 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
OATH、オープン認証仕様の基盤となるReference Architectureを改定 |
||||||||||||||||
|
||||||||||||||||
|
相互運用性のある認証をシンプルに実現
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
OATHは、デバイス、プラットフォーム、アプリケーション企業およびエンドユーザー企業によるコラボレーションにより、2004年に組成されたオープン認証仕様の策定組織。「二要素認証」を中核技術に据え、同年、ワンタイムパスワード(OTP)を進化させた、イベントベースのOTPアルゴリズム「HOTP(HMAC-based One Time Password)」を策定。2005年には、より広範な仕様となるOATH Reference Architecture 1.0を発表するなど、強固な認証基盤を創出すべく活動を続けている。 今回発表されたのは、バージョン1.0をより強固に改定したOATH Reference Architecture 2.0。OATHを推進する米VeriSignのイノベーショングループ プリンシパル、シダース・バジャジ氏は、OATH Reference Architectureとは「相互運用が可能な認証ソリューションをシンプルな形で実現するもの」と説明。「それにより、同ソリューションにおけるコストを削減し、トークンベンダごとに異なるアルゴリズムが利用されている現状を打破し、複雑性を解消することがOATHのミッションだ」としている。 バージョン2.0では、より強固な認証基盤を実現するため、「リスクベース認証」と「IDと認証の共有モデル」の2つの新技術が提唱されている。リスクベース認証は、トランザクションごとにリスクレベルを評価し、それに応じたレベルの認証を使用するもの。本来トレードオフとなるはずの認証の強固さと利便性を同時に実現することが可能となる。一方のIDと認証の共有モデルは、IDや認証情報をネットワーク間で共有することで、複数の認証を1つのトークンで行おうという考え方だ。いわゆるシングルサインオンに近い考え方だが、この技術がオープン認証基盤で利用できるようになる。また、ID・パスワードは個別に設定し、二要素認証のみを共有するモデルも構想に含まれており、より柔軟で安全な情報のやり取りができるよう構想されている。
このほか、トークンやスマートカードなど、低コストでマルチ機能の認証デバイス利用を広げると同時に、携帯電話、PDA、ノートPCなどのモバイルデバイスを強固な認証デバイスに変え、その強固な認証を、国単位でサポートするよう推進する、といったことがOATH Reference Architecture 2.0の目的という。 「OATHには4つの原則がある。1つ目が完全にロイヤルティフリーであること。2つ目が革新的な技術を取り入れながらもネイティブなプラットフォームをサポートすること。3つ目がさまざまなデバイスへの内蔵化を進めること。最後が、それによる相互運用性を確保し続けること。この原則によって、何より強固な認証を確立することが大原則だ。新バージョンも含めて、Webサイトからダウンロードして利用することができるので、一度試してみて欲しい」(バジャジ氏)。 なおこうした原則に基づいて、今後も、時間ベースOTPやChallenge responseのアルゴリズム、詐欺データの共有モデルなどを策定していく予定とのこと。 ■ URL Initiative for Open Authentication http://www.openauthentication.org/ ■ 関連記事 ・ エントラストジャパン、低価格のワンタイムパスワードトークン(2007/06/21)
( 川島 弘之 )
|
