仮想デスクトップ基盤(以下、VDI)の導入が広がっているが、VDIへのログインや本人認証における従来型認証方法の脆弱性や、利便性における課題は従来のままだ。盲点になりがちな「認証セキュリティ」の課題に迫る。
調査会社IDC Japanが2015年4月に発表した「2015年 国内クライアント仮想化市場 ユーザー動向分析調査結果」によると、VDI導入率は35.8%。2014年の調査から12.6ポイントも急増、いよいよ本格的な普及期に突入し、既に導入済または導入を検討している読者も多いはずだ。
VDIのメリットを簡単に挙げると、システム管理者側としては、クライアント端末(以下、端末)ではなくサーバ側に情報を集約できるセキュアなシステム運用と、サーバ側でアプリケーション資産を一元管理できる運用の効率化である。また、端末を問わずにログインでき、自分のデスクトップ環境を利用できるのでユーザー側としても便利である。
しかし、こうした「セキュアで便利」なVDIにもセキュリティ上の盲点があることにお気付きだろうか? それは、VDIにおける“認証セキュリティ”である。読者の周りでもID/パスワードを付せんにメモして端末やディスプレイに貼っているユーザーがいたり、ID/パスワードの共有や貸し借りが行われていたりすることに日ごろから危機感を感じている人は少なくないはずだ。また、パスワード認証ではシステムによる確実な本人特定と証跡管理ができないので、悪意を持った第三者によるなりすましや内部不正の誘発といったリスクにもつながる。つまり、VDIでより確実なセキュリティ対策を目指すには、パスワードをはじめとする従来型の認証方法を見直す必要があるのだ。
VDIに限ったことではないが、ユーザーの立場からすると公私ともに管理しなければならないパスワードはますます増えるばかりで、リスト攻撃の原因になるパスワードの使い回しなど世の中的にもパスワード認証の課題がクローズアップされている。
会社内における業務システム利用においても、セキュリティ強化を目的にパスワードの定期変更が頻繁に行われ、しかも文字種を複雑に組み合わせたパスワード設定を求めるような運用が一般的になりつつある。こうした運用ポリシーの厳格化はユーザーにとっては大きな負担であり、パスワードのメモ書きや使い回しにつながり、厳格なセキュリティ運用が逆にセキュリティのリスクを高めている側面もある。
さらに、情報システム部門のシステム管理者にとっても、パスワードの定期更新や新システムへの対応、パスワードを忘却したユーザーからの問い合わせや再発行申請などに対応する必要があり、大きな負担になっている。
自分のID/パスワードさえ入力すればすぐに利用できるVDIは一見便利ではあるが、まさに、こうしたパスワード認証がシステム全体のセキュリティの盲点となっている。また、完全にVDIに移行させた企業では、パスワードを忘れるとシステムに全くログインできなくなるため、パスワードの再発行を電話や紙で行うなど、不便で安全ではない方法しかなくなってしまう。
それでは、具体的におすすめのソリューションを紹介しよう。パスワード認証に代わる、またはそれを強化する手段として、カード認証や生体認証があるが、従来はVDI上で動作するOSやアプリケーションの認証では利用できないものもあった。この課題に対して、富士通はかつてより提供するセキュリティソリューションである「SMARTACCESS」(スマートアクセス)シリーズで、VDI上における生体認証に初めて対応した「SMARTACCESS/Virtual」を提供開始した。
まず、SMARTACCESSシリーズ(以下、SMARTACCESS)について簡単に説明する。SMARTACCESSは既存の業務システムを改修せずに生体認証の仕組みを導入できる専用のソフトウェアであり、生体情報をもとに、ユーザーに代わってアプリケーションへのパスワード入力、ログインを代行してくれ、シングルサインオン(以下、SSO)にも対応している。さらに専用サーバ「Secure Login Box」(セキュアログインボックス)を使えば、生体情報とユーザー情報(ID/パスワード)をひも付けて一元管理することができる。
富士通はこのSMARTACCESSとSecure Login Boxに生体認証デバイスを組み合わせることで、「生体認証ソリューション」として提供している。生体認証の中でも同社が最も推奨しているのは、10年以上にわたって独自に研究開発を続けてきた「手のひら静脈認証」である。手のひら静脈認証は、通常は目に見えない手のひらの静脈パターンを赤外線で撮影し、認証情報として利用することで、確実な本人認証を可能にする。また、手をかざすだけの簡単な操作で瞬時に認証が完了するのも大きな特徴だ。手のひら静脈認証センサーは、センサー内蔵PC/タブレット、USB接続可能な外付けセンサーとして提供されており、幅広い端末で利用可能だ(詳しい解説は以下の記事を参照:「生体認証ソリューション」はパスワード認証に代わる手段となるか?)。
※SMARTACCESS/Virtualは生体認証(手のひら静脈、指紋)のみ対応
今回提供開始された「SMARTACCESS/Virtual」は、「VMware Horizon(with View)」「Citrix XenDesktop」「Citrix XenApp」などの主要仮想化ソリューションとの技術連携により実現した。そして、従来のSMARTACCESSシリーズと同様にSecure Login Boxとともにアドオン型のソリューションとして、既に運用中のVDI環境やその上で稼働する業務アプリケーションに手を加えることなく導入可能である。SMARTACCESS/Virtualを導入することで、VDI上の業務アプリケーションのログオンにも手のひら静脈認証が利用でき、VDI環境へのログオンした後もSSOが利用できるようになるので、確実な本人認証と利便性向上をVDI環境で実現できるのが大きな魅力だ。
なお、手のひら静脈認証とSMARTACCESS/Virtualを導入すれば、VDIにおけるセキュリティ強化と利便性向上が図られるだけでなく、従来のセキュリティカード発行などに必要だったコストの削減も図ることができる。VDIを既に運用中、あるいは導入を検討しているのであれば、SMARTACCESS/Virtualを検討してみてはいかがだろうか(SMARTACCESS製品情報はこちら)。
手のひら静脈認証は、手のひらに近赤外線を照射し、手のひらから跳ね返ってきた近赤外線をセンサーで受ける仕組みになっている。これは、静脈に流れる還元ヘモグロビン(酸素と解離したヘモグロビン)が近赤外線を吸収するという特性を利用したもので、センサーで受け取った画像は静脈の部分だけが暗く映し出される。この静脈のパターンは個人差があり、これを本人認証に利用するわけだ。他の生体認証よりも判別する部位の範囲が広く、外的な影響を受けにくいことから、読み取り精度が非常に高いことが大きな特徴だ。センサーの小型化も進み、USB接続の外付けセンサーデバイスだけでなく、センサーを内蔵したノートPCやタブレットも登場している。
提供:富士通株式会社
アイティメディア営業企画/制作:TechTargetジャパン編集部
ITmediaはアイティメディア株式会社の登録商標です。
どれだけ城(業務システム)を城壁(仮想化)で囲っても、門(認証セキュリティ)に不安があれば、システム全体のセキュリティは万全ではない。仮想環境における認証セキュリティ強化は重要だ
手のひら静脈認証の動作原理
手のひら静脈センサーを内蔵した「ARROWS Tab Q775」(左)と「LIFEBOOK S935/K」
ノート型シンクライアント「FUTRO ME734」(左)と手のひら静脈センサー「PalmSecure-SL」(中)と手のひら静脈センサーを内蔵したキーボード(右)