M-Pin

~ これまでの認証方式の課題を解決できる、次世代認証方式 ~


これまでの認証と、パスワード管理不要の新しい安全な認証「M-Pin」

■リスクにさらされるID/パスワード認証

ID/パスワードによる認証は現在最も普及している認証方式です。OSへのログインや、クライアントサーバ型システムをはじめ、近年ではクラウドサービスへのログインなど、あらゆる場面で利用されています。しかし、その反面、ID/パスワードだけの認証にはいくつかのセキュリティ上のリスクが指摘されています。
例えば、リスト型アカウントハッキングによる不正ログインや、キーロガーなどのマルウェアによるID/パスワードの不正取得やソーシャルエンジニアリングでの不正ログインなど、様々な攻撃が知られています。

■普及が進む多要素認証

このようなID/パスワード認証におけるリスクへの対策として、ハードウェアトークンやソフトウェアトークン、マトリクス認証、クライアント証明書などを用いた、多要素認証の普及が進んでいます。しかし、これらの多要素認証は専用のデバイスが必要であったり、運用時の負担が増加するなど、コスト増加が指摘されています。またユーザ側は利便性低下などの課題が発生します。

多要素認証

■パスワード管理不要の新しい安全な認証「M-Pin」

(1) ID/パスワードに対する攻撃を無効化
M-Pinはパスワードを用いない認証方式です。ネットワーク上をパスワード情報が流れないため、パスワードが盗み見られたり、第3者に不正に利用される心配がありません。また、サーバ側でパスワードを管理する必要がなくなるため、サーバからパスワード情報が漏えいする懸念もありません。

(2) 認証強化を低コストで実現
M-Pinは従来の認証強化技術のワンタイムパスワードやクライアント証明書と同等以上の認証レベルを低コストで実現します。
ワンタイムパスワードを利用するための専用ハードウェアが不要です。また、クライアント証明書を利用する際に必要な認証局の構築や証明書の配布業務、利用者の証明書インストール作業がなくなり、運用コストの削減が見込めます。

認証方式の比較
ID/パスワード(PW)認証M-Pin認証多要素認証
安全性
×  記憶のみに依存するため安全性は低い。パスワードポリシが適切でない場合、さらに危険性は増す。
○  記憶のみに依存するID/PWに比べ、デバイスと記憶(暗証番号)を同時に必要とするため安全性は高い。
◎  記憶のみに依存するID/PWに比べ、デバイスや身体などの追加要素を必要とするため安全性は高い。
使いやすさ
△  最も一般的に普及している方式であり、使い方に迷うことはない。しかし、覚えにくかったり数が増えたりすると利便性が落ちる。
○  普段使っているスマートフォンから、通常4桁の暗証番号を入力するだけなのでID/PW入力よりも簡単に使える。
×  特殊なデバイスが必要であったり、特別な操作が必要であったりと必ずしも利用者にとって簡単とは言い難い。
コスト
△  ID/PW忘れ等の問い合わせ対応や、適切なパスワードポリシの適用強制が必要であり、一定の運用コストが必要となる。
○  サーバでは認証情報を管理せず、認証デバイスの維持管理も不要であり、運用コストはID/PWより低くできる。
×  デバイスの維持管理や問い合わせ対応、さらに利用者の認証情報を安全に管理するため運用コストは比較的高くなる。

■M-Pinについて

英MIRACL社が開発した次世代認証方式です。NTTソフトウェアは日本国内初の販売代理店として2015年5月に販売を開始いたしました。
M-Pin認証方式をベースとし、NTT、NTT Innovation Institute、MIRACLの3社が共同で開発した認証システムがオープンソースソフトウェアApache Milagro(incubating)として公開されます(2016年5月予定)。

■Apache Milagro(incubating)について

クラウドコンピューティング向けの分散型暗号システムを提供するプロジェクトであり、今後、その成果物が順次オープンソースソフトウェアとして公開される予定です。M-Pinをベースに開発された新認証システムは、本プロジェクトから公開される最初のソフトウェアとなります。
NTTソフトウェアはApache Milagro(incubating)に対し、商用利用に必要な管理・運用機能を独自に拡充したサービスをTrustBindシリーズと組み合わせて提供いたします。

M-Pinの特長

■利便性を向上

【パスワード管理の煩わしさから解放】
事前に認証用の鍵を設定した端末から4桁の暗証番号を入力するだけで安全に認証できます。
厳しいパスワードポリシにしたがって覚えにくいパスワードに苦労する必要はありません。初期設定も簡単です。

■強固なセキュリティ

【認証に利用する鍵はクライアント端末にのみ存在】
M-Pin認証技術の特長である鍵管理・鍵配布の仕組みにより、認証に利用する鍵はクライアント端末にのみ存在します。
クラウドサービスや鍵配信サービスへのアタック、経路の盗聴に対して、強固なセキュリティを提供します。

■低コスト

【ログインにかかる運用のコストを削減】
パスワードに依存しなくなることで、システム管理者にとって負担になりがちな、利用者からのパスワードに関する問合せを減らすことができます。
また、認証のための専用デバイスを必要としないため、例えばデバイスの維持管理や紛失時の再発行などの対応も不要となります。

■マルチデバイス対応

【OSに縛られずに利用】
HTML5が利用できるブラウザを搭載している全てのOSで利用することが可能です。

M-Pinの推奨構成

その1: クラウドサービスへの認証強化

導入企業様にM-Pin認証サーバを設置し、クラウドサービスへの認証時にM-Pin認証を使用します。
M-Pin認証により、複数のクラウドサービスへのシングルサインオンを実現できます。

クラウドサービスの適用例

その2: ECサイト等のユーザ認証での利用

エンドユーザ様が、導入企業様のオンラインショップやインターネットバンキング等のECサイトを利用する際、その認証方法としてM-Pin認証を使用します。
認証に必要な情報はM-Pinサーバにあるため、認証時に既存システムのユーザ情報にはアクセスする必要がなくなります。

ECサイト等への適用例

M-Pinの価格

M-Pinの動作環境

OS実行環境等
M-Pinサーバ Ubuntu / Ubuntu Server 12.04 以上 (32/64ビット)
CentOS 6 以上 (32/64ビット)
Windows 7 以上 (32/64ビット)
Windows Server 2008以上 (32/64ビット)
Python (2.6, 2.7)
PCブラウザ Linux/Unix
Windows
Mac OS
Mozilla Firefox 14.0.1以上
Google Chrome 14.0以上
Internet Explorer 10以上
Safari 6.0.4以上
Opera 12.10以上
スマートフォンブラウザ Android 4.1以上 Chrome
iOS 6.0以上 Safari
Windows Phone 8以上 Internet Explorer 10以上


*本ページに記載の会社名・製品名などの固有名詞は、一般に該当する会社もしくは組織の商標または登録商標です。
*当ソリューション・製品に関するお問い合わせリンクは、NTTソフトウェアのお問い合わせ専用ページ(社外サイト:MARKETINGPLATFORM)に遷移します(MARKETINGPLATFORMは、株式会社シャノンが提供しているクラウドアプリケーションです)。

ソリューション・製品一覧へ