レビューメディア「ジグソー」

ネット上での本人確認が、簡単確実に行え、尚且つオンライン資産を保護するテクノロジーです。

インテル® アイデンティティー・プロテクション・テクノロジー(インテル® IPT)とは

 

企業内のネットワークにインターネットから接続するVPNを利用する場合、セキュリティを高めるため、1回限りしか利用できないワンタイムパスワードなどを利用することが多いです。

又、機密性の高い文書やメールを暗号化/復号したり、機密文書やメールに電子署名したりするためにも、セキュリティの高いワンタイムパスワードを利用することがありました。

ワンタイムパスワードの生成には、トークンIDを記録したハードウェアキーを必要とするので、多くの場合は、専用のUSBデバイスが利用されていましたが、専用のデバイスを利用するのはコストもかかるし、利用する手順が面倒でした。

そこで、ワンタイムパスワードの生成機能をプロセッサ側に組み込んでしまおうというモノが

 

「インテル® アイデンティティー・プロテクション・テクノロジー」です。

PC のファームウェアに格納されている秘密鍵を使用することで、よりセキュアな方法でユーザー承認を行うことができます。

 

 

 

 

以下、インテルHPより引用させて頂きました。

http://www.intel.co.jp/content/www/jp/ja/architecture-and-technology/identity-protection/identity-protection-technology-general.html

 

 

インテル® アイデンティティー・プロテクション・テクノロジーの仕組み


OTP 対応インテル® IPT

インテル® IPT は、Web サイトやネットワークのアクセスポイントを保護する機能に加え、暗号化に対応した I/O テクノロジーとしてプロテクテッド・トランザクション・ディスプレイもサポートしています。プロテクテッド・トランザクション・ディスプレイは、OTP または PKI に対応したインテル® IPT と連動して動作します。ユーザーの存在確認、トランザクションの検証、さらには資格情報を発行する前にも安全な PIN 入力を行えるようにすることで、マルウェアによるスクレイピングから PC の表示内容を保護します。

プロテクテッド・トランザクション・ディスプレイを備えたインテル® IPT によって入力の保護とユーザーの存在確認が行われる仕組み >



PKI 対応インテル® IPT

イ ンテル® IPT が、アクセスポイントの保護に使用している、もう 1 つの方法は公開鍵基盤 (PKI:Public Key Infrastructure) です。すでに PKI を使用してアクセスポイントを保護している企業では、インテル® IPT を併用することでさらなるメリットが生まれます。インテル® IPT では、OTP の資格証明情報と同様に、PKI 証明書もチップセットに内蔵されます。ハードウェア・レベルの強力なセキュリティーを提供するインテル IPT によって、企業は従来のスマートカードやトークンストレージのための追加コストを削減できます。

PKI 対応インテル® IPT によってマルウェアからの保護が強化される仕組み >


プロテクテッド・トランザクション・ディスプレイ

イ ンテル® IPT は、Web サイトやネットワークのアクセスポイントを保護する機能に加え、暗号化に対応した I/O テクノロジーとしてプロテクテッド・トランザクション・ディスプレイもサポートしています。プロテクテッド・トランザクション・ディスプレイは、OTP または PKI に対応したインテル® IPT と連動して動作します。ユーザーの存在確認、トランザクションの検証、さらには資格情報を発行する前にも安全な PIN 入力を行えるようにすることで、マルウェアによるスクレイピングから PC の表示内容を保護します。

プロテクテッド・トランザクション・ディスプレイを備えたインテル® IPT によって入力の保護とユーザーの存在確認が行われる仕組み >

 

 

チームメンバー(hideさん)作の漫画解説を、引用させて頂きました。

 

 

更新: 2013/11/04
j5 create(ジェイファイブ・クリエイト)の魅力や特長 PREMIUM REVIEW

結論からゆうと、インテル® IPT対応認証システムが、日本国内利用者向けには、あまり普及していませんでした。

実施検証編


 

現在私が利用している、ネットバンキングでは、以前からセキュリティー関係は良かったと思っていますので、紹介します。

 

 

ジャパンネット銀行

 

http://www.japannetbank.co.jp/security/security/otp.html

 

こちらは、以前からトークンによるワンタイムパスワード方式を採用していました。


 

 

セキュリティー的には完璧に近い状態だと思いますが、

いかんせん、コンパクト軽量のトークンですが、いちいち携帯していないと、いけません。


 

三菱東京UFJ銀行

 

http://direct.bk.mufg.jp/secure/index.html

 

以前は、契約番号、ダイレクトバンキング専用パスワード(ダイレクトパスワード)やインターネットバンキング専用パスワード(IBログインパスワード)に加えて、「契約カード」を使い、毎回異なった「確認番号」を入力することで、本人確認を行っていましたが、最近では登録した、Eメールアドレスに通知される、使い捨てのパスワード(6桁の数字)の入力が求められるようになっています。





 

 

上記の様なセキュリティ対策を、プロセッサ側に組み込んでしまおうというモノが、「インテル® アイデンティティー・プロテクション・テクノロジー」ですので、早速検証してみます。


プログラムのインストール 

 

インテルIPT のプログラムを使用するには、ドライバーディスクの Software フォルダーの中の Applications フォルダーの中の Intel_IPT_Installer フォルダー 内

の Setup_Intel_IPT_1.1.2.0.exe を実行します。

 

 

 

 

 

 

 

 

 

 

 

インストール完了しましたが、アイコンが出来るわけでもなく、本当にインストール出来たか不安ですので、 コントロールパネルのプログラムのアンインストール欄を見て確認しまた

 

 

 

 

 

 

 

インテル® IPTを使用する為の要件は、次の3つの条件を満たす必要があります。


インテル® IPTに対応している第2世代インテル® Core™ プロセッサー・ファミリー搭載PC以上を使用する。


アクセス対象のWebサイト、VPN、またはSaaSアプリケーションが、サービスに対応している必要があります。(サービスは、SymantecまたはVascoなどによって提供されています。)


この形式のセキュリティーはオプションサービスとして提供されるため、ユーザーは、アカウントの認証にPCを関連付けることを能動的に選択する必要があります。


ここで、ワンタイムトークンを利用したサービスを利用出来るのは、シマンテックなどのセキュリティー会社のサービスを採用している、ネットバンキング、通販企業のHPをアクセスする場合であり、インテルIPTは単体では機能するわけでは無いのでシマンテックのサービスが使われているサイトでの利用が、現実的です。

 

VIP ACCESSの利用可能なサイト


https://idprotect.verisign.co.jp/wheretouse.html

 

 

 

 

 

シマンテックのHPのベリサインのVIP ACCESS のページへ行ってプログラムをダウンロードし使ってみます。

 

https://idprotect.verisign.co.jp/

 

 

 

 

 

 

 

 

 

 

 

インストールが完了しましたので、早速トークンを表示させてみます。

 

 

 

 

30秒後に、パスワードが変更になっています。

 

 

 

ここまでは、Windows 8 タブレット(AMD C60搭載)にての確認ですが、一応使えています。

 

 

尚、詳細の使い方は、シマンテックの導入方法のページ参照お願いします。

 

http://www.symantec.com/connect/sites/default/files/video_uploads/IPT%20and%20Symantec%20VIP.mov

 

 

それでは、トークン起動し、実際のサイト覗いてみます。

 

 

 

 

zigsowをみてみましたが、非対応サイトだと、変化ないです。 

 

 

 

 

対応サイトの、 PayPalを選択してみました。


 

 

 

 

やはり、対応サイトだとトークンの表示が変わりました。

これで、セキュリティは完璧で、簡単にログイン出来るようになると思いす。

 

 

 

ここで、もう一つ、グラウドストレージサービスのサイトに登録してみます。


BAZA ONLINE

 

http://www.baza.jp/

 

http://blog.baza.jp/2012/07/20/%E3%82%A4%E3%83%B3%E3%83%86%E3%83%AB%C2%AE-ipt%E3%80%80%E3%80%80symantec%E2%84%A2-vip%E3%81%AB%E3%82%88%E3%82%8B%E3%80%8C%E4%BA%8C%E8%A6%81%E7%B4%A0%E8%AA%8D%E8%A8%BC%E3%80%8D/

 

 

ここも、インテルIPT対応サイトのようです。

 

 

 

 

 

Windows 8 タブレットと、VPro機での検証結果

 

 


まずは、BAZA CLOUD側で設定します。


設定方法
管理者権限を持つIDでBAZA CLOUDにログインし、
右上メニューの「ツール」→「管理コンソール」→「ユーザ」で対象ユーザを選択し「変更」。
変更箇所の下段にある「VIP Credential ID」に、VIP Access トークンの「トークン
ID(12桁)」を入力し「保存」します。
※一度、ログアウトして、再度ログインする際にID/PW入力後にOTP入力画面
が表示されます。
以上で設定は完了です。


管理者権限を持つIDでBAZA CLOUDにログイン



右上メニューの「ツール」→「管理コンソール」→「ユーザ」で対象ユーザを選択し「変更」


変更箇所の下段にある「VIP Credential ID」に、VIP Access トークンの「トークン
ID(12桁)」を入力し「保存」します



 

 


一度、ログアウトして、再度ログインする為にBAZAのサイトに行き通常通りのログインします。

 

 

 

ここからはIPT対応と非対応では違うはずですので、比較してみます。

 

 

 

 

 

Windows 8タブレットPC

 

 

 

 

 

 

 

 

 

 

ログインを選択するとOPT入力画面に切り替わります。

 

 

 

 

 

 

 

二要素認証の形になりますが、OTPを手動入力しなければ、ダメでした。


 

二要素認証で無事、ログイン出来ました。


 

 

 

インテルIPT対応VPro機

 

非VPro機でも、此処までは出来ましたが、どう変わるか楽しみです。

それでは、早速みてみましよう。

 

あれ~?????

 

インテルIPT使用の自動ログインが、出来ませんでした。


チームメンバーのhideさんの情報によれば、

「PayPalの日本のアカウントは、VIP ACCESS に対応していない・・・(アカウントがアメリカの方だけだそうです<(_ _)>・・・PayPalさんにおたずねしました)」


とゆうことで、もしかしたらBAZAさんも、同じではないかと、

サポートに問い合わせしたところ、

以下のような回答がありました。


「自動ログインの機能はOTP認証サービスおよびVIP Access トークンの
提供元である日本ベリサイン社(米国シマンテック社)の事情により
弊社サービスでは実装を外しております。
先方の事情については弊社からの回答は困難となりますので、その旨
ご了承お願い致します。」


ガーン、上記の理由により、自動ログイン機能の検証が、出来ませんでした、誠に申し訳ございません。


上記VIP ACCESSの利用可能なサイト、NHN Japan、NC JAPAN、サミーネットワークス覗いてみましたが、やはりIPT自動ログイン出来るサイトはありませんでした。

もはや私が知る限りでは、日本国内でのアカウントにて、自動ログイン出来る、サイト等が見つけられませんでした。(;^ω^)

外国語のサイトでしたら、あるんですが、私はどうも外国語が苦手で、躊躇してしまいました。


 


二要素認証は、非VPro機でも可能ですし、ゲームアカウントに付いても、トークンをスマホ等にインストールし、スマホの画面見ながら、OTPを入力する形でのログインとなりますので、同じでしたので、わざわざVPro機導入の意味が???です。

 

ここで、気をとりなおして、他の機能の検証してみます。

 

 

インテル マネージメント・エンジン(インテルME)でのワンタイムパスワード作成


スクリーンキャプチャー技術を悪用したマルウェアに対しても防御に対しての技術として、OS上でパスワード(6桁の数値)を作らないと言う事があげられます。

OSで作らずにインテル マネージメント・エンジン(インテルME)上で作って、直接モニターに出す事で、OS上で動いて画面をキャプチャーするソフトウエアーにキャプチャーさせない様にしているのです。

 

インテルAMTの検証時に分かったことですが、
リモートアクセスソフト VNC Free Edition Viewer for Windows を起動した時、

6桁のパスワードを要求されました。(設定で、パスすることも出来ます。)

 

 

 

この6桁の数値、VPro機のデスクトップに表示されているユーザー同意コードの6桁の数値を入れれば良かったのですが
離れた場所にある、VPro機のデスクトップを、見れない場合どうしょうもないですが、これがプロテクションです。




この6桁の数値は、WinShotで、画面キャプチャーが出来ないので、仕方なくカメラで
撮影しました。

何故かとゆうと、この数値はOS上の何らかのソフトウエアーで描画しているわけでは無く、インテルMEで直に作っているので、OS上で動いているWinShotで、キャプチャーが出来なかったわけです。

この機能が スクリーンキャプチャーを悪用したマルウエアーを防止するために必要な技術です。

 

最近この機能を利用し、キーロガーを防止するためにソフトウエアーキーボードを採用している企業が多くなりましたが、キャプチャーするマルウエアーを使って、パスワードを盗み出す輩がいるので、こうやって防止しているようです。

また、数値もマウスの位置情報から数値を起こしており、直接数値変換しているわけでは無いので、数値の入力のデーターを抜き取ることも困難なシステムになっているようです。

まえでの三菱東京UFJ銀行さんのとこにも、同じような機能が追加されていました。


こちらの機能は

実際のサイト上でのパスワード入力欄

 

キャプチャーするとパスワードの欄がOS上で作っていないのでキャプチャー出来ない仕様になっています。

 

 

まとめ

 

 

 

ここまで、検証してきましたが、Web決済を行うには有効なシステムですが、インテルIPTシステムはVProの中でも最も新しい技術で、搭載されているパソコンが少ないのが現状の問題点です。

現在でもVPro対応機しか搭載されておらず、現状はベリサイン社などでは、ソフトウエアートークンなどを併用せざるを得ない現状で、インテルサイドでハードウエアーに必ず搭載して、個人認証を守ると言った舵取りを取る必要があると思います。


インテル® IPT対応認証システムが、日本国内利用者向けには、あまり普及していませんでした




 

14人がこのレビューをCOOLしました!

コメント (0)

ZIGSOWにログインするとコメントやこのアイテムを持っているユーザー全員に質問できます。

YouTube の動画を挿入

YouTube の URL または動画の ID を入力してください

動画の ID が取得できません。ID もしくは URL を正しく入力してください。

ニコニコ動画の動画を挿入

ニコニコ動画の URL または動画の ID を入力してください

動画の ID が取得できません。ID もしくは URL を正しく入力してください。

ZIGSOWリンク挿入

検索対象とキーワードを入力してください

    外部リンクを挿入

    リンク先の URL とタイトルを入力してください

    URL を正しく入力してください。

    画像を挿入(最大サイズ20MB)

    画像を選択してください

    ファイルサイズが20MBを超えています

    別の画像を追加

    ほかのユーザーのレビュー

    ZIGSOW にログイン

    ZIGSOW会員登録(無料)はこちらから