スマート カード テクノロジ
第 2 章 - スマート カード テクノロジ
最終更新日: 2007年10月22日
ダウンロード
「スマート カードを使用した安全なアクセス計画ガイド」の入手
データ ストレージのネットワーク化は、ほとんどあらゆる組織にとって重要なビジネス要件です。 組織では、コミュニケーション手段および収益を上げる手段として、機密性の高い独自のデータが含まれているネットワークをインターネットに接続しなければならいことがよくあります。 大半の組織では認証やネットワーク リソースへのアクセス許可にユーザー名とパスワードが使用されているため、ネットワーク接続の拡大をコンスタントに推進すれば、深刻なセキュリティ リスクの発生につながります。
「第 1 章 - はじめに」では、ユーザー名/パスワード方式が抱える主なセキュリティ上の問題について説明しました。 ユーザー名は秘密ではないので、有効なユーザーのふりをする攻撃者に対して有効なセキュリティとして機能するのはパスワードだけになります。 ユーザー名/パスワード方式の資格情報の脆弱性が理解されるにつれて、2 要素の認証システムに対する関心が高まってきています。
トピック
2 要素の認証
実装の前提条件
Woodgrove National Bank シナリオ
まとめ
2 要素の認証
2 要素の認証は、単純なユーザー名とパスワードの組み合わせ方式に勝るものです。ユーザーは PIN と一緒に、特定の形態の一意のトークンを提出する必要があります。 2 要素の認証を実装する方法は多数ありますが、今後その数がさらに増えるのは確かです。
ハードウェア トークン
ハードウェア トークンは、ユーザーがキー フォブやクレジット カード認証システムなどの物理的なアイテムを使用する方式の、2 要素の認証です。 このハードウェアにより単純な 1 回限りの認証コードが提供され、そのコードは通常 60 秒ごとに変わります。 ユーザーは、秘密の PIN と一緒にこの 1 回限りのコードを照合することで、一意に識別されアクセス権を取得します。
ハードウェア トークンを使用すると、スマート カードが持つ利点の多くを利用できますが、計画と展開のプロセスが他の方式より複雑になる可能性があります。 Microsoft® Windows Server™ 2003 および Windows® XP には、ハードウェア トークンのサポートは組み込まれていません。
スマート カード
スマート カードは、マイクロプロセッサと少量のメモリを内蔵したクレジット カード サイズのプラスチック製アイテムです。このカードは、秘密キーや X.509 セキュリティ証明書に使用できる安全な不正防止ストレージになります。 スマート カードには通常、32 または 64 KB の EEPROM (Electrically Erasable Programmable Read Only Memory) と ROM (Read Only Memory)、および 1 KB の RAM が内蔵されています。 ROM にはスマート カード オペレーティング システムが含まれ、EEPROM にはファイルとディレクトリ構造、PIN 管理アプレット、および認証証明書が含まれています。 RAM は、暗号化や暗号解読など、カード操作に使用される作業用メモリとなります。
コンピュータにアクセスするかリモート アクセスで接続する認証を受けるには、ユーザーはスマート カードを対応するリーダーに挿入して、PIN を入力します。 PIN だけ、またはスマート カードだけでは、ユーザーはアクセスできません。 PIN の入力に何度か失敗するとスマート カードはロックアウトするため、スマート カードの PIN に対してブルート フォース攻撃を行うことはできません。 PIN は通常 8 文字以下なので、長いランダムな文字のパスワードよりも覚えるのが簡単です。 スマート カードは、マイクロソフトが推奨する 2 要素の認証メカニズムです。
注 : スマート カードの PIN は、数字にはしないでください。 スマート カード ベンダー開発キットを使用すると、英字、数字、大文字、小文字、または英数字以外の文字の必要数を指定できます。
マイクロソフトでは、ドメイン管理者およびネットワーク リソースへのリモート アクセス用にスマート カードを採用しており、このスマート カードの展開を多層防御イニシアチブの一環として推進したいと考えています。 Microsoft Consulting Services、プレミア サポート、カスタマ サポート サービス、マイクロソフト パートナー、およびその他のソリューション プロバイダは、組織がスマート カードを使用してネットワーク アクセスをセキュリティ保護することを奨励しています。
以下は、ネットワーク管理者がスマート カード ソリューションを実装する際に必要な手順の概要を示したものです。
対象サーバーで、スマート カードに対応したアカウントでのインタラクティブ、セカンダリ、およびリモート デスクトップ ログオンをサポートできるようにする。
スマート カード対応のドメインレベル管理者アカウントを使用する必要のある管理者を特定する。
スマート カード リーダーを展開する。
スマート カードを配布して管理者を登録するための安全なプロセスを開発する。
以下は、リモート アクセス用のスマート カード ソリューションを統合する場合に必要なプロセスの概要を示したものです。
リモート アクセス サーバーをアップグレードして、スマート カード認証をサポートできるようにする。
リモート アクセス用スマート カードを使用する必要のあるユーザーを特定する。
スマート カード リーダーを展開する。
スマート カードを適切な管理者に配布して、リモート ユーザーを登録する。
実装の前提条件
スマート カードを展開する場合、実装フェーズを開始する前に組織があらゆる問題を検討できるように、計画的にアプローチを行う必要があります。 このセクションでは、最も一般的な前提条件を紹介します。ただし、環境によって他の要件も必要になる可能性があります。
アカウントの特定
スマート カードでのアクセスを必要とするユーザーおよびグループの特定は、スマート カードを展開する際の重要な要素です。
注 : 全ユーザーを対象にしたスマート カード アクセスを実装する予算とセキュリティ要件がある組織は、この手順を飛ばしてもかまいません。
次のようなグループおよびユーザーが、スマート カードを必要とする可能性があります。
フォレスト内のすべてのドメインのドメイン管理者
スキーマ管理者
エンタープライズの管理者
データベース管理者
人事管理者
リモート アクセスを行うユーザー
会計情報や財務情報など機密性の高いリソースに対してユーザー アクセス権または管理アクセス権を持つユーザー
役員レベルのユーザーなど、上記の一覧に含まれないユーザーおよびグループにもスマート カードでのアクセスが必要になる場合もあります。 このようなアカウントをプロセスの初期の段階で特定しておけば、プロジェクトと管理にかかるコストの見通しを立てることができます。
重要なアカウントを特定するには、スマート カードを使用するタイミングを定義する必要があります。 セキュリティの点から見ればたとえば、管理者には電子メールなど日常のタスクに使用する標準のアカウントと、サーバー メンテナンスやその他の管理タスクに使用する管理者レベル アカウントの 2 つのユーザー アカウントを用意することをお勧めします。 通常は、管理者はユーザー レベルのアカウントでログオンし、セカンダリ ログオン サービスを使用して管理タスクを実行します。 または、管理者は Windows Server 2003 の管理コンポーネント用のリモート デスクトップを使用するという方法もあります。このコンポーネントではスマート カード ログオンがサポートされています。 管理者アカウントの詳細については、「第 3 章 - スマート カードを使用した管理者アカウントのセキュリティ保護」の「管理者アカウントおよびグループの特定」を参照してください。
スマート カード インフラストラクチャのサポート
スマート カードを使用する場合、オペレーティング システムとネットワーク要素によりサポートされた適切なインフラストラクチャが必要です。 マイクロソフトでは、次のコンポーネントを使用するスマート カード実装をサポートしています。
マイクロソフト証明書サービスまたは外部の公開キー基盤 (PKI)
証明書テンプレート
Windows Server 2003
Active Directory® ディレクトリ サービス
セキュリティ グループ
グループ ポリシー
登録ステーションおよび登録エージェント
アクティベーション Web サーバー
拡張認証プロトコル - トランスポート層セキュリティ (EAP-TLS) プロトコル - リモート アクセス ソリューションにのみ必要
その他のコンポーネントには、登録ステーションと登録エージェントがあります。
公開キー インフラストラクチャ (PKI)
スマート カードを使用する場合、Active Directory のアカウント マッピングを可能にする公開キー/秘密キーのペアを備えた証明書を提供する PKI が必要です。 この PKI は、内部の証明書インフラストラクチャを外部の組織に実装するか、Windows Server 2003 の証明書サービスを使用するかのいずれかの方法で実装できます。組織は、スマート カードの証明書管理プロセスの全部または一部をアウトソースできます。
金融関連の企業は、電子メールの検証やパートナー企業との安全な取引を行うために PKI を外部の信頼済みルートにリンクすると便利です。 また、Windows Server 2003 の証明書サービスを使用して PKI を提供する方法もあります。
Windows Server 2003 の証明書サービスの詳細については、マイクロソフトの Web サイトの「Windows Server 2003 の公開キー基盤 (PKI)」を参照してください。
PKI には、証明書の失効を処理するメカニズムが備わっている必要があります。 証明書の期限が切れた場合や、攻撃者が証明書を侵害した可能性がある場合などに、証明書の失効処理が必要になります。 各証明書には、証明書失効リスト (CRL) の場所が含まれています。 証明書の失効の管理方法の詳細については、マイクロソフトの Web サイトの「証明書の失効を管理する」トピックを参照してください。
証明書テンプレート
Windows Server 2003 では、スマート カードで使用するデジタル証明書を発行するための固有の証明書テンプレートが用意されています。 これらの証明書をコピーして、組織の要件に応じてカスタマイズすることができます。 スマート カード用の証明書テンプレートには、次の 3 つがあります。
登録エージェント。 これにより、権限のあるユーザーが他のユーザーの証明書を要求できるようになります。
スマートカード ユーザー。 これにより、ユーザーはスマート カードでログオンして電子メールに署名できます。 また、クライアント認証も行われます。
スマートカード ログオン。 これにより、ユーザーはスマート カードでログオンできるようになり、クライアント認証も行われるようになりますが、電子メールに署名できるようにはなりません。
Windows Server 2003, Enterprise Edition ではバージョン 2 (v2) のテンプレートが用意されています。このテンプレートは修正および拡張して、ログオン、署名入り電子メール メッセージ、ファイル暗号化などの複数の機能を利用できるようにすることができます。 また、証明書テンプレートを拡張して、既往歴や年金資格など企業で必要とされる追加情報を提供できるようにすることもできます。 Windows Server 2003, Enterprise Edition では自動登録がサポートされており、これを利用すれば大規模な組織でもスマート カードの管理が簡単になります。 証明書の更新要求の際には、現在の証明書を使用して要求に署名できます。
注 : マイクロソフトでは、現在の Windows Server 2003 PKI を Windows Server 2003 Service Pack 1 (SP1) PKI にアップグレードして、強化されたセキュリティ機能を活用することを強くお勧めしています。
証明書テンプレートの詳細については、マイクロソフトの Web サイトの「証明書テンプレート」トピックを参照してください。
Windows Server 2003
Microsoft Windows 2000 Server では、スマート カードでのリモート アクセスおよびコンソール ログオンに限り管理者認証がサポートされています。 管理者用のスマート カードを実装するには、管理対象サーバーで Windows Server 2003 が稼動していて、リモート デスクトップ プロトコル (RDP) 経由でのスマート カード ログオンなど 2 次的な動作がサポートされている必要があります。 このオペレーティング システム要件には、ドメイン コントローラが含まれます。 この要件の詳細については、「第 3 章 - スマート カードを使用した管理者アカウントのセキュリティ保護」を参照してください。
Active Directory
Active Directory は、スマート カードを展開する際の重要な構成要素です。 Windows Server 2003 の Active Directory には、スマート カードでの対話型ログオンやアカウントを証明書にマッピングする機能を適用できるサポート機能が組み込まれています。 ユーザー アカウントを証明書にマッピングするこの機能があれば、スマート カード上の秘密キーを Active Directory 内に保持されている証明書に結び付けることができます。 ログオン時にスマート カード資格情報を提示するには、Active Directory で特定のカードが一意のユーザー アカウントと一致する必要があります。 証明書のマッピングの詳細については、マイクロソフトの Web サイトの「Map Certificates to User Accounts」 (英語) トピックを参照してください。
Active Directory では、セキュリティ グループとグループ ポリシーもサポートされています。これらを利用すると、スマート カード ログオンのプロセスとスマート カードの発行を容易に管理できるようになります。
セキュリティ グループ
Active Directory 内のセキュリティ グループを使用してユーザーをまとめれば、スマート カードの展開と管理のプロセスを大幅に簡略化できます。 たとえば、通常はスマート カードを展開する場合、次のセキュリティ グループを作成する必要があります。
スマート カード登録エージェント。 スマート カード登録エージェントは、ユーザーへのスマート カードの配布を管理します。 登録エージェントの詳細については、次のセクションで説明します。
スマート カード ステージング。 スマート カード ステージング グループには、スマート カードを受け取る権限はあるものの登録エージェントによってまだ登録されておらず、カードが有効になっていないすべてのユーザーが含まれます。
スマート カード ユーザー。 このグループには、登録プロセスが完了し、有効になったスマート カードを所持しているすべてのユーザーが含まれます。 ユーザーは、登録エージェントによりスマート カード ステージング グループからスマート カード ユーザー グループに移されます。
スマート カードの一時的例外。 このグループには、スマート カード要件に対して一時的な例外とする必要があるユーザーが含まれます (スマート カードを紛失した場合や忘れた場合など)。
スマート カードの恒久的例外。 このグループには、スマート カード ログオン要件に対して恒久的な例外とする必要があるアカウントが含まれます。たとえば、サーバー上でサービスまたはスケジュールされたタスクを実行するアカウントや、スマート カード ログオンの要件に合わないオペレーティング システムとデバイスで作業するユーザーなどが、これに当たります。
グループの作成方法については、マイクロソフトの Web サイトの「チェックリスト : グループを作成する」 トピックを参照してください。
グループ ポリシー
グループ ポリシーを使用すると、構成設定を複数のコンピュータに適用できます。 スマート カードを使用して対話型ログオンを行うための要件をグループ ポリシー オブジェクト (GPO) で設定し、この GPO を Active Directory 内の組織単位またはサイトに適用します。 グループ ポリシーの使用方法については、「第 3 章 - スマート カードを使用した管理者アカウントのセキュリティ保護」を参照してください。
登録ステーションおよび登録エージェント
組織は、Web ベースのインターフェイスを使用してスマート カードのユーザーを発行または登録することができます。これにより、ユーザーは資格情報を入力してスマート カードを入手します。 ただし、この処理を行った場合、スマート カードのセキュリティは、事実上 Web インターフェイスに提供される資格情報と同じレベルまで下がります。 登録ステーションを作成して、1 人以上の管理者を登録エージェントに指定することをお勧めします。
注 : 組織は、Microsoft 管理コンソール (MMC) インターフェイスを使用するか、独自のアクティベーション アプリケーションを開発することもできます。
一般的な登録ステーションとしては、2 台のスマート カード リーダーが付属したコンピュータが使用されます。 1 台のリーダーは登録エージェントのログオンに使用し、もう 1 台のリーダーは新しいスマート カードをユーザーに発行するために使用します。 登録ステーションでは登録証明書が必要になります。また、証明書テンプレートにアクセスする権限が必要です。 登録ステーションでは、登録エージェントが自分のスマート カードを取り出すとすぐに強制的にログオフされるように、グループ ポリシーが設定されています。
サポート技術情報の 309689 「Windows 2000 で定義済みのセキュリティ テンプレートを適用する方法」 次に、証明書サービスの Web ページを開いて、ユーザーの ID を確認し、ユーザーを登録して、登録済みのスマート カードを発行します。
組織は、必要な登録ステーションの数とステーションの設置場所を慎重に検討する必要があります。 組織によっては、登録ステーションをセキュリティ部門のオフィス内に、施設/サイトへの通行証などのセキュリティ パスを発行する設備と並べて置く場合があります。 登録エージェントのチームは、大規模な組織での初期展開を効率的に進めるため、ラップトップ コンピュータを支社内のモバイル登録ステーションとして使用することができます。
注 : 管理の複雑さを軽減し、スマート カードの登録を制御するため、登録エージェントおよび登録ステーションの数は、展開作業に最小限必要な数に抑えることをお勧めします。
アクティベーション Web サーバー
アクティベーション Web サーバーは、ユーザーが PIN をリセットして新しいスマート カードを有効にすることができるカスタム コンポーネントです。 一部のベンダのソフトウェア開発キット (SDK) には、アクティベーション Web サーバーの構築を支援するツールが含まれているものがあります。 マイクロソフトでは、アクティベーション サーバー コンポーネントは提供していません。
PIN をリセットするには、ユーザーはスマート カードから 16 進数のチャレンジ ストリングを生成する暗号化サービス プロバイダ (CSP) ユーティリティを実行します。 このチャレンジ ストリングを Web ページのフィールドに入力すると、アクティベーション Web サーバーがレスポンスを生成します。 ユーティリティのレスポンス フィールドにレスポンスを入力すると、ユーザーはスマート カードの PIN を設定できるようになります。
アクティベーション Web サーバーを管理プロセスの一部にすることもできます。 ヘルプ デスクのオペレータは、このプロセスを使用して、ユーザーが何回も誤った PIN を入力してしまった場合にカードを有効にすることができます。 この場合、ユーザーはヘルプ デスク オペレータにチャレンジ ストリングを読んで聞かせ、これに対してオペレータがレスポンスを回答します。
EAP-TLS
証明書ベースのセキュリティ環境では、非常に強力な認証とキー決定方法を提供する EAP-TLS が利用されます。 EAP-TLS は、クライアントと認証システムの間の相互認証、暗号化方法のネゴシエーション、および暗号化されたキーの決定を行います。 RFC 2284 には、EAP の詳細な説明が記載されています。
スマート カードの評価
スマート カードを評価する場合に最も重要なことは、選択するモデルが計画したキーの長さをサポートできるかどうか確認することです。 Windows Server 2003 では、384 ビット (低セキュリティ) から 16,384 ビット (最大セキュリティ) までの証明書キーの長さがサポートされています。
キーの長さが長い証明書の方が、短い証明書よりも強力なセキュリティを提供できますが、キーの長さが長くなるとそれだけスマート カードでログオンするときに時間がかかります。 また、スマート カードのメモリの限度によっても、使用できるキーの長さの最大値が制限されます。
キーの長さが 1,024 ビットの証明書は、管理者アカウントまたはリモート アクセスのセキュリティ保護に最適です。 1,024 ビット キーの証明書は、スマート カードのメモリ容量を約 2.5 KB 使用します。 その他のメモリ要件として、オペレーティング システム (16 KB)、CSP などのスマート カード ベンダー アプリケーション (8 KB)、スマート カードのファイルおよびディレクトリ構造 (4 KB) などがあります。 したがって、メモリが 32 KB 未満のスマート カードは、ログオン証明書のストレージにはあまり適しておらず、スマート カード ソリューションの拡張に必要な機能をそれほど提供できません。
次に重要な検討事項は、Windows Server 2003 および Windows XP に対するサポートがカードに内蔵されているかどうかという点です。 スマート カードを購入する前に、必要な要件をベンダと確認してください。
注 : スマート カードは、それぞれのベンダから直接入手してください。 マイクロソフトからスマート カードを入手することはできません。
Windows XP および Windows Server 2003 ファミリには一部のスマート カードに対するサポートが組み込まれていますが、それ以外に RSA ベースの暗号化スマート カードも、これらのオペレーティング システムで正常に動作します。 Windows で標準でサポートされていないカードの場合、カード ベンダが、CryptoAPI を使用するカードの CSP を実装する必要があります。
スマート カードの評価の詳細については、マイクロソフトの Web サイトの「Evaluating Smart Cards and Readers」(英語) を参照してください。
PIN 管理
ユーザーは、CSP で秘密キー PIN ダイアログ ボックスを表示できるユーティリティを使えば、いつでもスマート カードの PIN を変更できます。 ダイアログ ボックスが表示されたら、古い PIN を入力して、新しい PIN を 2 回入力します。 自分で選択した PIN の方が覚えやすいため、ユーザーが PIN を変更できるツールを利用できるようにすることをお勧めします。
注 : ユーザーは、誕生日、車のナンバー、電話番号など、簡単に推測できるような PIN を設定しないように注意する必要があります。
ユーザーは、CSP の機能を利用する場合、PIN を管理する責任を負います。 Windows XP および Windows Server 2003 オペレーティング システム ファミリでは、PIN は管理されません。 PIN 管理のツールおよび手順については、スマート カード ベンダにお問い合わせください。
多くのスマート カード ベンダは、追加のカスタマイズ作業や開発作業を行わなくても Windows 2000 以降に直接統合できるスマート カードを提供しています。 メーカーは、このようなスマート カードを設定済みの PIN とセットで提供しており、ユーザーはカードに、登録時に PIN のリセット要など、さまざまな制限を設けることができます。 しかし、多くの企業では、この方法を適したものとみなしていません。
より複雑で安全な PIN を作成するには、ユーザーに 5 文字から 8 文字の長さの PIN を選択することを求める PIN 管理ツールを使用してください。 選択したスマート カード メーカーで、最大 8 文字の PIN がサポートされているかどうかも確認してください。
スマート カード ソフトウェア開発キット
マイクロソフトでは、スマート カード展開用の市販のソリューションは提供していません。 環境上必要な場合は、追加のカスタマイズを行わなければならないことがあります。
スマート カード ベンダでは、組織がスマート カードの展開プロセスをカスタマイズできる SDK およびパーソナリゼーション ツールを提供しています。 たとえば、開発者は SDK を使って、保留状態のスマート カードを発行できます。 登録エージェントがカードを発行すると、ユーザーがカードを有効にして PIN を変更します。 この方法を採用してセキュリティを強化する場合、追加のカスタマイズと開発のための予算を組む必要があります。
スマート カード リーダーの評価
適切なスマート カード リーダーを選択する際に最も重要な点は、目的に最も適したリーダーを選択することです。 たとえば、管理者の机の下に設置されている最新のワークステーションに 2 つ以上の USB 接続が備わっている場合、USB スマート カード リーダーを選択するのがおそらく最適の選択です。 ユーザーは、スマート カード リーダーをモニタの側面に接続したり、別の便利な場所に置いたりすることができます。 ラップトップからリモート アクセス接続を行うユーザーには、通常、PC カード形式のスマート カード リーダーが適しています。
キーボードに、USB インターフェイスでも動作するスマート カード リーダーが組み込まれている場合があります。 このようなキーボードは 1 台のコンピュータで使用する場合に適していますが、USB 装備の KVM (Keyboard Video Mouse) スイッチを経由すれば、サーバー ラック内の複数のコンピュータを動作させることができます。 KVM スイッチが複数のサーバーのスマート カード認証に対応しているかどうかは、選択した KVM スイッチのメーカーに確認してください。
Windows XP および Windows Server 2003 ファミリでは、次の表に挙げたスマート カード リーダーがサポートされています。 Windows でプラグ アンド プレイのスマート カード リーダー ハードウェアが検出され、正しいドライバがインストールされます。
注 : マイクロソフトでは、Windows-compatible ロゴを取得しているスマート カード リーダーを使用することを強くお勧めします。
表 2.1: Windows Server 2003 でサポートされているスマート カード リーダー
| ブランド | モデル | インターフェイス |
|---|---|---|
| American Express | GCR435 | USB |
| Bull | SmarTLP3 | シリアル |
| Compaq | Serial reader | シリアル |
| Gemplus | GCR410P | シリアル |
| Gemplus | GPR400 | PCMCIA |
| Gemplus | GemPC430 | USB |
| Hewlett Packard | ProtectTools | シリアル |
| Litronic | 220P | シリアル |
| Schlumberger | Reflex 20 | PCMCIA |
| Schlumberger | Reflex 72 | シリアル |
| Schlumberger | Reflex Lite | シリアル |
| SConnection Manager Microsystems | SCR111 | シリアル |
| SConnection Manager Microsystems | SCR200 | シリアル |
| SConnection Manager Microsystems | SCR120 | PCMCIA |
| SConnection Manager Microsystems | SCR300 | USB |
| Systemneeds | External | シリアル |
| Omnikey AG | 2010 | シリアル |
| Omnikey AG | 2020 | USB |
| Omnikey AG | 4000 | PCMCIA |