 |
≫ |
|
|
|
|
インターネット経由でサービスを提供するシステムでは、利用者にユーザーIDとパスワードの入力を求めることがあります。特にパスワードは高い機密性が要求されるデーターであり、扱いについては第三者に盗まれることがないように高いセキュリティが求められます。
そのため一般にはクライアントとサーバー間の通信にSSL等を使って暗号化し、通信路での漏洩を防止しています。
さらに、通信路だけでなくサーバー上での漏洩も防止し、より高度なセキュリティを確保するのがE2EE(End-to-End Encription)です。
シンガポール金融管理局(MAS)のガイドラインでは、インターネットバンキングのシステムにおいてE2EEが必須と定められています。(MAS規制)シンガポールは金融先進国としていち早くE2EEを義務化しましたが、将来的には他の地域でも必要となる可能性が考えられ、E2EE対応の重要度は高まることが予想されます。
ジェムアルト社の製品「Ezioサーバー」はE2EEを実現するためのアプライアンスで、金融機関を中心にグローバルに導入されています。
本レポートでは、HP IceWall SSOがEzioサーバーと連携してE2EEを実現する認証システムのソリューションをご紹介します。
|
|
|
|
Ezioサーバーはジェムアルト社より提供されているアプライアンス製品です。
サーバー内には、パスワード検証に使用するHardware Security Module(HSM)が内蔵されています。HSMでは秘密鍵が漏洩しないように管理されており、外部でパスワードの復号化が行えない仕様となっています。
また、Ezioサーバー内部には専用のデータベースも用意されており、パスワードは暗号化された状態で格納されます。
パスワード検証時には、Ezio連携モジュールから受け取ったパスワードとデータベースに格納されているパスワードをHSM内で復号化し、照合します。
|
|
|
|
今回ご紹介するE2EEソリューションは、大きく分けるとHP IceWall SSOシステム、Ezioサーバー、Ezio連携サーバーで構成されます。
| HP IceWall SSOシステム |
SSO(シングルサインオン)を実現するためのシステムです。
IceWallサーバーや認証サーバー、認証DBといったHP IceWall SSOの標準的なコンポーネントで構成されます。
パスワードの管理についてはEzioサーバーでおこなうため、認証DBにはパスワード以外のユーザー情報を格納します。
ログインセッションの管理は通常のHP IceWall SSOシステムと同様に認証サーバーで行います。
アクセス制御などパスワード検証を伴わない処理については、EzioサーバーやEzio連携サーバーを使用せず、HP IceWall SSOシステムのみで行います。
IceWallサーバーはリバースプロキシーとして動作し、通常のシステムと同じくアクセスの認可処理を行います。
|
| Ezio連携サーバー |
HP IceWall SSOとEzioサーバーを連携させるためのソフトウェアを作成して配置します。(以降、作成するソフトウェアを「Ezio連携モジュール」と記述します)
Ezio連携モジュールは、ログインやパスワード変更といったパスワードの検証を伴う処理において動作します。
ログインの際には、Ezioサーバーに対してパスワードの検証を要求し、検証がOKであれば認証サーバーに対してログインセッションの発行を要求します。
ユーザーがパスワードを変更する際は、Ezioサーバーに対してパスワードの検証と登録されているパスワードの変更を要求します。
|
| Ezioサーバー |
Ezio連携サーバーからの要求を受けてパスワードの検証や変更を行います。
Ezioサーバー内のHSMにはパスワードの暗号化/復号化のために使用する秘密鍵が格納されています。
Ezioサーバーに内蔵されているDBにはユーザーIDと暗号化されたパスワードが格納されていて、パスワードの復号化と検証がHSM内で閉じて行われ、復号化されたパスワードが外に漏洩しないようになっています。
|
下図は、HP IceWall SSOとEzioサーバーの連携例を示しています。この図を基に、E2EEが実現されていることを説明します。
処理の例としてログインを考えます。
-
まずユーザーがログイン画面に入力したパスワードはEzioサーバーの公開鍵を用いてクライアント上で暗号化されます。この暗号化は、ブラウザー〜IceWallサーバー〜Ezio連携サーバー〜Ezioサーバーに至るまで維持されます。
-
Ezioサーバーに送られた暗号化されているパスワードは、HSMの中で秘密鍵を用いて復号化されます。
-
さらにEzioサーバー内のDBに暗号化されて登録されているパスワードもHSM内で復号化され、検証が行われます。
-
検証結果としてOK/NGの情報のみがEzio連携サーバーに返却されます。
-
OKの情報が返却されると、Ezio連携サーバーから認証サーバーに対してログインセッションの生成が要求されます。
-
ログインセッションが生成されると、認証の処理が完了します。
結果として、復号化されたパスワードがHSM外部に渡ることはなく、認証が完了します。
HP IceWall SSOとEzioサーバーの連携
|
|
|
|
本レポートでは、HP IceWall SSOとEzioサーバーを連携させることでE2EEを実現した認証システムソリューションを説明しました。E2EEは悪意のある管理者やウィルスなどによるパスワードの漏洩を厳密に防ぐために有効な仕組みです。
今後、政府当局によるE2EEの義務付けはシンガポール以外の国にも広がる可能性があります。
また、政府の規制の有無にかかわらず、より厳密なセキュリティが要求されるシステムに必要となっていくソリューションだと考えられます。
|
|
|
| 2015.6.15 |
新規掲載 |
|
|
|
|
| 執筆者 |
日本ヒューレット・パッカード テクノロジーコンサルティング事業統括 テクニカルコンサルタント 山岡 義史
日本ヒューレット・パッカード テクノロジーコンサルティング事業統括 スペシャリスト 佐藤 義昭
|
|
|
|
|
|
