電子証明書の導入で、イントラネット/エクストラネットの業務アプリや会員制Webサイトなど、ログイン認証の必要なWebアプリケーションのセキュリティを飛躍的に向上させます。

電子証明書によるクライアント認証でセキュリティをレベルアップ

パスワードだけでは守りきれない

ログインIDとパスワードによるログイン認証には根本的な弱点があります。覚えやすいパスワードは、辞書攻撃その他のブルートフォース攻撃で解析されることを免れることはできません。また、辞書攻撃対策の判りにくいパスワードの場合、覚えにくいためにメモしたものをモニターに貼り付けておくなど、漏洩の可能性が危惧される光景をよく目にします。また、意味不明なパスワードも、一定の法則に基づいてソフトウェアで生成された有限長の文字列である以上、高度なブルートフォース攻撃により解析される可能性は否定できません。

電子証明書を使おう

電子証明書によるクライアント認証は、サーバ管理者側から提供された電子証明書を提示しないクライアントはWebアプリケーションにアクセスできないという仕組みです。通常のログイン認証に、この電子証明書によるクライアント認証を併用することにより、不正侵入の可能性は著しく低下します。多くのユーザが利用しているMicrosoft Internet Explorerをはじめ、ほとんどのブラウザが電子証明書によるクライアント認証に対応する機能を備えています。閲覧者側では特別なソフトウェアや機材の追加が不要ですので、電子証明書を作成・配布する方法さえ確保すれば、最小限の手間で導入することができます。

プライベート認証局で電子証明書を内作しよう

電子証明書はWEBサーバのSSLでの利用がポピュラーで、この場合、認証局業者から購入した証明書が使用されます。不特定多数のクライアントを対象にするため、認証局の公開鍵があらかじめブラウザに認知された公的なものである必要があるためです。一方、特定のユーザのみを対象とするアプリケーションでは、利用者に認証局の公開鍵をクライアント用電子証明書と併せて提供することにより、認証局業者から証明書を購入することなく証明書を自社発行・管理することができます。

EIS Certificate Managerならだれでも簡単にプライベート認証局の運用ができます

EIS Certificate Managerは、認証局の構築、クライアント用電子証明書の作成、ユーザへの電子証明書の配布、発行済み証明書の履歴・再発行・失効管理などの作業を、電子証明書や暗号化の知識を必要とせず行うことのできるプライベート認証局管理ソフトウェアです。 2001年に、大手健康保険組合の被保険者向けWebアプリケーションのセキュリティ強化を目的として開発されました。その後、さまざまなE-コマースサイトで、業務アプリケーションに組み込まれ、高い評価を得てきましたが、多国籍企業向けマルチランゲージ機能など、より汎用性を高めるためのいくつかの機能を追加、単独のソフトウェアとして製品化したものです。

詳しくはこちら