top of page

PIVとセキュリティデバイス

弊社で取り扱っているYubiKeyなどの認証デバイスには、1本のキーの中に複数の機能を持つものがあり、キー単体でさまざまな利用方法があります。

この記事ではその機能のうちの1つ、PIVについてご紹介をいたします。

PIVとは

昨今、世間ではさまざまなICカード(スマートカード)が普及し、多くの人がその恩恵に与っていると思います。銀行ATMのカードや駅の改札や買い物で使用する「Suica」など挙げれば枚挙にいとまがなく、他にも企業などでは、社員証がICカードになっていて、それ自体が入館証も兼ねている、といったこともよく聞きます。

これらのICカードにも規格がいくつかありますが、その中でもメジャーなものに「PIV」という規格があります。Personal Identity Verificationの略で、「本人確認」の意味になります。元はアメリカ政府が定めた規格ですが、ID証明としての保証性の高さや多要素認証(MFA)に使用できるという利便性から商業用途でも広く普及することになりました。

PIVでは、以下のようなことが可能です。​

​デバイスの種類

このようにさまざまな機能を有するPIVの仕組みですが、必ずしもICカードだけの規格ではなく、規格を満たしたUSBデバイスも存在します。

PIVが扱えるセキュリティデバイスとしては、

 ・Yubico社のYubiKey

 ・Swissbit社のiShield Key Pro

 ・GoTrust社のIdemKey Plus

などが挙げられます。

左からYubiKey、iShield Key Pro、IdemKey

keys.jpg

企業でICカードを用いる場合、入館証程度であれば入り口にカードリーダーを設置すればいいのですが、各従業員が個々にPCを持っていて、ログイン時の認証にもICカードを用いることになれば、カードリーダーがたくさん必要になり、導入コストがさらにかかることになります。そのような場合、USBデバイスはカードリーダーを追加で必要とすることはなく、さらに持ち運びにも便利なため、非常に有効な認証デバイスとなります。

​各種デバイスをお求めの際は以下リンクよりお問い合わせください。

​PIVの使用例

PIV機能を利用することにより、Microsoft Active Directoryに接続されたPCへのログオンBitLockerを使用したファイルの暗号化、などを行うことができます。

この項では、PIV機能の一例、Active Directoryに接続されたPCにYubiKeyのPIV機能を使用してログオンする方法(スマートカードログオン)をかんたんに紹介したいと思います。

まず、スマートカードログオン環境の構築には、Windows Active Directoryサービス、およびActive Directory証明書サービスが必要です。

一般的な認証シーケンス.png

管理者は、CAを実行しているWindows Serverでスマートカードログオンを有効にするための証明書の設定を行う必要があります。その後は、各ユーザーが自身でYubiKeyに証明書を登録することで、スマートカードログオンを行うことができるようになります。

 

ユーザーがログオン画面でYubiKeyを挿せばユーザーIDが識別され、YubiKeyに設定されているPINを入力することでログオンすることができます。

スマートカードログオン.png

​詳細をお知りになりたい方はマニュアルをご確認ください。

ユーザーが持つセキュリティデバイスの「所持情報」と、そのデバイスに設定されているPINの「知識情報」が組み合わされて多要素認証が実現されます。スマートカード認証を導入することにより、Active Directoryの権限管理の利点を損なわずに「スマートカード」と「PIN」による、よりセキュアな認証を行うことができます。

このスマートカード認証を組織に導入するにあたって、ユーザーに登録作業をさせずに、管理者が代理で登録を行いたいという場合もあるかと思います。その場合、各ユーザーが登録する手順を管理者が行うことになるため、セキュリティデバイスの本数が多い場合は結構大変な作業となることが予想されます。弊社では、このような煩わしい作業を軽減すべく、一括登録用のアプリを用意していますので、ご興味がある方はご相談ください。

まとめ

このように、PIVには強力なセキュリティと高い汎用性があり、MFAオプションとしても使いやすいので、政府や企業によって幅広く使用されています。PIV機能を有するスマートカードはカードタイプやキータイプが存在しますが、システムへの認証を行う際は、カードリーダーを必要としないUSBデバイスを使用することでさらに利便性が増します

 

弊社YubiOnサービスは、PIV認証と同じような多要素認証を提供するサービスとなっています。その上、Webコンソールで認証デバイスの管理を行うことができ、認証デバイスを使用した端末へのログオンを制御することも可能となっています。

 

また、PIVによるスマートカードログオンはActive Directory環境が必須となりますが、弊社サービスはAD環境以外でも動作するという利点もあります。PIV認証を利用することを検討されている方は、弊社YubiOnサービスのご利用もぜひご一考ください。

bottom of page