このユーザー認証を,vProプラットホーム上のハードウエアだけで,よりセキュアに行う技術が,インテル アイデンティティ プロテクション テクノロジー(IPT)です.
代表的なものに,2要素認証に使われるワンタイムパスワードの生成があります.今までは,ソフトウエア処理で生成したり,専用のハードウエア(USB機器などのトークン)が必要だったりしました.
しかし,IPTでは,OSとは独立して動作し,追加ハードウエア無しに,ワンタイムパスワードを vProプラットホーム上で生成します.
具体的には,チップセットに搭載された,インテル マネジメント エンジン(ME)でワンタイムパスワードを生成し,生成されたワンタイムパスワードは,メモリ上に流出することはなく,OSからは認識できません.よって,マルウエアによる読み取りも不可能になります.
この技術は,第2世代のCore vProプロセッサでも実装されていました.
新たに第3世代Core vProプロセッサから実装された公開鍵基盤(PKI : Public Key Infrastracture)を利用した認証技術もあります.PKI は,デジタル証明書,証明機関,その他の登録機関から構成されるシステム基盤であり,インターネット上で関係する相手同士の有効性を確認し,認証するために使用されます.
IPT は,ファームウェアに格納されている PKI 証明書を使用して,ユーザーとサーバー間の認証,ドキュメントの暗号化やデジタル署名を実行します.PKIは,通常,クライアント/サーバーの双方に専用のソフトウェアを用意する必要がありますが,IPTに対応するPCであれば,ハードウェア内部にPKI証明書を内蔵しているため,新たなハードウェア等の追加をすることなく,第三者による信頼性の検証を受けた上で,通信相手の有効性・安全性を確認することが出来ます.
もう一つ,プロテクテッド・トランザクション・ディスプレイ機能も有しており,スパイウエアやリモート環境からは,キー入力が見えなくなりました.このプロテクテッド トランザクション ディスプレイは,ユーザーの存在確認により,リモートアクセスやスクリーンショットの転送を悪用するマルウェアに対しても防御が可能で,同時に“人間”がPCを操作していることを証明できるようになります.
このように,インテル アイデンティティ プロテクション テクノロジーは,追加ハードウエア無しに,2要素認証や公開鍵基盤によるユーザー認証を,vProプラットホームだけで行うことが出来る技術の総称です.
IPTのよるユーザー認証は,そのPCを操作しているのが,”あなた”本人であることを証明してくれます
OSは,Windows8Proです.
ここから,デスクトップWindows版をインストールします.
VIP Access Desktop Windows版セットアップ
デスクトップに出来るショートカットをクリックします.
トークンIDとワンタイムパスワードが作成されました.
このIDとワンタイムパスワードは,IEなどブラウザで,自動入力に対応しています.
SymantecのVIP Accessのページで,動作チェックしておきます.
VIP Access
右下に”VIP Access トークンのテスト & リセット”があります.
はじめに,トークンのリセットを実行しておきます.リセットしないと,動作テストにPassしないことがありました.
トークンIDをコピー&ペーストして,”次へ”.
ワンタイムパスワードを2つ,コピー&ペーストして,”次へ”.
リセットされました.
元のページに戻り,トークンの動作テストをします.
トークンIDをコピー&ペーストして,”次へ”.
ワンタイムパスワードを,コピー&ペーストして,”次へ”.
動作確認が取れました.
折角なので,VIP Accessを利用できるサイトで確かめてみます.
同じ,SymantecのPersonal Identity Portal(PIP)を利用します.
PIPにアクセスします.
Symantec PIP(外部サイト)
”Get Started Now”で,登録をするのですが,今回の検証とは関係ありませんので,省略します.
登録後,”Sign In"します.
登録時のUsernameとPasswordを入力します.
その際,右下にVIP Accessのサポートメッセージが現れます.
”Sign In”し,”サインイン済み”をクリックすると,自動的にVIP CredentialにIDが登録されます.
以降,VIPのIDを登録したPCでないと,サインイン出来なくなります.
別のPCで,サインインすると,”Security Code”の入力が求められます.
別PCのVIP Accessでは,IDが異なりますので,ログイン出来ません.
2要素認証は,VIP Accessが自動的に行ってくれていますので,セキュリティは向上しています.
ただし,このVIP Accessですが,IPTが無くても動作します.
第1世代Core iプロセッサ(i7-720QM)+Windows7
第2世代Core iプロセッサ(i7-2600k)+Windows7
と,いうわけで,これではIPTの検証になりません.
IPTがあれば,ハッキングからは確実に守られているとは思いますが,確かめる術がありません.
そこで,IPTの2要素認証を別の方法で検証することにしました.
Intel IPT対応のVASCO DIGIPASSです.
VASCO MYDIGIPASS(外部サイト)
まず,”Sign up now”をクリック.
右下の”intel IPT”をクリック.
”Chech for Intel IPT”をクリック.
JAVAの実行確認が出るので,”実行”をクリック.
IPTが認証されると,個人情報の入力画面になります.
必要項目を入力して,”Sign up"をクリック.
Personal Master Keyは,ログインパスワードになります.
ログインすると,このような画面になります.
DIGIPASSの使い方は,IPTとは関係ありませんので,省略します.
ここで,IPTの無い別PCで,”Check for Intel IPT”をクリックした場合を確認します.
IPTが見つからないので,他の方法を選択するように求められ,Sign upに進めません.
再び,IPT-PCで,MYDIGIPASSにログインします.
入力は,emailアドレスとマスターキーだけですが,IPTによる2要素認証が自動的に働きます.
”Intel IPT Found”になっています.
My DIGIPASSを確認します.
Vasco発行のシリアル番号が割り振られていました.
これと,OTPがIPTにより,自動的に発行されていることが,予想されます.
Add DIGIPASSを見てみます.
ハードウエアDIGIPASSか,他のサポートされたハードウエアトークンも使えるようです.
試しに,VIP Accessを入力してみましたが,受け付けてもらえませんでした.
ここで登録した他のDIGIPASSは,IPT以外の方法でログインする時に利用できます.
それでは,IPTがサポートされていない別PCで,ログイン出来るか確認してみます.
IPTが見つからないので,ログインを受け付けてくれません.
emailアドレスとマスターキーがわかっていても,入力さえ出来ません.
ここで,仮にIPTがある別PCでログインを試みても,シリアル番号が異なりますので,emailアドレスとマスターキーがわかっていてもログイン出来ないことになります(検証は出来ていませんが).emailアドレスとマスターキーが漏洩しても,安全です.
登録に使用したIPT-PCで無いとログイン出来ないというのも,不便な面があります.
その場合,先の述べたように”Add DIGIPASS”で登録したハードウエアトークンがあれば,IPTが無くてもログイン出来ます.
しかし,別途Vasco認定のハードウエアトークンを用意しなければならなりません.IPTは,追加投資無しで利用できるので,とても便利です.
※スマートフォンを利用したログインも出来るようですが,本筋ではないので省略します.
以上のように,IDとパスワードが漏洩した場合でも,Intel IPTを用いた2要素認証は非常に安全であることがわかります.基本的に,PCも一緒に盗難に遭わないと,ログイン出来ません.PCの盗難対策は,Intel ATで可能ですので,vPro-PCは,非常にセキュリティが高いです.
Intel IPTがあれば,ログインしているのが,”あなた”本人であることを,間接的に証明してくれることになります.しかも,IPTは追加投資なしに,自動的に2要素認証を行ってくれるため,通常は1要素認証と変わらない手軽さで利用できます.その点が,Intel IPTによるユーザー認証のすばらしいところだと思います.
今後,Intel IPTによるユーザー認証の仕組みを取り入れたWebサイトが増えることを期待します.
ZIGSOWにログインするとコメントやこのアイテムを持っているユーザー全員に質問できます。