サーバでのパスワード管理や専用の認証デバイスが不要で強固な認証システムを実現 ～企業システムやクラウドでの利用に向けOSSとして一般公開～

1．開発の経緯

現状の認証システムは、パスワード認証のように容易に利用できるが安全性が低い方式や、生体認証・ICカードなどの安全性は高くても専用の認証デバイスが必要な方式が主流であり、安全性が高くかつ容易に利用できる認証技術が求められていました。
　このような問題を解決するため、NTTが暗号プロトコルの設計を、NTT-i³がシステムデザインを、 MIRACLが暗号プログラムの実装を担当し、3社共同で新しい認証技術を開発しました。 また開発したプログラムは、Apache Milagro（incubating）^※4を通じて5月中にOSSとして公開し、誰でも無料で使えるようになります（ http://milagro.apache.org/ ）。
　Apache Milagro（incubating）は、クラウドサービスのセキュリティ問題解決（システム運用者、エンドユーザ両方）を目的とし、新たに設立されたApacheソフトウェア財団のプロジェクトです。今回3社で共同開発したシステムを実現するソフトウェアが、このプロジェクトから公開される最初のソフトウェアとなります。

2．技術のポイント

今回開発した認証システムは、ペアリング暗号技術^※5により、システム運用者は、定期更新をエンドユーザに促す手間などのパスワード管理が不要になります。エンドユーザには、専用の認証デバイスを必要とせず、高い安全性と使いやすさを提供します。このため、本認証システムでは、導入および運用のコストが大幅に低減できます。
　本システムの認証では、エンドユーザが入力したパスワードと、端末内に保存された秘密情報と、乱数の3つの情報から計算された認証情報が認証サーバに送信されます。認証サーバは受信した認証情報が正しいかどうかをペアリング暗号の演算により判断し、エンドユーザの認証を行います。
　このとき認証サーバは、ぺアリング暗号の性質により、認証に必要な情報をエンドユーザごとに持つ必要がありません。エンドユーザの入力したパスワードと、エンドユーザの持つ端末内に保存された秘密情報とが正しい組であるかどうかのみを判断し、認証を行ないます。
　また、端末に保存される秘密情報は分散された鍵発行局から発行します。信頼の起点である鍵発行局を分散することでセキュリティ的に強固なシステムを実現しています。
　本システムは、既存のパスワード認証との併用が可能なシステム構成となっています。

図：パスワード管理不要な認証システム

3．今後の予定

今後、NTTグループとMIRACL社はApache Milagro（incubating）に協力し、新たに参加する企業・団体とともに品質や機能の改善を行い、さらなる普及を目指します。同時に、Apacheソフトウェア財団のプロジェクトであることを活かし、他のOSSに組みこんで行く活動を行う予定です。
　また、OSSのみでは無く、関連したサービスや製品展開も行い、NTTソフトウェアなどのNTTグルーブ会社やMIRACL社からの提供を予定しています。今回開発した認証システムは、2016年5月11～13日に開催されるApacheCon^※6（バンクーバー）に出展し、講演およびデモ展示を行います。

用語解説

^※1NTT i3（http://www.ntti3.com/ ）
NTT Innovation Institute, Inc.（NTT i3）は、シリコンバレーにおけるNTTグループのイノベーションセンタです。NTT i3は、お客様ともに、イノベーションに戦略的に取り組み、最新のICT技術を活用したビジネス革新を推進します。同様に、NTT i3は、チャレンジャー精神に富むデジタルネイティブなベンチャ企業との協業を進めています。
初期のアイデアから市場での展開までのイノベーション活動を加速するため、NTT i3では、長年培って来たNTT R&Dの知見およびNTTのグローバルICTインフラストラクチャに加え、シリコンバレーならではの起業家や開発者からなるエコシステムをフルに活用しています。

^※2MIRACL（ http://www.miracl.com/ ）
MIRACL社はインターネットサイバーセキュリティに関するソリューションを提供するリーディングカンパニーであり、特にIoTデバイスやIoTアプリケーション向けの暗号技術を活用したソリューションのパイオニア的存在です。イギリスを拠点とし、ロンドンと東京にオフィスを持ちながら活動を行っています。MIRACL社の「Distributed Trust Authorityサービス」は商業向け認証局に代わる新たなソリューションであり、金融、行政、医療業界に従事するクラウド事業者や利用者に対して「ユーザ認証」や「安全な情報共有」、そして「安全なデータ管理」を実現します。また「M-PIN暗号アプリ」では、オンライン認証やアクセス制御に関するセキュリティを提供しており、パスワードやPINコード、認証書といった一切の認証情報も保持しないため、今日組織が直面している証明情報の窃盗といった攻撃などを防ぎます。

^※3Apacheソフトウェア財団（http://www.apache.org/ ）
1999年に設立されたApacheソフトウェア財団（Apache Software Foundation, ASF）はアメリカ合衆国の慈善団体であり、個人の寄付やスポンサー企業によって運営されています。ASFのボランティア委員は、世界で最も有名なウェブサーバーソフトウェアである「アパッチHTTP Server」などを含む350以上の優れたオープンソースプロジェクトを管理しています。

^※4Apache Milagro（incubating）
Apache Milagro（incubating）はクラウドコンピューティング向けのOSSを開発するプロジェクトです。Apache Milagro（incubating）の目的は、現在データ共有や認証で使用されている鍵情報の管理システムや認証局による認証システムに代わる、サーバ管理者のパスワード管理が不要な新しいオープンソースを提供することです。Milagroは、これまでクラウド事業者やユーザが脅かされてきた「鍵管理」、「データ共有」、「データ管理」、そして「コンプライアンス」の問題を解決するペアリング暗号をベースとしたプラットフォームを提供するオープンソースです。

^※5ペアリング暗号
公開鍵暗号方式の一種であり、ペアリングと呼ばれる双線形写像を利用し、これまでできなかった機能を実現できる新しい暗号方式です。

^※6ApacheCon
正式名称"ApacheCon North America"。Linux Foundationが主催するOSSに関する世界最大級の国際会議です。1998年から開催されており、今年は2016年5月11日～5月13日にカナダのバンクーバーで開催されます。