インテル® アイデンティティー・プロテクション・テクノロジー(インテル® IPT) は、信頼できる PC からユーザー(なりすましで無い本人)がアクセスしているかどうかをWebサイトおよび企業で簡単に検証するためのツールであり、前述のインテルATがハードウエアーを盗難から守るシステムとすれば、インテルIPTは ID とオンライン資産を保護する物である、それを低コストで、安全に実現するためにあるシステムである。
インテルIPTにはいくつかのの正確なユーザーかどうかを検証する手筈が用意されている
1 ユーザーネーム+パスワード これに vProパソコンが30秒ごとに生成する6桁の数値のワンタイムパスワード を使って認証を行う物である、これは特に目新しい物では無い技術だが、ユーザーとしては、別のハードウエアーとしてのパスワードを作成するトークンを持たなくて良いため、管理者側は、トークンを作成する費用が削減され、使用するユーザー側はトークンをわざわざ持たなくても数値を発行できるので使用勝手が改善する
使用するハードウエアートークンはプロセッサー内部でのハードウエアー上のソフトウエアー作成なので改ざんなどの問題点に対してもハードウエアートークンと同様にセキュリティー的に安全である
2 公開鍵基盤 (PKI:Public Key Infrastructure)を使った認証を使うことが出来る。PKIの証明書もチップセットに内蔵されており、なりすましての鍵の盗難をしにくくなっており、マルウエアーなどによる改ざんなどの問題点に対して安全である
3 暗号化に対応した I/O テクノロジーとしてプロテクテッド・トランザクション・ディスプレイもサポートしている、OTP または PKI に対応したインテル IPT と連動して動作する、これにより、トランザクション(決済の一連の単位)を保護する。これは、Web等で使用されるキーロガー防止のためのスクリーンキーボードをハッキングするために、スクリーンキャプチャー技術を悪用したマルウェアに対しても防御が可能であり、正しい人間がコンピューターを操作していることを反映させるための技術である
まとめると悪質な第3者がユーザーネームとパスワードを手に入れた場合、他のパソコンからなりすましてネットワークバンキングやネットショッピングなどのサイトにアクセスしてもワンタイムパスワードを使ってブロックする機能を有している
この機能もインテルATと同様に単独のパソコンで動くことを前提にしている機能では無く、信頼出来るメーカーのサーバーの管理、認証機能を使用して使うことが基本的な前提となっている機能である
個人を特定出来るシステムだが、法人では使用機会が多いだろうが個人ではほとんど無い
インテル® アイデンティティー・プロテクション・テクノロジー(インテルIPT)は・・・
簡単に言えば、現在パソコンの前でログインしてきている人物が、本人かどうかを確認するシステムに他ならない
難しいことを言わなければ、下の写真にある様な、ハードウエアートークンと言われるワンタイムパスワードを発行するキーホルダーの機能がチップセットの中に内蔵されていると思えば間違いない
これは、野村證券が過去使っていた、トークンであるが、2013年の時点では野村證券はトークン自体を使わない方式に変更してしまった、これはいちいちトークンを使わないとパスワードが出ないと言う事は、使っている顧客に対してセキュリティーのためとはいえ不便だからの他ならない、その他には、ハードウエアートークンの費用も馬鹿にならない
Amazonで1個1500円で販売していた・・・(^^;)
常陽銀行も法人口座と自営業者向けの口座にはこのトークンの技術が採用されているが、個人口座には使われていない
このような現状で、企業側としては、トークンの維持管理代は馬鹿にならないので、個人の資産を保証した方が安上がりなのだろうか??、しかし、ネットの詐欺の技術は年々進化して巧妙になっている、コストのかからないセキュリティー技術の開発は急務であろう
ここで新しい考え方として、このトークンをプロセッサー自体に組み込んでしまおうというのがこのインテルIPTである
インテル® IPTを使用するための要件は次の3つの条件を満たす必要がある
1 ユーザーは、インテル® IPTに対応している第2世代インテル® Core™ プロセッサー・ファミリー搭載PC以上を使用する必要がある
2 アクセス対象のWebサイト、VPN、またはSaaSアプリケーションが、この保護サービスに対応している必要がある(この保護サービスは、SymantecまたはVascoなどによって提供されている)
3 この形式のセキュリティーはオプションサービスとして提供されるため、ユーザーは、アカウントの認証にPCを関連付けることを能動的に選択する必要がある。
ワンタイムトークンを利用したサービスを利用出来るのは、シマンテックなどのセキュリティー会社のサービスを採用している、ネットバンキング、通販企業のHPをアクセスする場合であり、プロテクションとしてのインテルIPTは単体では機能するわけでは無い、
Vascoは主にネットバンキングとかに採用されているので、お目にかかれない
サイバートラスト社もマネージドPKIをサポートしているが、企業向けになる
シマンテックのサービスが使われているHPには、このような表記があるので見分けが付く
このようなサイトで使用が可能だ
インテルIPT のプログラムを使用するには、まずドライバーディスクの Software フォルダーの中の Applications フォルダーの中の Intel_IPT_Installer フォルダー 内
の Setup_Intel_IPT_1.1.2.0.exe を実行する
これでインストールされる
インストールされたかはコントロールパネルのプログラムのアンインストール欄を見て確認出来る以外は、アイコンも表示されないし、何も見受けられない
インストールが確認出来ただろうか??
では実際にトークンを作ってみよう
まずは、シマンテックのHPのベリサインのVIP ACCESS のページへ行ってプログラムをダウンロードしよう
ここで、PC一体型トークンをダウンロードしよう、このトークンはクラウド型なのでインストールするには必ずインターネットへの接続が必須である
インストールすると、トークンが現れる
トークンが現れたら、前述のワンタイムパスワードを採用している インテルIPTに対応したWebサイトに行く
そこから登録が可能だ
実際にインテルIPTに対応しているサイトで試してみたい
IPT対応のサイトはまだまだ少なく、企業のイントラネットならあるだろうが、私は入ることは当然出来ない、後は海外のお買い物で使うページにアクセスせざるを得ないが、今回はPayPalに入ってみることにした
まずPayPalのトップページから ログインしよう
VIP ACCESS を立ち上げておくと トークンがこのように変化する
トークンの数値が出ずに、インテルのマークと サイン済み のボタンしか出なくなる
ちなみにVpro機で無い Z77ボードのパソコンで立ち上げて同じようにPayPalのHPを見てみるとこうなる
トークンに変化が無いのがわかるだろうか・・・
IPTの搭載マシーンとのイメージの差はこの位しか無いが・・・IPTが動作しているのが判っていただけただろうか
話を元に戻すと・・・
まずはメールアドレスとパスワードを入れてログインする
VIP ACCESSの詳細 をクリックするとトークンの使い方が出るので・・・
使用開始をクリック・・・
仕様手順が表示されるので、メンバーサイトを表示をクリック
証明書を発行するサイトをクリックして、証明書を発行
こういった流れになる
ちなみにZ77ボードの方はクラウド型のソフトウエアーワンタイムトークンしか使えないが、左のタブを押せば同じ事が出来る
使用開始を押せば同じである・・・・(^^;)
個人情報が伴うので、細かいやり方は、シマンテックの導入方法のページ(動画)を参照していただきたい、解りやすいと思う
http://www.symantec.com/connect/sites/default/files/video_uploads/IPT%20and%20Symantec%20VIP.mov
ただし、ここまで散々振っておいて、申し訳ないが、PayPalの日本のアカウントは、VIP ACCESS に対応していない・・・(アカウントがアメリカの方だけだそうです<(_ _)>・・・PayPalさんにおたずねしました)
インテル マネージメント・エンジン(インテルME)でのワンタイムパスワード作成について
スクリーンキャプチャー技術を悪用したマルウェアに対しても防御に対しての技術として、OS上でパスワード(6桁の数値)を作らないと言う事があげられる、OSで作らずにインテル マネージメント・エンジン(インテルME)上で作って、直接モニターに出す事で、OS上で動いて画面をキャプチャーするソフトウエアーにキャプチャーさせない様にしているのである
6桁の数値がキャプチャー出来ないと言う事がマルウエアーの防止になると言う事を簡単に表現すると・・・
実は、インテルAMTの時にちょっと出てきているが、
リモートアクセスソフト VNC Free Edition Viewer for Windows を導入してきた時
ここで6桁のパスワードを要求されていたことを覚えていただろうか・・・(^^)/
この6桁の数値、vPro機のデスクトップに表示されているユーザー同意コードの6桁の数値を入れれば良いのだが、
この6桁の数値は、WinShotで、画面キャプチャーが出来ない・・・(^^)/
我々、レビュアーにはいたく不便きわまりないが、これがプロテクションである
そうなのである、この数値はOS上の何らかのソフトウエアーで描画しているわけでは無く、インテルMEで直に作っているので、OS上で動いているWinShotで、キャプチャーが出来なかったわけである
この技術こそが スクリーンキャプチャーを悪用したマルウエアーを防止するために必要な技術である
こちらの機能は
実際のサイト上でのパスワード入力欄
キャプチャーするとパスワードの欄がOS上で作っていないのでキャプチャー出来ない仕様になっている
近年、キーロガーを防止するためにソフトウエアーキーボードを採用しているが、キャプチャーするマルウエアーを使って、パスワードを盗み出す輩がいるが、こうやって防止しているわけである、また、数値もマウスの位置情報から数値を起こしており、直接数値変換しているわけでは無いので、数値の入力のデーターを抜き取ることも困難なシステムになっている
Zigsowでのレビュアーさんの日記を読んでいても、結構身近にオンラインゲームのIDとパスワードは抜き取られている様である
総当たりで、ハッキングするのか、キーロガーなどのマルウエアーを仕込むのか、解らないが、現在サイト内の武器などのアイテムはお金と同じように流通しているのが実情である
このようなゲームサイトでこそ、このような認証システムは活用され、速く普及すべきだと思う
インテルIPTとvProプロセッサーについて
このように、Web決済を行うには有効なシステムであるが、インテルIPTシステムはvProの中でも最も新しい技術で、搭載されているパソコンが少ないのが現状の問題点だ、問題はハードウエアー的にワンタイムパスワードを生成できる機能を生かし切れている日本の企業は現状で殆ど無いような気がする
もちろん内部的な企業内のネットワークに接続するパソコンを認識するためのシステムになら活用されているかもしれないが、きわめて限定的であり、システム開発と言った別の費用が当然かかる、個人で使うことはまず無いと思われる
銀行などのシステムでも、法人口座やゲームサイトでも有料課金ページには使われていることもあるが、このインテルIPTのシステム自体も、vPro機があまりのも少ない現状では、ソフトウエアートークン+クラウド型認証システム の採用に舵取りをせざるを得ないのが現状であろう・・・・
実際にベリサイン社などでは、ソフトウエアートークンなどを単独のアプリケーションやツールバー、スマートフォンなどのアプリなどで提供している。インテルサイドでハードウエアーに必ず搭載して、個人認証を守ると言った舵取りを取る必要があると思われる。
現状、携帯やスマートフォンは、シムチップに紐付けする形で認証をしているが、それと同等の認証形態としてこの先普及を狙うのであるならば、新型チップには必ず搭載するなどといった普及活動を望みたい物である
ZIGSOWにログインするとコメントやこのアイテムを持っているユーザー全員に質問できます。