さて、トラステッドエグゼキューション・アンチセフトとセキュリティ系の機能が続いたわけだが、最後に登場するアイデンティティープロテクションもセキュリティの一つ。またセキュリティかよという感じだが、いかにこのご時世セキュリティが重要になっているのかが伺えるというもの。
一旦話が反れるがインターネット、いやパソコンのログイン画面からお世話になるのがID(もしくはユーザー名やメールアドレス)とそれに付随するパスワード。
IDが個人用の「扉」なら、パスワードはその「鍵」。しかしサービスによってはID側の特定はそれこそ誰にでもできるものがある。公開ユーザー名=ログイン用IDというサービスは少なくないのだ。という訳でセキュリティ上のキモとなるのが鍵であるパスワード。
しかし破れないパスワードなんて早々できない。定期的な変更と推測や総当りされにくい長く複雑なパスワードにしても限界がある上に面倒。ここはもう一つ鍵となる要素を追加したほうがいい。いわゆる「2要素認証」だ。
実はこの2つ目の鍵の一つがワンタイムパスワード(以下OTP)。業務用はもちろん遊び…つまりゲームでの利用もはじまっている。いくつかのネットゲームでも採用されているので「OTP」という単語自体は聞き覚えがある人も多いかもしれないし、既に活用している人も少なくないだろう。
OTPとはその名の通りワンタイム…一時的にしか使えないパスワード。どの位の時間かは機器によるが、例えば私が利用しているワンタイムパスワードは僅か30秒間しか使えない。
じゃあその30秒間しか使えないパスワードを一体どうやって管理するのか?多く使われているのはPC以外のもう一つの機器…セキュリティトークンや携帯電話に暗号化の為のアプリやIDを発行し、そこで随時ルールと暗号によって生成されるパスワードをサーバー上のものと照合させて認証するのだ。
これが何を意味するかというと、その30秒間の瞬間に「その機器を使用している」証明になる。IDとパスワードが漏れてしまっても、事前に登録した機器がその瞬間に所持していなければログインできないという訳。
例えば携帯電話がトークンならその電話機を家に忘れるとネカフェで自分のゲームにログインできない。ええ何度かやりましたよ。
ここまで長々とOTPについて説明していて無関係だったらひどいが、インテルアイデンティティープロテクションの機能の一つがこのOTPをハードウェア的に生成するという事。
実はソフトウェア的にPC上でOTPを生成する機能というのは既に実用化されている、当然OS上での動作になるので別個登録機器を使うのに比べてセキュリティ上は劣ってしまう。
IPTに対応したPCでは改ざんされない基盤上のハードウェアとしてOTPを生成する部分を実装している…要はパソコンの基盤の中にセキュリティートークンを別機器として埋め込んでいるようなものだ。
別機器を毎回出す手間をユーザーに取らせず、同等のセキュリティ能力のあるOTPを生成することで「そのパソコンを使っている本人である」自己を証明するという訳だ。
…まー本体盗まれたらこの間のアンチセフトにお願いしよう。
先ほど書いたとおりOTPはアイデンティティープロテクションテクノロジーの機能の「一つ」であり他にも機能があるのだが、OTP等の表示をハードウェア的に行い、OS上のプログラムの干渉を避けるようにするなど、そのパソコン・そしてそのパソコンを使用している本人であるという自己証明をするという目的は同じだ。
今回のDQ77MKの付属ディスクには「Intel Identity Protection Technology」という名前そのまんまのインストーラが入っており、またIntelのダウンロードセンターにも同名のインストーラが配布されている。
参考:https://downloadcenter.intel.com/Detail_Desc.aspx?lang=jpn&DwnldID=20135
しかしインストールしたところで見かけ上は何も変わらない。…実証できるのか?
ネットゲームのOTPを使ってみるも…
まあ先に書いておくと実証らしい実証はできなかったんですが。
日ごろからゲーム用にOTPを利用しているのだが、その一つにSymantec Validation & ID Protection (VIP)というものがある。日本ベリサインが提供するOTPサービスで、ハンゲームやNCJAPAN等のゲームで採用されている。
このVIPのパスワードを生成する方法は専用トークンやアンドロイドや携帯電話用のアプリ、そしてWindowsやMacのデスクトップ上で使える「VIP Access デスクトップ」だ。
先述の通り本来のOTPの意味を考えると、PCのOS上でOTPを生成するのは少々心許無い。そこでこのVIPはIntel IPTに対応し、基板上のモジュールを活用して専用トークンと同等の働きをするという。
IPT対応をウリにしているメーカー製ノートPCにもプリインストールソフトとして「VIP Access デスクトップ」がインストールされているらしいので、今回の検証でも使えるのではないかと思った訳だ。
インストールするとこのようにトークン固有IDと30秒間のみ有効なパスワードがデスクトップに表示される。右のボタンを押すとクリップボードにコピーされるので、入力も簡単。
後はトークンIDを普段使っているサービスのID…今回はゲームのログインIDに関連付けする手続き(これはサービスによって手順が異なる)処理をすれば準備完了。
それでは早速ゲームにログインしてみよう。ハンゲーム(TERA)だ。
フハハハ、このためにレビュー用PCにRadeonHD5750を積んでおいたのだよ!
このようにゲームのログイン画面で入力を求められるので、パスワードの有効時間である30秒以内にペースト、もしくは手動入力する形になる。外部機器の場合手動入力オンリーとなるのでその点ではデスクトップ版のほうがラク。
が、よくよく考えたらこの「VIP Access デスクトップ」、IPTとは全く関係ないPCでも動く。AMD Opteron3280+890GXなんていうインテルのイの字も関係ない構成でもインストール・動作は可能で、もちろんOTPトークンとしての使用可能。
IPT非対応PCと今回のIPT対応PCで「VIP Access デスクトップ」を動作させ、CPU稼働率やメモリ消費量なんかを見てみたが誤差の範囲。ソフト自体の動作も変化しないし、メモリ解析ソフトの情報も変化無し。
念のためアクティブ・マネジメント・テクノロジー検証の時にあった「外部VGAを搭載しているせいで上手く動作しない」可能性も考慮してグラフィックボードを取り外しても色々見てみたが結果は出ず。AMT時の結果からの推定だがIPTの別機能である「OTPのハードウェア描画」は内蔵グラフィックを使う事になるだろう。
他にもチームメンバーの方から情報を頂いた「Steam Guard」というSteamアカウント用セキュリティもIPTを採用しているとのリリースがあったがいまひとつわからず。結局の所ゲームの方面からIPTを「実証」するのはできなかった。TXTの時と同じく「対応しているのか、動いているのかさえ判らない」状態。
ところで、繰り返しになるが私は普段デスクトップ版ではなく外部機器(携帯電話)をゲーム用OTPに使用している。セキュリティ的にデスクトップ版が心配とかそういう問題ではなく、実はゲーム用としてみるとデスクトップ版って不便なのだ。
ゲームは別PCや自宅以外のネットカフェや友人の家で遊ぶ事もある。…となるとPC本体がトークンを兼ねているのでそのPCが手元にあり、さらに起動してVIP Accessデスクトップが起動できる状態でないとならない。
せいぜいそのPCから30秒以内に行動できる範囲のPCでしかゲームはできなくなるという訳で、もし別所でゲームをやりたければ16kgのパソコンを持ち歩く羽目になる。
逆を言えばほぼ「そのPCでしかログインできない」状態になる訳だから、そのPCでしかアクセスしないようなWEBサービスならむしろ都合がいい。
例えば企業の場合、ハードウェアトークンを持ち出してしまえばOTPも外部から使用可能になってしまうが、PC自体がOTPトークンならば、PC自体を持ち出さないとアクセス不能になりセキュリティ上の効果は高まるし、普段仕事で使うときは本体で完結できるのだから利便性もアップする。
アンチセフト等これまでお題に上がったvProのセキュリティ機能と組み合わせればより強固なセキュリティが出来上がっていくという訳。
ソフトウェア的なセキュリティはどうしてもイタチごっこ。そこにハードウェア的な要素を加え、連携を強める事によって別方向からのセキュリティや機能強化を進めていくvProテクノロジー。もちろん世の中に絶対なセキュリティなんてのは無いが、ハードウェアとソフトウェアを連携させる事で確実に安全性は高まる。
今はvProテクノロジーの一環として企業向けという扱いだが、個人情報のカタマリともいえるPCを守る為に、アンチセフト同様、徐々にコンシューマ向けPCにもフィードバックされつつある。
…できればセキュリティ関連機能のお世話にならない事が理想なのだが、このご時勢そんな事は言ってられない。便利な世の中は悪意のある人間にも便利な世の中なのだから。
ZIGSOWにログインするとコメントやこのアイテムを持っているユーザー全員に質問できます。