1 / 22

ニーモニックガード 不正アクセス・データ漏洩・端末盗用を防止する ユーザ本人認証ソフト

ニーモニックガード 不正アクセス・データ漏洩・端末盗用を防止する ユーザ本人認証ソフト. ( 有)ニーモニック セキュリティ http://www.mneme.co.jp. 人は物をなくすもの. 1 年間でビジネスマンの15%が何らかの携帯端末紛失を経験している (ガートナージャパンの調査)   → 紛失・盗難に備えた盗用・データ漏洩対策が提供されなければモバイル・オフィスは絵に描いた餅に終わる. セキュリティと人間. ×. 端末機が通信を行なうと考える   → 主体は端末機   → ユーザーは蛋白質製入出力ロボット・客体   → 人間の脆弱性は視野の外.

snana
Télécharger la présentation

ニーモニックガード 不正アクセス・データ漏洩・端末盗用を防止する ユーザ本人認証ソフト

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ニーモニックガード不正アクセス・データ漏洩・端末盗用を防止するユーザ本人認証ソフトニーモニックガード不正アクセス・データ漏洩・端末盗用を防止するユーザ本人認証ソフト (有)ニーモニック セキュリティ http://www.mneme.co.jp

  2. 人は物をなくすもの 1年間でビジネスマンの15%が何らかの携帯端末紛失を経験している (ガートナージャパンの調査)   → 紛失・盗難に備えた盗用・データ漏洩対策が提供されなければモバイル・オフィスは絵に描いた餅に終わる

  3. セキュリティと人間 × • 端末機が通信を行なうと考える   → 主体は端末機   → ユーザーは蛋白質製入出力ロボット・客体   → 人間の脆弱性は視野の外 • 人が端末機を介して通信を行なうと考える •   → 主体は老若男女の生活人 •   → 端末は人間の支配下にある手段・客体 •   → 人間の脆弱性はセキュリティの重要課題

  4. 本人認証ソフトの意義 正規ユーザーに成りすますことができた人物の前では、どんなに完璧な 漏洩防止手段も全く無力 完璧に防衛された 暗号化データも 正規ユーザーには 暗号を解いた平文で提示 = > データ漏洩・端末盗用防止の要は ユーザー本人認証

  5. 本人認証のセキュリティ 一般に使われている覚え易さ優先のパスワードは余りに脆弱、そこで パスワード管理を厳格にすればセキュリティが上がる 世界に一つ、この身体を照合すればセキュリティが上がる 特定の小物の非保持者を排除すればセキュリティが上がる 上記を組み合わせればセキュリティが上がる 自明の常識?

  6. パスワードのパラドックス 意図 セキュリティ崩壊へ パスワードの桁数を大きくする・無機化する・頻繁に変更する セキュリティは上がるはず 一部の人には有効、殆どの人は実行不能 メモ携帯・貼り出し モバイル環境では致命的なセキュリティ崩壊 アカウントの数が増えると、この崩壊現象はさらに顕著に 入力を何度か間違えると続行不能とする まぐれ当たりによる不正行為の確率は小さくなるはず 意図 セキュリティ崩壊へ 思い出せない=業務不能なので身近にあるデータ(電話番号、誕生日など.)を使う ユーザー情報を得た第三者には、類推容易

  7. 生体照合のパラドックス 意図 突然のケガなど本人でありながら拒絶される「本人拒否」問題を原理的に伴う 本人のみが持つ生体の特徴点を照合する セキュリティは上がるはず 「本人拒否=業務不能」を避けようとして パスワードをOR方式で併用 パスワードを破ればよい 更に、こうなる • 生体照合システムは、パスワード単独照合よりも更に低いセキュリティしか提供せず • セキュリティ崩壊へ 絶対に忘れないもの(最も類推容易な)を使うか 或いは メモ携帯・貼り出し 恐らく使わないと予想して登録するパスワード 但し、管理者が常駐しパスワード併用禁止が実行可能な場面では有効な場合も 肉体の複製は不可能だが、肉体の特徴点の複製は容易 (実証TV放映)  混乱の背景は、識別(これは誰?) ≠ 認証(これが本人?)の理解欠如

  8. 所持物照合のパラドックス 意図 特定の小物の保持者以外は排除 セキュリティは上がるはず 置忘れ =業務不能 置忘れ 防止努力 モバイル端末との同時盗難の可能性増大 置忘れ=業務不能の多発 端末と小物の同時盗難を避ける努力 • 絶対に忘れないもの(最も類推容易な)を使うか或いは • メモ携帯 • セキュリティ崩壊へ このループからの脱却を図る パスワードをOR方式で併用 但し、パスワード併用禁止が実行可能な場面では有効

  9. 組合せのパラドックス 単独では弱点がある技術も、複合化すれば      セキュリティは向上するはず 意図 AND型複合化は、 「本人拒否・紛失・置忘れ=業務不能」問題を悪化させる OR型導入は、最低レベルへの回帰に帰結する AND型でもOR型でもない組合せはありえない ∨ 組合せによってセキュリティが向上することはない むしろ、誤認識の拡散 → セキュリティ崩壊促進

  10. セキュリティ・パラドックス セキュリティ・パラドックスとは セキュリティを高めようとする意図が逆に セキュリティを下げてしまう皮肉な現象 パスワードの パラドックス 所持物照合の パラドックス 生体照合の パラドックス 複合化の パラドックス

  11. アイデンティティを考える 保有物・身体の同一性と人格の同一性 • 情報セキュリティで重要なのは何?   保有物の同一性 •   保有物は所有者について何も語らない   身体の同一性 •   多重人格者と記憶の非連続性   人格の同一性 •   記憶の連続性 業務遂行者は連続した記憶を保持する同一の人格でなければならない 身体・保有物の同一性確認は人格の同一性確認の代替にはならない

  12. 人格の同一性確認手法 人格の同一性確認は連続性記憶の共有の確認なしには成立しえない 文字化できる客観的な本人関連データは容易に第3者に知られ得る 主観的で視覚的な本人記憶イメージを第3者が知るのは容易ではない 視覚的イメージの照合方法を探究する 長期記憶を照合データとする手法を開発する ユーザにストレスをかけない工夫をこらす

  13. セキュリティ・パラドックス克服の一里塚画像・絵文字パスワードの利点と限界セキュリティ・パラドックス克服の一里塚画像・絵文字パスワードの利点と限界 利点     具象的視覚記憶に頼る      > 英数字パスワードよりも易しい記憶の保持     記憶の「再生」ではなく対象の「再認」による      > より易しい記憶の復元  限界    依然パスワードのセキュリティ・パラドックスを抱える 特に表示装置の小さなモバイル端末では弱点が顕著

  14. 不正使用者は…  総当りを試みる 非登録シンボルのみの選択  不正使用自動判定  管理者通報・操作不能 不正アクセスを強要された ユーザーは… 認証   +  異常事態 シンボル    シンボル     ↓ 認証した上で(脅迫者に知られることなく)異常事態対応(囮データへの誘導、管理者への通報、etc.) セキュリティパラドックスを克服する ニーモニックガード 正規ユーザーは… 認証シンボルを登録順序どおり選択するだけで個人認証完了。 本人を推定するエラーは許容される。 忘れるはずのない 愛着のあるシンボルを 照合データとし 囮のシンボルに混在させる

  15. Mnemonic Guard overcome security paradox 20年程昔に撮った孫娘の写真4枚を照合データ(パスシンボル)とした高齢者用認証画面の例 小画面では見やすくする為にポイントされているシンボルを拡大する

  16. 簡便な操作確実なユーザー確認 正規ユーザー: 認証画面上を数回タッチするだけの気軽な本人確認 本人推定エラーは許容され、ストレスを感じることもなく無制限 の試行錯誤 侵入者・盗人:  他人推定エラーは許容されず、速やかに操作不能となり 盗用・データ漏洩を有効に防止 懐かしい・愛着あるシンボルを使えば、忘れることなく、誰にでも簡単  異常事態通報機能 ・ 認証画面縮小機能   チャイルドロック機能 ・ 認証画面自作機能

  17. 製品ラインアップ#1 Windows2000・PocketPC モバイル版 コード名 LW2K-S / LWPC 誤作動防止(チャイルドロック)後の最終不正判定時に機器を操作不能にし、Windows2000を搭載したノートパソコンやPocketPCを搭載したPDAの盗用・データ漏洩を防止します。有力オンラインショップから\2,980で好評ダウンロード販売中です。 Windows2000 エンタープライズ版 コード名 LW2K-E ドメイン管理下でLANに接続されたWindows2000パソコンの不正ログオンを防止します。誤作動防止(チャイルドロック)後の最終不正判定時にはログオンを拒絶すると共にシステム管理者に警報を送ります。LANに接続されていない時にはモバイル版と同様に機器を操作不能にして盗用・データ漏洩を防止します。(5月より本格販売)

  18. 製品ラインアップ#2 ウェブ・アクセス認証 PC対応版 コード名 WAWS(Windows) WALS(Linux) WAHS(Linux/Windows Hybrid) 営業マンが出張・外出先から会社のウェブサーバーにアクセスする場合などに有効なユーザ認証を行なうものです。一般消費者向け電子取引全般に適用できる汎用性の高い製品です。当社ウェブサイトに体験コーナーを用意します。(5月初旬予定) ウェブ・アクセス認証 携帯電話対応版 コード名 WABP-LS ウェブ・アクセス認証の一種で、携帯電話の小型画面に対応し、内蔵デジカメ撮影画像を認証画面として登録できる機能を備えたシステムです。ブラウザー携帯電話を組み込んだ業務モバイル・アプリを運営する企業や有償サービスを提供するISPでお使い頂くユーザ認証ソフトです。(6月初旬体験コーナー設置予定)

  19. 製品ラインアップ#3 ニーモニック認証 汎用ライブラリ コード名 MLWI(Windows) MLLI(Linux)MLJA(Java/携帯電話) PCや携帯端末上で個々のアプリケーションを立ち上げる時のユーザ認証をニーモニック認証で行なうものでソフトウェアベンダを販売先とする製品です。(7月初旬SODECにて発表予定。) 認証画面作成ソフト コード名 VPPU 写真・イラスト・漢字その他のシンボルを使って自分用の認証画面を作成できるユーティリティです。モバイル版とエンタープライズ版には無償でバンドルされています。

  20. 事業ラインアップ#1 認証画面作成代行ビジネス 多忙な或いはPCの操作に不慣れな中高年~高齢者ユーザの為に認証画面作成を代行する事業です。関連ソフトウェアは通信・放送機構TAOの助成を受けて開発しました。 ユーザ・システム相互認証システム開発プロジェクト ニーモニック認証の基本ロジックを双方向に用いて「システムによる人の認証」と「人によるシステムの認証」を同時に行なう相互認証システムを開発しています。通信・放送機構の先進技術型研究開発助成金交付が決定したもので、東京大学生産技術研究所今井研究室の指導を受けて進めています。

  21. 事業ラインアップ#2 個人情報の保護と活用を両立する情報通信プラットフォーム開発事業 ユーザ主権とリスク極小化を原理とし、確実なユーザ本人認証と高度な匿名性を両輪として、プライバシーを保護しつつ個人データの有効利用を図ることができます。(株)富士通プライムソフトテクノロジとの共同事業で、情報処理技術振興協会IPA平成14年度次世代ソフト開発事業採択案件です。

  22. 会社概要 ■会社名     有限会社 ニーモニック セキュリティ (Mnemonic Security Limited) ■所在地     大阪市北区曽根崎2丁目16番19号 りそな梅田ビル7階          〒530-0057Tel : 06-6361-5311 Fax : 06-6315-5271 Mail : sales@mneme.co.jp ■主な事業内容  個人認証用ソフトウェアの開発、販売 ■設立      1995年11月9日 ■資本金     500万円(2002年8月1日現在) ■決算期     9月30日(年1回) ■役員      代表取締役  國米 仁          取 締 役  桝野 隆平 ■取引銀行    りそな銀行梅田支店、三井住友銀行梅田支店 ■加盟団体    大阪商工会議所          モバイルコンピューティング推進コンソーシアム          ホームアイランズセキュリティ協議会 ■URLhttp://www.mneme.co.jp (有)ニーモニック セキュリティ

More Related