パスロジは2017年12月25日、同社が提供するマトリクス認証方式のログイン認証ソフト「PassLogic(パスロジック)」の新版「Ver.3.1.0」を発表した。2017年12月15日から提供している。新版では、認証手段を拡大し、ハードウェアトークンを使えるようにした。さらに、外部アプリケーションにPassLogicの機能を組み込めるようにWeb APIの提供範囲を拡大した。
パスロジの「PassLogic」は、縦横のマトリックス(座標)の位置情報を利用してワンタイムパスワード(OTP)の文字を拾う、“マトリクス型認証”を採用したログイン認証ソフトである。
認証を受けるユーザーは、文字を拾う座標の位置さえ覚えておけばよい。認証のたびに異なる乱数表が生成されるので、座標位置が同じでも、拾う文字は毎回異なる。これがパスワードとなる。
図1●PassLogicの概要(出所:パスロジ)拡大画像表示
OTPの方式として、トークンを使わないチャレンジ&レスポンス型の認証方式と、トークンを使う時刻同期型の認証方式を用意している。基本的な使い方は、トークンを使わない方式になる。WebブラウザからPassLogicのサーバーにアクセスして乱数表を要求するたびにパスワードが切り替わる。
時刻同期型の認証方式として、スマートフォン(Android/iOS)用の無料アプリ「PassClip」または「PassClip L」をソフトウェアトークンとして使うことができる。特徴は、時刻同期方式であっても、スマートフォン画面に表示されるマトリックスの座標位置でパスワードを取得できることである。画面に乱数表を表示し、これが30秒に1回切り替わる。
今回新たに、時刻同期型の認証方式を増やし、スマートフォンのソフトウェアトークン以外の選択肢として、ハードウェアトークンを使えるようにした。OATH準拠のトークンを利用できる。パスロジでも、飛天ジャパンのハードウェアトークンを取り扱っている。
新版ではさらに、PassLogicの認証機能を外部アプリケーションから利用するためのAPIの提供範囲を拡大した。これまでは、トークンレスOTPの機能に限って、なおかつ特定のベンダー製品に限ってAPIを提供してきた。今回、時刻同期型のトークンもAPIから使えるようにしたほか、管理APIも用意した。さらに、特定のベンダーだけでなく、申し込みがあったベンダーに提供するとしている。
