証明書による認証で、なりすましを完全排除
A社は、医療関係者向けにクラウドサービスを提供しています。 これまでは、システムへのログイン認証をID+パスワードで行ってきましたが、取り扱っているデータが漏えいの許されない個人情報を多く含んでいるため、かねてより、なりすましによる情報漏えいのリスクが社内で問題視されていました。 クライアント証明書を利用したログイン認証への移行も検討しましたが、病院内にある共用PCから複数のユーザーがアクセスするという利用形態が運用を難しくしていました。 こうした事情を日本RAに相談したところ、USBトークンの利用を提案されました。
USBトークンを利用した運用イメージは以下のようになります。
- USBトークンにクライアント証明書を入れ、各ユーザーに配布。
- ユーザーは病院内の共有PCにUSBトークンを挿し、サービスにログインする。
- USBトークンにはPINと呼ばれる暗証番号を設定できるため、もし、USBトークンが盗難にあったとしても、PINを知られていない限り、サービスにはログインできない。
- ユーザーよりUSBトークンの紛失・盗難の連絡があった場合は、ただちに証明書の失効処理を行う。
この方式だと、USBトークン(証明書)を持っていることとPIN(暗証番号)を知っていることの二要素認証となることから、認証強度も格段に強くなります。また、ユーザーはPCにUSBトークンを挿すだけで、サービスにログインできますので、ユーザビリティを損なうこともありません。 これに加え、USBトークンを持ち帰ることで、自宅のPCからも安全にサービスにログインできるようになります。
採用を決定して、自社サービスのシステムとNRA-PKIシステムの接続を行いました。 NRA-PKIシステムには、 ・証明書の発行 ・証明書の失効 ・許可リスト(ホワイトリスト)の提供 などの基本的な、WebサービスAPIが用意されているため、システム連携の作業もスムーズに完了し、短期間でサービスインすることができました。
