SecurID

RSA SecurIDとは

RSA SecurIDは、RSAセキュリティ社が開発したネットワークリソースへのアクセスにおいて二要素認証を提供する認証システムです。このシステムは、特にワンタイムパスワード（OTP）を生成し、ユーザーがシステムにアクセスする際のセキュリティを高めます。以下に、RSA SecurIDの概要や動作原理、トークンの種類、脆弱性について詳しく説明します。

概要

RSA SecurIDは、ユーザーに専用のセキュリティトークンを割り当て、そのトークン内に組み込まれた時計と工場出荷時に作成されたシードレコードを基にして認証コードを生成します。この認証コードは通常、30秒または60秒ごとに更新され、ワンタイムパスワードとして使用されます。

トークンの種類

このシステムでは、ハードウェアトークンとソフトウェアトークンの2種類が存在します。ハードウェアトークンは、ディスプレイを持つ小型デバイスで、通常は耐タンパー性が考慮されています。ソフトウェアトークンは、携帯電話やPDAなどのデバイス向けに開発され、OTPを生成するための同様のアルゴリズムを使用していますが、シードレコードが必要となるため、セットアップ時にクライアントコンピュータに配布されます。

認証のメカニズム

RSA SecurIDによる認証プロセスは、通常、ユーザーが自分の暗証番号（PIN）とトークンに表示される認証コードの両方を入力する必要があります。このPINとOTPを組み合わせることで、二要素認証が確立されます。

また、RSA SecurIDは認証サーバーとトークン間での時刻の同期を自動的に行う機能を持ち、トークンとサーバーの時計にズレが生じた場合でも、ユーザーの操作に影響を与えないように設計されています。

普及状況

RSA SecurIDは、現在、二要素認証市場の約70%を占有しており、2500万以上のトークンが生産されています。この認証システムに対抗する製品としては、OneSpan（VASCO）などの企業が同様のセキュリティトークンを提供しています。

ユビキタス認証

RSAセキュリティは、USBフラッシュメモリなどの一般的なデバイスにSecurIDのソフトウェアを組み込むことで、「ユビキタス認証」を推進しています。これにより、ユーザーは複数のデバイスを持ち運ぶ必要がなくなります。

理論上の脆弱性

RSA SecurIDは、一定のセキュリティを提供していますが、中間者攻撃に対しては不備があることが指摘されています。この攻撃型では、攻撃者がユーザーとサーバー間でのデータフローを操作し、認証情報を不正に利用できる可能性があります。さらに、ソフトウェアトークンにはハードウェアトークンと同様の耐タンパー性が備わっていないため、シードレコードが不正に複製されるリスクも存在します。

結論として、RSA SecurIDは、企業や個人がデジタルリソースにアクセスする際のセキュリティを著しく強化するツールです。しかし、その運用にあたっては、システムの脆弱性や攻撃手法を理解し、適切な対策を講じることが求められます。

もう一度検索