PIVとセキュリティデバイス
弊社で取り扱っているYubiKeyなどの認証デバイスには、1本のキーの中に複数の機能を持つものがあり、キー単体でさまざまな利用方法があります。
この記事ではその機能のうちの1つ、PIVについてご紹介をいたします。
PIVとは
昨今、世間ではさまざまなICカード(スマートカード)が普及し、多くの人がその恩恵に与っていると思います。銀行ATMのカードや駅の改札や買い物で使用する「Suica」など挙げれば枚挙にいとまがなく、他にも企業などでは、社員証がICカードになっていて、それ自体が入館証も兼ねている、といったこともよく聞きます。
これらのICカードにも規格がいくつかありますが、その中でもメジャーなものに「PIV」という規格があります。Personal Identity Verificationの略で、「本人確認」の意味になります。元はアメリカ政府が定めた規格ですが、ID証明としての保証性の高さや多要素認証(MFA)に使用できるという利便性から商業用途でも広く普及することになりました。
PIVでは、以下のようなことが可能です。
デバイスの種類
このようにさまざまな機能を有するPIVの仕組みですが、必ずしもICカードだけの規格ではなく、規格を満たしたUSBデバイスも存在します。
PIVが扱えるセキュリティデバイスとしては、
・Yubico社のYubiKey
・Swissbit社のiShield Key Pro
・GoTrust社のIdemKey Plus
などが挙げられます。
左からYubiKey、iShield Key Pro、IdemKey
企業でICカードを用いる場合、入館証程度であれば入り口にカードリーダーを設置すればいいのですが、各従業員が個々にPCを持っていて、ログイン時の認証にもICカードを用いることになれば、カードリーダーがたくさん必要になり、導入コストがさらにかかることになります。そのような場合、USBデバイスはカードリーダーを追加で必要とすることはなく、さらに持ち運びにも便利なため、非 常に有効な認証デバイスとなります。
各種デバイスをお求めの際は以下リンクよりお問い合わせください。
PIVの使用例
PIV機能を利用することにより、Microsoft Active Directoryに接続されたPCへのログオンやBitLockerを使用したファイルの暗号化、などを行うことができます。
この項では、PIV機能の一例、Active Directoryに接続されたPCにYubiKeyのPIV機能を使用してログオンする方法(スマートカードログオン)をかんたんに紹介したいと思います。
まず、スマートカードログオン環境の構築には、Windows Active Directoryサービス、およびActive Directory証明書サービスが必要です。
管理者は、CAを実行しているWindows Serverでスマートカードログオンを有効にするための証明書の設定を行う必要があります。その後は、各ユーザーが自身でYubiKeyに証明書を登録することで、スマートカードログオンを行うことができるようになります。