Google Authenticatorとは
Google Authenticatorは、Googleが開発した認証の仕組みである。パスワード認証時、パスワードで認証するだけではなく、スマートフォンのGoogle Authenticatorアプリに表示された一定時間有効な6桁の数字からなるコードを取得し、認証を行う。このように、パスワードともう一段階の認証を必要とするため、二段階認証と言われている。ユーザ本人だけが知っているパスワードという情報に加えて、ユーザが持っているデバイス(スマートフォンのGoogle Authenticatorアプリ)で発行されるワンタイムパスワードを使って認証するプロセスを追加設定する。このように2つの方法による手順でユーザであることを確認することで、より安全にシステムを保護することができる。
Google Authenticatorの発行する認証コードは、時刻同期型のワンタイムパスワードとなっている。ワンタイムパスワードの標準として定められたRFC 6238に基づいて動作する。Google Authenticatorでは、各ユーザに80ビットの秘密鍵を生成し、管理する。
Google Authenticatorアプリ
Google Authenticatorアプリ
Google Authenticatorのソフトウェアトークンは、iPhoneやAndroid用のアプリとして配布されており、端末にダウンロードすることができる。このアプリでは、ワンタイムパスワードの認証に必要なコードを作成し、表示する。仮に新しいスマートフォンに機種変更した時やスマートフォンを紛失した場合にも、簡単にアカウント登録情報を移行することができる。
対応アプリケーション
Google Authenticatorと連携可能なアプリケーションとその詳細について、以下で紹介する。
PAM対応のアプリケーション(Linuxログイン、Webサーバ、メールサーバなど)
専用のPAMモジュールが提供されている。そのため、Linuxのアカウント認証と連携することで、Linuxログイン、Webサーバ、メールサーバなど、様々な用途でワンタイムパスワードを使うことができるようになる。
FreeRADIUS
OSSのRADIUSサーバであるFreeRADIUSでは、PAMを経由して連携することができる。ワンタイムパスワード機能を持ったRADIUSサーバを利用すれば、Wi-FiやVPN装置などのRADIUSに対応した機器の認証をワンタイムパスワード対応にすることが可能である。これによって、リモートアクセスをより安全に行うことができるようになる。
Apache
個人情報やクレジットカード情報などの重要なデータを扱うサイトでもワンタイムパスワードを利用できる。OSSのWebサーバのApacheでは、mod_authn_otpモジュールを利用することができる。このモジュールを利用すれば、Basic認証にワンタイムパスワードを利用できるようになる。
Roundcube
WebメールのOSSであるRoundcubeには、専用のプラグインが用意されている。QRコードを表示する画面も付属している。
OpenAM
シングルサインオンのOSSであるOpenAMでは、Google Authenticatorと連携した二要素認証の機能を提供している。OpenAMは、様々なWebアプリケーションの認証を統合管理し、シングルサインオンの認証を提供する。そのため、OpenAMと連携することで、ネットワーク上の様々なWebアプリケーションにワンタイムパスワードによる認証を導入することができる。
デージーネットの取り組み
デージーネットでは、Google AuthenticatiorモジュールとRADIUSサーバやOpenAMを組み合わせて、様々なアプリケーションでワンタイムパスワードを利用する仕組みを構築している。なお、システム導入後の運用や管理に不安がある方向けには、Q&Aや障害対応などのサポートを行う保守サービス「Open Smart Assistance」をおすすめしている。 その他Google Authenticatiorに関する用語・ページを下記でご紹介している。
【Webセミナー】OSSのRoundcubeで実現できる!セキュアなWebメール運用・構築セミナー
| 日程: | 11月11日(火)Webセミナー「BigBlueButton」を使用します。 |
| 内容: | 今回は、プラグインで安心安全なWebメールシステムを作成できるRoundcubeを紹介します。 |
| ご興味のあるかたはぜひご参加ください。 | |
