多要素認証が求められる背景と icewall mfah50146....
TRANSCRIPT
© Copyright 2017-2018 Hewlett Packard Enterprise Development LP
多要素認証が求められる背景とIceWall MFA概要
日本ヒューレット・パッカード株式会社IceWallソフトウェア本部
IceWall MFA 製品Webwww.hpe.com/jp/icewall-mfa
2018年4月更新 ver.1.6
© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 2
Agenda
多要素認証が求められる背景
IceWall MFAご紹介
まとめ
お問い合わせ
© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 3
多要素認証が求められる背景
© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 4
企業情報システムで今まさに起きている変化
企業でのクラウド資源の大幅活用
社内で使うシステムは社内LANの中
スマホ/タブレットも含めたマルチデバイスの利用
ほとんどのユーザー端末は基本的にWindows PC
働き方改革と在宅勤務の推進仕事をするのは会社の中
ビジネスチャンス獲得のための積極的かつ能動的な変化
コスト削減のための変化の抑制(いわゆる「塩漬け」)
無線LAN中心の社内ネットワーク
ケーブル中心の社内ネットワーク
これまで これから
© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 5
認証に求められるセキュリティの変化
これまで これから
あらゆる場所・あらゆる機器からあらゆるITリソースへ
社内にある会社支給PCのみITリソースにアクセス可能
実は「扉」「壁」「人の目」などの物理セキュリティに依存していた
ますます情報技術に基づく強固な認証セキュリティが要求される
パスワードだけの認証では十分に強固と言えなくなっている
© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 6
標的型攻撃によってパスワードが盗難された事例出展:IPA(独立行政法人情報処理推進機構) 「標的型攻撃メールの分析に関するレポート」より <https://www.ipa.go.jp/files/000024771.pdf>
①取引先になりすました偽メールが送られる
①メール添付のPDFを開くとPDF Viewerの脆弱性を突き、PCを乗っ取り
①キーボードの打鍵を記録するマルウェアが埋め込まれ、パスワードも含めた全てのキー入力が攻撃者に送信された
• メール経由の標的型攻撃によって送り込まれるマルウェアは、ウィルス対策ソフトでは探知されない場合も多く、実際のビジネスメールを巧妙に装っているため、感染防止が極めて難しい
• 標的型攻撃の他にも、総当り攻撃、辞書攻撃、ソーシャルエンジニアリング、フィッシングなどによって、比較的容易にパスワードが漏洩することが知られている
© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 7
旧来の多要素認証ソリューションとその課題
特定デバイスに強く依存し、タブレットやスマホなどのマルチデバイスに対応出来ない
認証方式が標準化されておらず一旦導入するとベンダロックされやすい
多要素認証の導入にはアプリなど既存システム側の改修が必要改修できないアプリは認証強化できない
アプリ種別やアクセス場所に応じた柔軟なポリシー設定が出来ない
課題
ICカードなどの鍵デバイスによる認証
ワンタイムパスワード
指紋などの生体認証
© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 8
これから求められる多要素認証ソリューション
スマホやタブレットなどマルチデバイスに対応した多要素認証
標準規格をベースに低コストで
ベンダロックされない多要素認証
アプリの改修が不要で広い範囲に適用できる
多要素認証
SaaSにも対応した多要素認証
状況に応じて複数の認証方式を使い分けたい
災害時のBCP対策として自宅PCなどでも仕える
多要素認証
これらのご要望にお応えするのがIceWall MFA
© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 9
IceWall MFAご紹介
© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 10
IceWall MFAとはIceWall MFAは、アプリケーションやクラウドサービスを改修せずに、多要素認証(Multi Factor Authentication)で認証を強化できるソリューションです。
認証・認可
Webアプリ
クラウドサービス
ID・パスワードで認証
IceWall MFAが認証・認可を代行
Office 365
ユーザー
+
他の方式で認証
複数の方式で認証強化アプリ・クラウドの改修は不要
(多要素認証)
認証DB
IceWall
MFA
salesforce.com
Password:
© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 11
ID/パスワードだけでなく、様々な認証方式を低コストで利用可能
FIDO※準拠の認証デバイス「FIDO U2F セキュリティキー」等の標準デバイスが使用可能
ワンタイムパスワード標準規格(OATH)のHW/SWトークンが使用可能
ブラウザー トークン一度多要素認証を行った端末のブラウザーでは、2回目以降の多要素認証を省略
統合Windows認証
その他Windows Helloやマトリクス、指静脈、指紋、ICカード等にも対応可能
また認証プラグインモジュールの追加により、その他個別の認証方式にも対応可能
※ FIDO Alliance(Fast IDentity Online Alliance)は、生体認証などを利用した新しいオンライン認証技術の標準化を目指して発足した非営利の標準化団体、業界団体
Windows
© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 12
認証方式を各種条件によって動的に決定認証ポリシーの設定に従って、認証方式が動的に決定されます。複数の方式の中からユーザーが選択することも可能です。
・HTTPヘッダー情報・ブラウザークッキーの有無・ユーザー属性情報・他
アクセス元情報 アクセス先情報
・・・・・・・・・・・・・・・・・・・・・・・
認証ポリシー設定
認証方式を決定(複数可)
・コンテンツURLhttp://○○○http://△△△https://□□□
IceWall
MFA
Windows
✔
© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 13
ポリシー例:アクセス元に応じて認証方式を決定アクセス元(社内/社外)によって認証方式を変える事ができます。
Webアプリ
社内アクセス
+
社内アクセスはID/パスワード 認証のみ
社外アクセスはID/パスワード + OTP 認証
認証・認可
認証・認可
コンテンツ
社外アクセス
・・・・・・・・・・・・・・・・・・・・・・・
認証ポリシー設定
IceWall
MFA
© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 14
ポリシー例:アクセス先に応じて認証方式を決定アクセス先のコンテンツ(URL)によって認証方式を変える事ができます。
Webアプリ
+
通常コンテンツ
機密コンテンツ
通常コンテンツはID・パスワード 認証のみ
機密コンテンツはID・パスワード + FIDOデバイス 認証
認証・認可
認証・認可
ユーザー
・・・・・・・・・・・・・・・・・・・・・・・
認証ポリシー設定
IceWall
MFA
Webアプリ
© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 15
ポリシー例 :特定コンテンツアクセス時に追加認証アクセス先のコンテンツに応じて異なる認証ポリシーを設定した場合、二段階目以降の認証が設定されたコンテンツにアクセスした際に追加の認証が求められます。
Webアプリ
通常コンテンツ
機密コンテンツ
ID・パスワード で認証
閲覧可能
閲覧要求
FIDOデバイスで追加認証
追加認証後に閲覧可能
ユーザー操作の流れ
認証・認可
認証・認可
・・・・・・・・・・・・・・・・・・・・・・・
認証ポリシー設定
IceWall
MFA
Blocked!
© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 16
Webアプリ・クラウドサービスの改修不要IceWall MFAがWebアプリやクラウドサービスへのログインを代行します。Webアプリやクラウドサービスの改修は不要なので、広い範囲のWebアプリやクラウドサービスを容易に多要素認証化することができます。
既存Webアプリ 既存クラウド 既存Webアプリ
Password:
既存クラウド
今お使いのWebアプリやクラウドサービスが・・・
IceWall MFA
を導入すると
Webアプリやクラウドサービスを改修することなく
それらの認証をIceWall MFAが代行します
Password: Password: Password:
© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 17
シングルサイオンシングルサインオン機能によって、1回のログインで複数のWebアプリやクラウドサービスにアクセスする事ができます。
認証・認可クラウドサービス
1回のログインで複数のアプリにアクセス可
認証DB
ログインは1回のみ
ユーザー
Webアプリ
IceWall
MFA
© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 18
システム構成IceWall MFAのシステムは、各サーバー/モジュールから構成されます。
ユーザー Webアプリ
クラウドサービス
認証DB IceWall認証サーバー
IceWallFederation
認証連携
IceWallMFAサーバー
代行認証/アクセス
MFAプロキシモジュール
MFAセルフサービスモジュール
IceWall MFAサーバー内 各モジュール
ユーザーWeb
アプリ
IceWall認証サーバー
U2FプラグインOTPプラグインブラウザートークンプラグイン統合Windows認証プラグインその他 3rd Party製も追加可能
MFAコントローラーモジュール
認証プラグイン
© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 19
種々の3rd Party 認証方式との容易な連携プラグイン仕様公開によるパートナーエコシステムテクノロジーパートナー各社が提供する様々な認証方式と、プラグインによって容易に連携可能
• テクノロジーパートナー各社が提供する
各種認証方式とIceWall MFAを連携させ
るための“プラグイン”仕様を公開します。
• テクノロジーパートナーは、公開された
仕様に基づいてプラグイン ソフトウェア
を開発すれば、自社の独自認証を
IceWall MFAの認証方式として利用可
能です。
• 種々の認証方式を統合可能な「認証プ
ラットフォーム」として利用可能です。
IceWall
MFA
指紋認証
マトリックス認証
4 7 5 2
1 6 3 9
4 3 1 2
0 8 7 5
9 7 8 2
7 6 3 9
4 8 9 7
6 2 1 5
その他認証方式
虹彩認証
© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 20
まとめ
© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 21
IceWall MFAの特長まとめ
“FIDO”, “OATH” と言った標準規格の認証デバイスから選択して利用可能
→ベンダロックを避けることができ、低コストの認証デバイスを利用可能
→タブレットやスマホなど、マルチデバイスに対応した認証方式も選択可能
アクセス先やアクセス元に応じて、認証方式や要素数を変更可能
→セキュリティを重視したり利便性を重視したり、利用シナリオによって柔軟な対応が可能
Webアプリケーションやクラウドを改修をすることなく、多要素認証化が可能
→改修コスト不要で、広い範囲に多要素認証を適用可能
3rd Party認証方式との容易な連携を可能にするプラグイン
→より幅広い認証方式を選択可能
© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 22
認証方式 (多様な方式に対応)
実装状況
No 認証方式IceWall MFA
IceWall SSOID識別認証 (*1) 追加認証 (*1)
実装済み
1 ID/パスワード ○ ○ ○
2 統合Windows認証 ○ - ○
3 OTP(OATH準拠) - ○ ○
4 メールOTP - ○ -
5 FIDO(U2F) - ○ -
6 マトリクス(PassLogic) - ○ -
7 ブラウザートークン(認証済み端末の登録) - ○ -
8 拡張機能(カスタムプラグイン開発環境) ○ ○ ○
開発中(*2)
9 Windows Hello(FIDO2) ○ ○ -
10 指静脈 - ○ -
11 ICカード ○ - -
12 指紋 - ○ -
計画中(*3)
13 FIDO(UAF) ○ - -
14 クライアント証明書 ○ - ○
15 リスクベース - ○ ○
*1:組み合せに制限が存在する場合あり(対応ブラウザ他)*2:提案可能 *3:個別対応可能
© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 23
IceWall MFA と IceWall SSO 10.0の比較
IceWall SSO 10.0 IceWall MFA4.0 備考
Reverse Proxy 標準or高速 高速
ポリシーベース認証制御
△* ○*dfwを分けることにより
一部可能。
ポリシーベースアクセス制御
○ ○* *階層管理可能
ログ 参照型 分析型* Big Data対応
通信プロトコル ICP(独自)TLS/JSON*
(クライアント証明書対応)Web API化
環境 オンプレミス ハイブリッド
目的利便性
アクセス管理開発生産性
認証強靭化働き方改革クラウド移行
© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 24
お問い合わせ
© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 25
お問い合わせおよび周辺サービス
お電話でのお問い合わせ(日本ヒューレット・パッカード カスタマー・インフォメーションセンター)
0120-268-186 / 03-5749-8279 (携帯電話・PHSから)
受付時間 : 月曜日~金曜日 9:00-19:00
(土、日、祝祭日、年末年始および5月1日を除く)
Webフォームからのお問い合わせ http://www.hpe.com/jp/iw-contact
最新/詳細情報
• IceWall MFA公式サイトhttp://www.hpe.com/jp/icewall-mfa
• 技術レポート(新規レポート随時公開中!!)http://www.hpe.com/jp/iw-report
• カタログhttp://www.hpe.com/jp/iw-catalog
• オンラインデモhttp://www.hpe.com/jp/icewall-demo
• 評価用マニュアルダウンロードhttp://www.hpe.com/jp/icewall-download
各種サービス
• 導入サービス
• コンサルティングサービス
• エンジニア様向け技術トレーニング
• 海外拠点への導入・コンサルティングサービス
IceWall MFA公式サイト
Thank you