IBM i 7.6で提供される、組み込みMFAによる「大幅なセキュリティ向上」
本日、IBMは、3年ぶりとなるオペレーティング システムの新リリース、IBM i 7.6を発表しました。バージョン7.6でも様々な機能強化がもたらされますが、最大の新機能は、多要素認証がオペレーティング システムに直接組み込まれたことだと言えるでしょう。これにより、MFAの採用が容易になり、IBM i のショップは追加費用なしで「大幅なセキュリティ向上」が可能になるとIBM i セキュリティ アーキテクトは述べています。
MFAは、セキュリティを向上し、アプリケーションやデータへの不正アクセスを防止するための業界要件として登場しました。北米のほとんどの銀行では、顧客に対し、メールで送信された追加のコードの入力や、携帯電話で時間ベースのワンタイム パスワード(TOTP)を生成する、Authyなどの認証アプリの使用を求めています。
IBMがIBM i 7.6に導入するMFA機能も、同様な仕組みで動作し、Authyなどの認証アプリで生成されるTOTPを利用します。認証アプリで生成されたTOTPが、サーバーによって生成されたTOTPに一致した場合、ユーザーはアクセスが許可されます。
このアプローチでは、他のMFAソリューションとは異なり、エージェントのインストールも、ネットワーク接続やパスコードの提供も必要ありません。そのため、簡単に構成して使用できるようになると、IBMのIBM i セキュリティ担当シニア ビジネス アーキテクト、Tim Mullenbach氏は述べています。
IBM i の新たなMFA機能は、「共有秘密の概念」に基づいて構築されているとMullenbach氏は述べます。「32文字長の値のキーを生成し、それをユーザー プロファイル オブジェクトに組み込みます。オペレーティング システムからそれを目にすることは二度とありません」と彼はブリーフィングで『 IT Jungle 』に述べています。「その一方で、その32文字のフィールドは、ユーザーの携帯電話、ユーザーのAuthy、ユーザーの認証アプリに組み込まれます。」
ユーザーがNavigator for IBM i から作業している場合、OSはそのキーが含まれるQRコードを生成します。登録プロセスでは、ユーザーはQRコードを携帯電話でスキャンして、認証アプリにキーをアップロードするだけだとMullenbach氏は述べています。また、IBMは、グリーンスクリーン環境から作業する顧客向けに、CLコマンドを使用してクライアント キーを生成する方法も用意しています。ユーザーはわずか20分でMFAを利用できるようになると彼は述べています。
実行時には、MFA機能は、ユーザー デバイスのTOTPが、IBM i サーバーで生成されたTOTPと一致することを確認するだけです。正当なユーザーである場合、TOTPは一致します。それらは同じキーを使用して生成されたからです(キーは常にシャッフルされ、それによって推測を防止)。パスコードが一致しない場合は、ハッキングの試みの可能性があるため、アクセスは拒否されます。
「コードは、ユーザーのデバイスのUTC時刻を基にして、ユーザーのキーおよび TOTP RFCの演算および暗号化ロジックを使用して生成されます」とMullenbach氏は述べています。「そのため、ユーザーは、他に必要なものはありません。ユーザーのデバイスには、6桁の数字を生成するキーがあるからです。」
MFA機能は共有秘密の概念に基づいているため、ネットワーク接続は必要ありません。そのため、インターネットからファイアウォールでロック ダウンされているIBM i サーバーにサイン インする機密保護担当者は、QSECOFRユーザー プロファイルを使用して、このMFAプロセスを利用することができます。
IBMは、IBM i の様々なサインオン画面や、Navigator、ACS、およびデジタル証明書マネージャー(DCM: Digital Certificate Manager)のインターフェースに、ユーザーがTOTPを入力できる新たなフィールドを追加しています。顧客がそれら以外のクライアント インターフェースを使用してIBM i サーバーにアクセスする場合は、そのインターフェースは、TOTPフィールドを追加するために修正が必要になります。
ベンダーがすべてのサインオン画面にTOTPフィールドを追加するには、数か月または数年掛かる可能性があります。これに対し、IBMは、ユーザーが通常のIBM i パスワードの最後に6桁のTOTPコードを追加できるようにする回避策を用意しています。ユーザーは、通常のパスワードを入力してから、コロン(:)を入力し、次いでTOTPを入力することができます。
IBMは、簡単に実装して使用できるだけでなく、非常に柔軟で、様々な状況に適応できるように、新たなMFA機能を設計しました。
「管理者は、個々のユーザー プロファイル ベースで、ほぼ制限なく、構成を行えるようになっています」とMullenbach氏は述べています。「システムに10人の別々のユーザーがいるとしたら、彼らの要件は、担当する業務によってそれぞれ異なることになります。」
一例として、IBMは、ユーザーが新たなMFAメカニズムを介して認証を行う必要がある頻度を決める間隔(1~720分)を、セキュリティ管理者が設定できるようにしています。たとえば、朝のサイン インの際に、ユーザーがMFAを介して認証を行うことをシステムが要求した場合、次の12時間はシステムが再度認証を要求しないようにすることもできます。これは、TOTP値の受け渡しを(まだ)サポートしていないアプリケーションにユーザーがアクセスできるようにする際に役立つとMullenbach氏は述べています。
「そこで、柔軟性の高さが重要になってきます。だからこそ、どのユーザー プロファイルも何らかの形でこれを利用できるはずだと思うわけです」と彼は述べます。「望ましいのは、できる限り多くのユーザーが、間隔を空けずに、常にTOTPを提供する必要があるという環境です。私たちのエコシステムでは、最初から全員ができそうではないことは私たちも理解しています。」
また、IBMは、システム保守ツール(SST: System Service Tools)および専用保守ツール(DST: Dedicated Service Tools)機能にも、新たなMFA機能を追加したとMullenbach氏は述べています。
MFAの実装と並行して、IBMは、IBM i 7.6で新たな認証出口点も追加しています。この出口点は、何らかのタイプのユーザー プロファイル スワッピングまたは一時的なユーザー プロファイルの利用が行われているときはいつでも呼び出されることになるとMullenbach氏は述べています。また、この出口点により、サードパーティ ソフトウェア ベンダーは、彼らの生体認証またはMFA機能をIBMの新たなMFA機能に接続できるようになります。
「期待されるのは、MFAソリューションを提供している既存のセキュリティ ベンダーが、そうした面を利用して彼らの既存のソリューションを強化することです」とMullenbach氏は述べています。「そのため、柔軟性が高く、様々なものを選んで組み合わせることができます。私たちのTOTPを使用し、場合によって、生体認証を追加することもできる、というのが私にとっては最良のシナリオです。しかし、制限された環境では常に機能するとは限りません。私たちが提供するものは、常に機能します。サイン オン画面があれば、その6桁の数字を入力することができ、これで多要素認証を利用できるようになります。」
このMFA機能はようやく実現までこぎつけたとMullenbach氏は述べています。Large User Group(LUG)および他のアドバイザリー グループは、少なくとも5年間、オペレーティング システム レベルでMFAをIBM i に組み込むようIBMに要望してきました。すべてのユース ケースで機能するものを構築する技術的な複雑性を理由に、IBMは一貫してその要望を受け入れませんでした。しかし、MFAに対する要望があまりに大きくなったことから、IBMがようやく折れた形です。
「IBM社内でも、システムでMFAを使用する必要があります。諺に言うように、「自分自身でドッグフードを食べる(自社製品を自分で使う)」必要があるからです。私たち自身での実践が必要なのです」とMullenbach氏は述べています。「それについて検討していた際に、このような様々な構成オプションで動作させることができる方法を思い付きました。IBM i で稼働するもので、このMFA機能を利用できないものもあります。だからと言って、顧客の大半にとって、そして顧客のシステム上のプロファイルの大半にとって非常に有用なものを提供しないという選択はしませんでした。」
このMFA機能では、IBM i オペレーティング システムのあらゆる場所に変更を加えることが必要でした。開発に4年以上掛かったのはそのためだとMullenbach氏は述べています。また、MFAがIBM i 7.6でのみ利用可能であり、PTFを介してOSの以前のリリースに追加されないのも、それが理由です。
「このMFA機能は、シンプルな、統合されたバージョンです。派手なものではありません。はるかに複雑なMFAソリューションもあることは承知しています」とMullenbach氏は述べています。「これが既存のソリューションに取って代わると言っているのではありませんが、私たちの市場の大きな部分を占めているのは、小規模・中規模のショップの顧客です。彼らがこれを使用し始めたら、もっと複雑なソリューションを購入したり、探したりしようとすることはないのではないでしょうか。そうした管理者は、数時間でこの機能を有効化することができ、認証での大幅なセキュリティ向上を実現できるからです。」
IBM i 7.6は、4月18日に一般利用可能となります。4月10日午前9時(米国東部時間)に、IBM CTOのSteve Will氏による、新たなリリースおよびIBM i 7.5テクノロジー リフレッシュ6に関するウェブキャストが行われる予定です。 こちらで参加登録できます。
他にも、IBMが発表したIBM i 7.6およびIBM i 7.5 TR6における機能改善はたくさんあります。今後の『 The Four Hundred』の関連記事にご注目ください。
