産業技術総合研究所(以下、産総研)は9日、同研究所が開発した「AISTパスワード認証方式」および「AIST匿名パスワード認証方式」を国際標準化機構(ISO)と国際電気標準会議(IEC)の第一合同技術委員会(JTC1)において情報セキュリティーに関する標準を定める副委員会(SC 27)にて提案を行い、晴れて国際標準規格として採用されることになったと発表しています。
これらの提案は同研究所の情報技術研究部門 高機能暗号研究グループの主任研究員である辛 星漢氏と、情報技術研究部門の総括研究主幹の古原 和邦氏が行ったもので、AISTパスワード認証方式はパスワードのみを用いてユーザーとサーバーが安全に相互認証することでフィッシングなどの攻撃検知が可能となる仕組みで、AISTパスワード認証方式は安全性は確保しつつ、ユーザーを特定せずに特定の権限や属性を有していることを認証する仕組みとのこと。
これにより、SSLやTLSといった暗号化されたHTTPS通信と同レベルでの安全性を持ちながら公開鍵証明書の検証処理が不要なため、インターネットに接続する機器の処理性能が低くても快適にWebサイトなどを利用できるようになるということです。
【AISTパスワード認証方式】
AISTパスワード認証方式は、パスワードのような短い秘密情報のみで、ユーザーとサーバーの相互認証を安全に行う仕組みです。現在、Webサイトでサーバー認証に広く利用されている「公開鍵証明書」を利用したSSL・TLS通信(HTTPS通信)には、公開鍵証明書の検証処理を行う必要があり、サーバーへの負荷がかかるため、非SSL・TLS通信であるHTTP通信と比べると、通信速度が遅くなるといった問題を抱えています。
SSL・TLS通信を使うスマートフォン(スマホ)などの機器がすべて十分な性能を持っているのであれば、そこまで大きな問題にはなりませんが、最近流行の兆しを見せているIoT機器のような性能が低い機器にとってSSL・TLS通信を行うのは少しコストの高いものでした。
しかしながら、AISTパスワード認証方式では、この公開鍵証明書の検証処理が不要でかつ、同じレベルの安全性を保証するISO/IEC 11770-4(第一版)に掲載されている既存の認証方式に比べて少ない計算量で相互認証を実現させることが可能となります。
また、SSL・TLS通信には他にも下記の様な問題を抱えています。これらの問題を解決するために過去にもいくつかの提案が行われましたが、既知の攻撃方法(HeartbleedやPOODLE、FREAKなど)のみを回避する修正が提案され、それに対する新たな攻撃方法が発見されては、また別の修正が提案されるというイタチごっこが続いていました。
1)更改書き証明書を用いた認証は、公開鍵証明書(SSL証明書)の取得や配備などの手間がかかる
2)公衆無線LANサービスなどの公衆回線上でパスワードを暗号化して送信していたとしても、暗号文を総当たりすることで、パスワードを特定できる
3)フィッシング攻撃で利用者が、ブラウザの警告をうっかり見逃してしまうとパスワードが盗まれる恐れがある
4)サーバーからパスワードなどを含むデータが漏洩すると、総当たりすることなく、即座に利用者になりすますことができる
そのため、最近では提案される認証方式が数学の超難問のように現実的に解くことが不可能とされている仕組み、つまりその認証方式を破るには現実的に不可能であるものが学会や標準化団体で新たに提案・選定する際の必要条件の1つとなっていました。
そんな要件をクリアしつつ、インターネットサービスやアプリケーションだけでなく、スペックの低いIoT機器も総括して、ログインなどでの安全なパスワード認証を実現できる物が、今回国際標準規格化された仕組みがAISTパスワード認証方式なのです。
【AIST匿名パスワード認証方式】
一方、今回、国際標準規格化されたもう1つの認証方式がAIST匿名パスワード認証方式と呼ばれる仕組みです。この認証方式は、パスワード認証時にそのユーザーが誰か特定しない匿名性を実現しながらそのユーザーがある団体に所属しているかどうかをサーバーが確認できる「匿名認証」のことを指します。
利点としては内部告発や匿名アンケート、医療相談や悩み相談、いじめ相談のような匿名カウンセリング、匿名マッチングなど、ユーザーが匿名のまま受けたいサービスを運用する際に個人を特定できない匿名性と、いらずらやサービスの利用者を限定するために、一定の権限確認や所属確認を行いたいというニーズを実現させることができます。
従来の方法では、利用者個人を特定せずに一定の権限確認や所属確認を行うことは非常に困難でしたが、AIST匿名パスワード認証方式を利用すれば、簡単にそういったサービスや機能を実装できるようになります。
【これらの認証方式が採用されるどうなるのか?】
これらの認証方式が実際に採用され、世の中に広く普及すると、私たちのような一般のWebサービスなどの利用者にとってどんなメリットがあるのか、簡単にまとめてみると以下のようなことが考えられます。
a)従来のSSL/TLSで暗号化されたWebページの表示が早くなる可能性が高い
b)IoT機器のセキュリティレベルを向上させることができる
c)パスワードで暗号化されたデータが、不正に解析され漏洩する事が無くなる
d)フィッシング詐欺の被害がなくなる
e)サーバーがハッキングされても、機密情報が外部に漏洩しない
f)ネットで気軽に匿名相談ができるようになる
あくまでこれら認証方式が今のSSL・TLS通信と同じくらい普及した場合の話ではありますが、インターネットをより安全に利用することができるようになるのではないかと思われます。
特にIoT機器のセキュリティーレベル向上が図れるという点が非常に大きく、今後さらにに大きな問題となるであろう脆弱なIoT機器を利用した攻撃による被害を低減されるということは非常に価値があります。
IoT機器の爆発的な普及によって生活や社会のインフラはより充実したものとなりましたが、その反面、セキュリティーレベルが低いために個人情報が漏洩したり、社会インフラが麻痺するといった問題が浮き彫りとなってきました。
そんな問題を解決できるものが国際標準規格化、さらには日本の研究所が開発した認証方式が採用されるということは、非常に嬉しいニュースとなりました。まだ国際標準規格化されたばかりですので、昨日今日でインターネットをより安全に利用できるようになるというわけではないため、早期の普及を実現してもらいたいものですね!
■関連リンク
・エスマックス(S-MAX)
・エスマックス(S-MAX) smaxjp on Twitter
・S-MAX – Facebookページ
・産総研:従来方式より安全で高機能な二種類のパスワード認証方式が国際標準化
(引用元:livedoor news)