理者は,これらのロ

グに対して参照,ダウンロード,削除などの操作を

行うことができる。これらのログはほかのPCにダ

ウンロードして保存することが可能である。 (2) 運用モニタリング機能 運用モニタリング機能を使用すると,上記のログ

を参照する負荷を軽減することができる。ログから

得られる情報を基に自動的に分析してまとめて表示

することでSLBの稼働状況,指紋/手のひら静脈認

Page 8: Secure Login Boxによる簡単,確実な個人認証とシ …...100 FUJITSU. 61, 2, p. 100-108 (03, 2010) Secure Login Boxによる簡単,確実な 個人認証とシングルサインオンの実現

Secure Login Boxによる簡単,確実な個人認証とシングルサインオンの実現

FUJITSU. 61, 2 (03, 2010) 107

①認証に必要なログインパスワードは①認証に必要なログインパスワードはSLBSLBで一元管理で一元管理

従業員A

指定デバイスで認証を行った後,指定デバイスで認証を行った後,SLBSLBから引きから引き出されたログオン情報で代行ログオン出されたログオン情報で代行ログオン

passwordpart業務A指紋パート3

passwordpart業務A指紋パート2

passwordpart業務B指紋パート1

passwordEmployee業務C

passwordEmployee業務B

passwordEmployee業務AICカード従業員A

パスワードIDアプリケーション

照合データユーザ

パート1

パート2

パート3

共有端末/共有パスワード運用

SLB

③指定デバイスで認証を行うため③指定デバイスで認証を行うため利用者にパスワードを知らせな利用者にパスワードを知らせない運用が可能い運用が可能

②利用シーンごとに認証デバイスを選択でき②利用シーンごとに認証デバイスを選択でき同時に複数の認証デバイス併用も可能同時に複数の認証デバイス併用も可能

SLBSLB管理データ管理データ

④④ID/ID/パスワード共有のシステムでもパスワード共有のシステムでもSLBSLBのログで利用者特定が可能のログで利用者特定が可能

認証が必要なシステム

業務A 業務B 業務CActive Directory

図-9 SLBによる共用ID/パスワードでの証跡管理 Fig.9-Trail management using shared ID/password in SLB.

証の照合成功率の監視,利用者ログの容量監視,照

合トラフィックを監視することが可能である。 ● そのほかの機能と仕様 (1) 専用装置の利点 SLBは認証のための専用装置であり,汎用サー

バと比較してセキュリティホールとなりやすい認証

機能には不要な外部とのインタフェースやI/Oを持

たなくともよいという利点がある。 (2) データ暗号化 ネットワーク上を流れる指紋/手のひら静脈デー

タ,カード番号,ID/パスワードなどのデータは暗

号化して転送されている。また,これらの情報は

SLBのハードディスク内でも暗号化して格納され

ている。 (3) 24時間運転対応とUPS接続対応 24時間運転に対応していると同時に,停電時な

どに備え,UPSの接続にも対応している。UPSのバッテリ残量が少なくなった場合には,自動的に

シャットダウン処理を実行してデータを安全に保護

する。 (4) IDレス(1対N)指紋認証機能 SLBでは,500人までのIDレスの指紋認証をサ

ポートしている。IDレスとは指紋入力だけで本人

を認証する方式である。すべての登録指紋データと

入力指紋データを突き合わせるため1対N認証方式

とも言う。 IDレス認証は利便性が高いが全登録データと突

き合わせるため1対1の認証に比べて他人受入率が

上がるという性質がある。そこでSLBでは,他人

受入率を低減する仕組みをIDレス認証の機構に実

装している。 ● SLBの運用事例 企業へのPCの普及率は年々高まりつつあるもの

の,一人に1台のPCが支給されているとは限らない。

「1台のPC」あるいは「一つのIDとパスワード」を

複数人で使用するケースでは,もしもそのPCが不

正に使用されたとしても個人を特定することができ

ない。これでは,不正利用を食い止めることができ

ないばかりか,その対策を講じるために運用形態を

見直して変更しなければならず,膨大な時間とコス

トがかかる。SLBの導入により,この問題を簡単

に解決することができる(図-9)。 ①SLBのパスワード代行入力を利用して,一つの

ID/パスワードを入力する代わりに各利用者の指

紋,静脈やFeliCa認証を,この一つのID/パス

ワードと関連付ける。 ②システムへのアクセス時に利用者は,指紋,静脈

やFeliCa認証をSLBで行う。個々の利用者の認

Page 9: Secure Login Boxによる簡単,確実な個人認証とシ …...100 FUJITSU. 61, 2, p. 100-108 (03, 2010) Secure Login Boxによる簡単,確実な 個人認証とシングルサインオンの実現

Secure Login Boxによる簡単,確実な個人認証とシングルサインオンの実現

108 FUJITSU. 61, 2 (03, 2010)

証履歴をSLBの認証ログとして残すことができる。 ③SLBでの認証が成功すると,アプリケーション

に一つのID/パスワードが自動的に代行入力され

る。そしてシステムのアクセスログが残る。指定

デバイスで認証を行うため利用者にパスワードを

知らせない運用も可能である。 ④一つのID/パスワードを共用するシステムのアク

セスログとSLBの認証ログを突き合わせることで,

どの利用者がアクセスしたかを追跡できる。

む す び

本稿では,富士通の開発したID/パスワード管理

の個人認証専用サーバSecure Login Box(SLB)

によるPCログイン認証システムを紹介した。SLBではID/パスワードを一括管理することができ,生

体認証やFeliCa認証により保存されているID/パス

ワードを自動的に登録したアプリケーションに代行

入力してログインすることができる。また,SLBは専用機であるため,短時間で既存アプリケーショ

ンの改造なしに運用を開始することができる。 パスワードと異なり,特別な知識がなくても一定

のセキュリティレベルを確保できる生体認証や

FeliCaなどのICカード認証は,利用者への負担を

減らし,かつシステム管理者の運用コストを減らす

ことが可能である。今後は,海外展開も見据えて機

能拡張と更なる使い勝手の向上を行っていく。 参 考 文 献

(1) 森 雅博ほか:バイオメトリクス認証技術.

FUJITSU,Vol.54,No.4,p.272-279(2003). (2) バイオメトリックスセキュリティコンソーシアム

編:バイオメトリックセキュリティ・ハンドブック.

オーム社,2006.