SSO国内シェアNo.1 IceWall SSO

Transcription

1 2018 年 9 月更新 ver.1.5 SSO 国内シェアNo.1 IceWall SSO 日本ヒューレット パッカード株式会社 IceWall ソフトウェア本部

2 目次 IceWall SSO の優位性 5 つのポイント IceWall SSO の特長 導入事例 SSO 導入のベネフィットを改めて 2

3 IceWall SSO の優位性 5 つのポイント

4 IceWall SSO ~ 圧倒的シェアの理由 ~ 3.2% 3.3% 4.6% 6.1% 2016 年度国内 Web SSO 製品シェア (*1) 23.3% 7.0% 累計 4,000 万ユーザーライセンス国内で 15 年以上にわたってトップシェア (*2) 52.5% IceWall SSO 日本ヒューレット パッカード A 社 B 社 C 社 D 社 E 社 その他 1. 豊富な実績に基づく安心と信頼 ~ 数百万規模 & ミッションクリティカルの実績 ~ 2. 実証済みの高品質と迅速なサポート ~ 国内開発 & サポート ~ 3. 長期サポートによる投資保護 ~2028 年までのサポート ~ 4. 高性能 高可用性 ~ 大規模やミッションクリティカルでも安心の仕組み ~ 5. 強力なパートナーシップ *1 出典 : ミック経済研究所 個人認証 アクセス管理型セキュリティソリューション市場の現状と将来展望 2017 年度版 (2017 年 12 月刊 ) を基に日本ヒューレット パッカードが作成 *2 ミック経済研究所より 2001 年以降に発行された当該調査レポートに基づく 4

5 1. 豊富な導入実績に基づく安心と信頼 BtoC / GtoC システム お客様名 ユーザー数 備考 NTT ドコモ様数百万 Federation 導入あり 三菱 UFJ 銀行様数百万 - 全労済様 数十万 イントラネットシステムへの導入もあり 証券会社 10 万 ~ - BtoB システム お客様名 ユーザー数 備考 東京証券取引所様 6 万情報提供サービス NTT コミュニケーションズ様数十万クラウドサービス NTT データ様無制限保険共同ゲートウェイ 三菱 UFJ インフォメーションテクノロジー様 3 万マーケットプレイス 大手損保 10 万 ~ 代理店システム 金融会社数万 - 流通会社 イントラネットシステム お客様名 ユーザー数 備考 三菱商事様 14,000~ HPE 開発 ID 管理システムの導入もあり トヨタ自動車様 十数万 エクストラネットへの導入もあり Federation 導入あり 明治大学様 40,000 - 佐賀県庁様 公共サービス 60 万 - ユーティリティ企業 数万 - JFEスチール様 6 万 BtoBシステムへの導入もあり Federation 導入あり 住友商事様 1.3 万 - ソネット様 数千 - 伊藤忠テクノソリューションズ様 数万 - 新聞社 株式会社良品計画 ミッションクリティカル用途や数百万ユーザー規模の実績多数 5

6 2. 多数の事例で実証済みの高品質と迅速なサポート ~ 国内開発 & サポート ~ 高いシェアを背景とした圧倒的な高品質 金融などでのミッションクリティカル事例 豊富なハードウェア & 人的リソースを使った徹底的な製品テスト 汎用的なテストツールに加え SSO に特化した独自作成のテストツールも活用 100% 国内開発で日本のお客様ニーズにフィット 国内のニーズを柔軟 迅速に製品に反映 基本マニュアルだけでなく アプリ対応やカスタマイズ用の日本語ドキュメントも充実 国内サポート 迅速なサポート体制 サポートサイトで パッチ情報などを日本語で配信 海外のお客様にも海外サポート窓口を用意 広範囲なモバイル端末の動作確認 動作確認済みブラウザの一覧 サポートサイトで提供している日本語ドキュメントの一部 6

7 3. 長期サポートによる投資保護 SSO は多数の業務システムやクラウドサービスと接続するため サポート切れによる製品入替えやバージョンアップには多大な手間が必要 一度導入した SSO システムは 出来る限り入替えすることなく長期に渡って利用したい IceWall SSO 11.0 は 2028 年 3 月末までサポート 長期間バージョンアップ不要で SSO 導入時の投資を有効活用 7

8 4. 高性能 高可用性 ~ 極めて大規模やミッションクリティカルでも安心のアーキテクチャ ~ 高性能 : リバースプロキシだけで数百万ユーザー規模の実績 数千ヒット / 秒 数百ログイン / 秒という高い処理性能 数百万ユーザー規模でアクセスが集中しても 性能は落ちずユーザービリティに影響を与えない 高可用性 : 全てのモジュールで完全な二重化構成 どのモジュールがダウンしてもシステムが止まらないだけでなく ログインセッションも維持 ~ ユーザーは再ログイン不要で モジュールダウンに気がつかない ~ ロードバランサー IceWall サーバー Active/Active IceWall 認証サーバー Active/Standby 認証 DB サーバー ユーザー リバースプロキシ型 SSOは全てのトラフィックが集中し 性能ボトルネックや単一障害点になりがちだが IceWall SSOなら心配不要! 多くの事例で実証済みの高性能 高可用性 8

9 5. 強力なパートナーシップ 日本ヒューレット パッカードからの直販だけでなく充実したパートナー販売体制を用意 パートナー一覧は下記に記載 再販 インテグレーションパートナー :IceWall SSO と関連製品の販売 構築が可能 チャネルパートナー :IceWall SSO と関連製品の販売が可能 構築パートナー :IceWall SSO と関連製品のインテグレーション実績 ノウハウを持つ 充実したパートナー協調体制 パートナー様ソリューションとの連携実績多数 生体認証 OTP ID 管理 ログ管理 / 分析 運用管理 など 9

10 IceWall SSO の特長 1.IceWall SSO とは 2. リバースプロキシ方式 3. フェデレーション 4. 複数認証レポジトリへの対応 5. 様々なオプション機能と他製品との連携

11 1. IceWall SSO とは 1-1. IceWall SSO のベネフィット 1 つのパスワードと一度の認証操作で 複数の Web アプリケーションと SaaS へのログインを実現 同時に アクセスコントロールの 4A( 認証 認可 管理 監査証跡 ) の統合も実現 SSO が無いと SaaS A IceWall SSO の導入で SaaS A 多くのパスワードがメモ書きや使い回しを誘発し漏洩しやすい SaaS B 1 つのパスワードで安全な管理 IceWall SSO SaaS B Web アプリ A Web アプリ A Web アプリ B Web アプリ B 11

12 1. IceWall SSO とは 1-2. シングルサインオン (SSO) と ID 管理 IceWall SSO によるシングルサインオン ID 管理 (ID 管理パッケージやカスタム開発などによる ) SaaS A SaaS A のユーザーレポジトリ 加工 基幹システム IceWall SSO Web アプリ A Active Directory 配信 集約 人事システム ユーザー Web アプリ B 一般的に半年以下の短期間で導入状況の変化に対しても少ない負荷で対応が可能 SSO の導入により代行ログイン機能 アクセス制御機能 情報継承機能など ID 管理への要求も軽減 Web アプリ A のユーザーレポジトリ IceWall SSO の認証 DB 管理者 一般に 1 年以上の導入期間が必要なうえ 状況の変化に対応する負荷が大きいことに課題 SSOの先行導入によって ID 管理システムの導入も容易に メールシステム 12

13 1. IceWall SSO とは 1-3. IceWall SSO の基本構成 クラウド連携パブリッククラウド / プライベートクラウドとの認証連携も可能 (IceWall Federation を使用 ) SaaS IceWall SSO エージェント方式 Web アプリケーションに直接アクセスが可能なエージェント方式にも対応 Web アプリケーション IceWall Federation リバースプロキシ方式リバースプロキシ方式では Web アプリケーションへの制約が少ない ユーザー IceWall サーバー ( リバースプロキシ ) Web アプリケーション 主体のリバースプロキシ方式に加え エージェント方式にも対応する他 IceWall Federation を使用したクラウド環境への認証連携も実現します IceWall 認証サーバー 認証 DB Webアプリケーション Webアプリケーション 13

14 IceWall SSO の特長 1.IceWall SSO とは 2. リバースプロキシ方式 3. フェデレーション 4. 複数認証レポジトリへの対応 5. 様々なオプション機能と他製品との連携

15 リバースプロキシ方式のメリット 1. セキュリティ対策を集中ネットワーク的な隠蔽で Web アプリへの攻撃を防御全てのトラフィックがリバースプロキシを通過するため それ以外のトラフィックから Web アプリサーバーを隠蔽することで Web アプリサーバーへの直接攻撃を防ぐことができる IceWall SSO の機能で更なるセキュリティ強化もクロスサイトスクリプティング バッファオーバーフローなどにも対応 攻撃者 2. 幅広い Web アプリケーションへの対応 Web アプリケーションへの制限が少なく ほとんどの環境に適用可能 IceWall SSO ユーザー 3. アクセスログの一元管理アクセスログが 1 ヶ所に保存されるため ログの集中管理が可能 IceWall サーバー ( リバースプロキシ ) Web アプリケーション Web アプリケーション Web アプリケーション 15

16 2. リバースプロキシ方式 2-1. ネットワーク的な隠蔽によって Web アプリケーションの脆弱性を攻撃から保護 ~ Web サーバーの通常の運用 リバースプロキシ型 SSO 導入環境での運用 課題 Web アプリケーションサーバーに脆弱性が見つかれば 攻撃を防ぐためにパッチ適用などで対策が必要 パッチとアプリケーションの整合性の課題もあり 早急なパッチ適用が出来ない場合もある 防御 IceWall SSO 解決 リバースプロキシ型 SSO は 全ての Web トラフィックが通過するため それ以外の経路をネットワーク的に隠蔽することができる Web サーバーの脆弱性に対し直接的に攻撃を受けてしまう Web サーバーに脆弱性があっても直接的な攻撃を受けることはない それによってWebアプリケーションサーバーへの直接攻撃の経路も閉ざされるので 仮にWebアプリケーションサーバーに脆弱性が残っていても 直接的な攻撃を受けるリスクは減る 16

17 2. リバースプロキシ方式 2-2. 幅広い Web アプリケーションへの対応 Web アプリケーションへの制限が少なく ほとんどの環境に代行入力で SSO が適用可能 ユーザー IceWall サーバー ( リバースプロキシ ) Form 認証でのログインを代行 11 方式 48 通りのパターンに対応 Web アプリケーション A 認証あり (Form 認証 ) 例 ) パッケージ Web アプリ等 Web アプリケーション B アプリケーション毎の ID パスワード情報の他 ドメイン名や企業 ID などの ID 以外の文字列情報も代行入力可能 認証 DB テーブルの内容例 : Basic 認証でのログインを代行 認証あり (Basic 認証 ) 例 ) パッケージ Web アプリ等 SSO_UID SSO_PWD NAME APP_UID APP_PWD user01 ****** Suzuki apuser01 ****** Web アプリケーション C IceWall ログイン ID パスワード アプリケーション毎の ID パスワード ( ユーザー属性情報 ) ログイン代行なし HTTP ヘッダで ID 情報引き渡し 認証なし例 ) 個別開発 Web アプリ 17

18 2. リバースプロキシ方式 2-3. 全ての Web アプリへのアクセスログの一元管理 ~ 通常の Web アプリ運用でのログ取得 ログログログ アクセスログが Web サーバー毎に分散 リバースプロキシ型 SSO 導入環境でのログ取得 IceWall SSO ログ 全ての Web サーバーへのアクセスを IceWall SSO で集中してログ取得可能 リバースプロキシ型 SSO では 全ての Web トラフィックがリバースプロキシを通過するため アクセスログもリバースプロキシで集約して取得可能 集約されたアクセスログを監視することで 失敗ログオン数の増加などによって不正アクセスなどの問題の兆候を発見しやすくなる 特に IceWall SSO では 一定時間内での失敗ログイン数などがリアルタイムでログとして出力されるため 問題の兆候をさらに手間なく迅速に見つけることができる 18

19 2. リバースプロキシ方式 2-4. オリジナル URL ユーザーが Web アプリケーションにアクセスする URL を リバースプロキシなしの場合と同じにする機能 ユーザー端末のブックマークを変更せずに利用可能 URL をダイナミックに生成する Web アプリケーションにも容易に対応 リバースプロキシなし Web アプリケーション 通常のリバースプロキシ SSO URL が変更 リバースプロキシ SSO Web アプリケーション IceWall SSO ( オリジナル URL 機能 ) URL の変更なし IceWall サーバー ( リバースプロキシ ) Web アプリケーション 19

20 2. リバースプロキシ方式 2-5. 高い処理性能 ( パフォーマンス ) 高負荷 / 広範な環境においても 十分なパフォーマンスを発揮 リバースプロキシは 数千ヒット / 秒もしくは数百ログイン / 秒という高い処理性能 認証サーバーと認証 DB 間の処理性能についても非常に高速 構成や要件により変動 プロキシ専用 1,000hit/sec/ 台以上 IceWall SSO IceWall サーバー リバースプロキシ機能 Web アプリ ユーザー 認証 DB マルチスレッド コネクションプール B*Tree 認証モジュールの分散化により高速処理可能 100,000hit/sec 以上 認証サーバー 認証モジュール 書き込みが速い DB のタイプを使用可能 ログインログアウト時に各一度のみアクセス 1,000 ログイン /sec 以上 20

21 2. リバースプロキシ方式 2-6. ポリシーベースの効率的なアクセス制御 ポリシーベース のアクセス制御により 効率的なアクセス制御が可能 ロールベース アクセス制御では 個人の属性変更の都度に権限変更が必要で 運用管理の負担大 ユースケース 人事部長から総務部長へ異動となった A さんのアクセス制御を行う場合 個人のロールを新たに割り当てる必要があり 都度 時間と費用がかかる 他社製品のロールベース方式 個人属性が変われば自動的に変更処理されるため 人事異動の多い企業でも安心!! IceWall SSO のポリシーベース方式 現状 A さん 変更後 個人にロールを割り当てアクセス制御 現状 A さん 変更後 個人属性 + 論理式でアクセス制御 人事部長 総務部長 ロールテーブル IF 組織 = 人事部 IF 組織 = 総務部 IF 役職 = 部長 Then 人事用コンテンツ Then 総務用コンテンツ Then 部長用コンテンツ 認可ルール 人事用コンテンツ 部長用コンテンツ 総務用コンテンツ 人事用コンテンツ 部長用コンテンツ 総務用コンテンツ 21

22 2. リバースプロキシ方式 2-7. その他の特長 SSL サーバー証明書の集約によるコスト削減 Web アプリの通信を SSL で暗号化したい場合 通常は全ての Web サーバーに SSL サーバー証明書が必要となるが リバースプロキシ方式の IceWall SSO ならば IceWall サーバーのみ SSL 証明書を入れるだけでよい SSL サーバー証明の取得 管理のコストを削減できる ファイアウォール管理負荷の削減 Web サーバーをファイアウォールで防御する場合 通常は全ての Web サーバーへの通信を通過させる必要があるが リバースプロキシ方式の IceWall SSO ならば IceWall サーバーへの通信のみ通過させるだけで良い ファイアウォールのアクセス管理負荷が削減できる エージェント型も選択可能 Web アプリケーションサーバーが地理的に分散している場合など リバースプロキシ方式がマッチしない場合には エージェント方式も利用可能 リバースプロキシ方式とエージェント方式の混在も可能 22

23 IceWall SSO の特長 1.IceWall SSO とは 2. リバースプロキシ方式 3. フェデレーション 4. 複数認証レポジトリへの対応 5. 様々なオプション機能と他製品との連携

24 3. フェデレーション 3-1. IceWall Federation ~SAML による SaaS との SSO~ SaaS(SP) Office365 ログイン IceWall サーバー IceWall 認証サーバー SaaS(SP) Salesforce IceWall Federation (IdP) 認証 DB オンプレミス IceWall(IdP) への認証を強化することでクラウドサービスの認証も強化でき 多要素認証などの導入も容易 IceWall(IdP) にアクセス可能な範囲がクラウドサービスが利用可能な範囲となり 場所や端末による制限が柔軟にできる IdP(Identity Provider) : ID を管理して認証を行うサイト SP (Service Provider) : 実際のサービスを提供するサイト 24

25 3. フェデレーション 3-2. 安心 迅速な環境構築を支援する 接続保証 と 実装支援 IceWall Federationは実際の各サービスとの接続検証を行っており 安心 迅速な環境構築が可能 フェデレーション機能を提供する製品の多くは SAML 等の 標準仕様に対応 しても各サービスとの接続確認 / 検証はユーザー任せという製品も少なくないこれまでに SPとして接続が確認できている一般的なフェデレーション機能提供製品 IceWall Federation サービス / ソフトウェア 導入時特定の対象サービス (SP) のインタフェースに合わせ SAML 等 適用する標準仕様の詳細を理解し 自身で設定 接続検証をする必要あり 運用時万が一 本番運用において障害が発生した場合 個々の標準仕様におけるエラーは 自身で解析してから各社製品窓口に問い合わせる必要あり 導入時適切な標準仕様を用い 日本ヒューレット パッカードにて各サービス (SP) 単位での接続検証をしているため 安心かつ迅速に環境構築を行うことが可能 運用時接続検証された対象サービス (SP) との接続において障害が発生した場合 日本ヒューレット パッカードから問題解決のためのサポートを受けることができる G Suite( 旧 Google Apps) Salesforce Platform Office 365 クリプト便 Fileforce 福利厚生倶楽部 Box SECURE DELIVER GigaCC Aruba ClearPass SharePoint ADFS 2.0 cybozu.com KDDI Knowledge Suite(GRIDY) 出張なび Bulas e- 革新サービス GoodData HPE Service Anywhere ShibbolethのSP Windows Azure 他 多数 接続確認ができているサービスの最新状況は弊社 Web ページをご確認ください 25

26 3. フェデレーション 3-3. Office 365 との認証連携 Office 365 との連携機能でマイクロソフトの認定を取得マイクロソフトの Works with Office Identity program の認証連携 サードパーティー ID プロバイダー として 国産製品として始めて認定 Web はもちろん Outlook や Skype などの Windows アプリケーションや モバイルアプリも対応 Web Windows アプリケーションモバイルアプリ 26

27 IceWall SSO の特長 1.IceWall SSO とは 2. リバースプロキシ方式 3. フェデレーション 4. 複数認証レポジトリへの対応 5. 様々なオプション機能と他製品との連携

28 4. 複数認証レポジトリへの対応 4-1. ID 探索機能 AD などの認証 DB が 独立して複数に分散している場合の課題を解決 IceWall 認証サーバー同士が通信し 複数の認証 DB の中から ID 情報を探索し どの認証 DB のユーザーも SSO を利用可能 ( 最大 10 台の IceWall 認証サーバー ) IceWall 認証サーバー IceWall 認証サーバー IceWall 認証サーバー IceWall 認証サーバー 認証 DBの統合不要で業務システムをグローバルに公開可能 手間無く短期間で導入可能 LDAPやADなど 異なる種類のレポジトリでも対応可能 ユーザーがログオン先を意識する必要なし 28

29 4. 複数認証レポジトリへの対応 4-2. ID 探索機能のユースケース ~SaaS のシングルテナント利用 ~ IceWall Federation SaaS Office365, Salesforce など SAML 認証連携 SaaS をシングルテナントで利用したい場合 認証連携先として指定できる認証レポジトリは 1 つのみ 認証 DB が複数ある場合 SaaS のテナントを分割するか認証 DB を統合するか IceWall 認証サーバー IceWall 認証サーバー IceWall 認証サーバー ID 探索機能を使えば複数の認証 DB のユーザーが SaaS をシングルテナントで利用可能 29

30 4. 複数認証レポジトリへの対応 4-3. ID 探索機能のユースケース ~ 安全で高性能なハイブリッド運用 ~ AWS などのクラウド上に Web アプリがある一方で オンプレミスに認証 DB が配置されている場合 通常の構成では 下記の課題有り 認証 DB のみをオンプレミスに配置すると クラウド - オンプレミス間で DB 固有のプロトコルで通信が発生し セキュリティに懸念 認証サーバーと認証 DB をオンプレミス配置すると認可の度にクラウド オンプレミスで通信が発生し トラフィック増やレスポンス悪化の懸念 クラウドからオンプレミスにアクセスするためのネットワーク経路の確保が必要 ID 探索機能で クラウドとオンプレミス双方に認証サーバーを配置すれば課題を解決 クラウドーオンプレミス間の通信は TLS で暗号化 クラウド - オンプレミス間で通信が発生するのはログイン / ログアウト時とパスワード変更のみで レスポンスに悪影響を与えない TCP コネクションはオンプレミス クラウド方向のみで ファイアウォールに新たな穴を開ける必要無し IceWall サーバー IceWall 認証サーバー IceWall 認証サーバー クラウド (AWS や Azure など ) Web アプリ 暗号化通信 TCP コネクションはオンプレミス クラウド方向のみ オンプレミス 認証 DB クラウド Web アプリ と オンプレミス認証 DB でセキュリティと性能を最適化 30

31 4. 複数認証レポジトリへの対応 4-4. 属性統合機能 IceWall 認証サーバー UID, Password など 人事情報など 認証 DB 属性 DB 属性 DB ( 接続可能な DB は 5 セットまで ) 業務システム情報など ID 情報だけでなくユーザーの属性情報も複数の DB に分散している場合もある 業務システムが 複数の属性 DB にまたがった属性情報を取得したい場合 DB の統合や 業務システムの改修が求められてしまう 属性統合機能を使えば複数の属性 DB の情報を IceWall 認証サーバーが収集より柔軟に属性情報の利用が可能 31

32 IceWall SSO の特長 1.IceWall SSO とは 2. リバースプロキシ方式 3. フェデレーション 4. 複数認証レポジトリへの対応 5. 様々なオプション機能と他製品との連携

33 5. 様々なオプション機能と他製品との連携 5-1. 統合 Windows 認証 ~ ユーザー利便性向上 ~ Active Directory IceWall SSO Web App A Web App A Web App A Active Directory ドメインアカウントで端末にログオンすれば IceWall へのログイン操作を不要にする機能 端末が Active Directory から受け取るケルベロスチケットによって IceWall へのログインを行っている IceWall へのログインには ID/PWD の入力不要 端末にドメインログオン 33

34 5. 様々なオプション機能と他製品との連携 5-2. IceWall SSO パスワードリセットオプション ユーザーが IceWall SSO へのログインパスワードを忘れた場合にユーザー自身もしくは管理者によってパスワードをリセット可能にするオプション製品 セルフパスワードリセット機能 : ユーザーが自身のパスワードをリセット 秘密の質問 回答設定機能 : ユーザーが秘密の質問と回答を登録 変更 ヘルプデスク機能 : 管理者がユーザーのパスワードをリセット 利便性の向上はもとより ヘルプデスクや生産性低下によるコストを大幅に削減 パスワードなんだっけ? IceWall SSO 基本構成 Web アプリ 管理者 管理者によるユーザーのパスワードのリセットも可能 ユーザー ユーザーが自身のパスワードを簡単にリセット! IceWall サーバー 認証サーバー 認証 DB IceWall SSO パスワードリセットオプション (PRO) ユーザー本人しか知らない秘密の質問と回答を使って安全にリセットが可能 34

35 5. 様々なオプション機能と他製品との連携 5-3. IceWall SSO Dynamic Menu Portal (DMP) IceWall SSO の管理下にあるシステムへの入り口となるポータル画面を動的に生成し ユーザーに各種アプリケーションへ容易にアクセスさせる ユーザー ID や属性 アクセス権限に応じ 個人もしくはグループ別のコンテンツを表示することも可能 各種 Web アプリケーションやクラウドサービスへの SSO が可能なポータルを動的に生成そのユーザーに使用権限がある各サービスやアプリケーションへのリンク / アイコンのみを表示することが可能 コンテンツローテーションと時間表示切替コンテンツの表示を時間に合わせてローテーションで切り替えることが可能 セルフサービスによる個人情報登録 IceWall Identity Manager (IceWall SSO 関連製品 ) と連携することで ユーザー自身による情報の修正 登録も可能 35

36 別途ワンタイムパスワード製品が必要 5. 様々なオプション機能と他製品との連携 5-4. ワンタイムパスワードによる IceWall SSO の認証強化 - OATH に準拠したフレキシブルかつリーズナブルなソリューション - 主な利点 OATH: initiative for Open AuTHentication の略米国 VeriSigh 社の呼びかけで設立された認証に関するコラボレーションを推進する組織のことワンタイムパスワードの標準規格を定めている 標準化された規格であり 複数ベンダーから任意にトークンを選択可能ベンダロックされない 多くのソフトウェアトークンは無料 ハードウェアトークンも比較的安価 物理的な接続は不要なのでスマホ タブレットを含めたあらゆるデバイスで利用可能 36

37 別途ワンタイムパスワード製品が必要 5. 様々なオプション機能と他製品との連携 5-5. モバイルデバイスでの Smart OTP による利便性とセキュリティの両立 ~ ワンタイムパスワードを設定した IceWall SSOに対して スマートフォンなどから簡易にログインさせる仕組み 画面は一例です 使用する機種などにより異なることがあります 1. Smart OTP を起動 ログインアカウントを選択 2. ログイン ボタンをタップ 3. Smart OTP が OTP を自動生成 ユーザー ID/ パスワードと共に自動送信パスワードのみは Smart OTP 上に保存せず 毎回手入力することも可能です 4. ログイン完了ログイン後は標準ブラウザを使用して対象の Web サイトへアクセスが可能です ワンタイムパスワードの 鍵登録 を行った特定のデバイスからのログインだけを許すことで認証を強化 ユーザーは入力の面倒なワンタイムパスワードを意識することなくスワイプ操作だけで IceWall にログイン可能利便性を高めている 37

38 別途サイバートラスト証明書が必要 5. 様々なオプション機能と他製品との連携 5-6. サイバートラストデバイス証明書による 利用端末の制限 サイバートラストデバイス ID との連携により 許可した端末だけ にアクセスを許可し それ以外の端末からはアクセスを許さないような制限を実現 サイバートラストデバイス ID は 管理者が指定した端末にのみ証明書を登録し 一度登録された証明書の複製や取り出しが出来ない仕組みを実装極めて厳密な端末制限が可能 IceWall SSO と組み合わせることで イントラネットの Web アプリはもちろんのこと 広範囲なクラウドサービスに対しても 厳密な端末制限を実現できる 38

39 5. 様々なオプション機能と他製品との連携 5-7. 他社ソリューションとの連携 更なるセキュリティ強化 利便性向上を図るため他社ソリューションとの連携実績も豊富です ( 株 ) エス シー シー ベンダー製品名種類連携方法 ( 株 ) ディー ディー エス EVE MA OneTime 認証連携ツール for IceWall ワンタイムパスワード認証 指紋認証 静脈認証 顔認証 IC カード認証 OTP 連携オプション 統合 Windows 認証オプション パスロジ ( 株 ) PassLogic マトリクス認証 ( ワンタイムパスワード ) IceWall Federation Agent EMC ジャパン ( 株 ) RSA Adaptive Authentication for Web リスクベース認証 リスクベース認証オプション 日本マイクロソフト ( 株 ) Microsoft Windows 統合 Windows 認証統合 Windows 認証オプション ( 株 ) シマンテック Symantec Managed PKI 電子証明書クライアント証明書オプション サイバートラスト ( 株 ) サイバートラストデバイス ID 電子証明書クライアント証明書オプション ソニー ( 株 ) Felica IC カード EVE MA による対応 ( 株 ) 日立ソリューションズ静紋指静脈認証ベンダーより接続モジュール提供 ( 株 ) ディー ディー エス ID Manager for IceWall 詳細は をご参照ください クライアントエージェント型 SSO( 代行入力 ) 設定で対応 39

40 導入事例

41 グローバル連結経営を支える統合認証基盤を刷新三菱商事 目的三菱商事グループの連結経営を支える統合認証基盤の実現 セキュリティと利便性を向上し クラウドサービス モビリティ環境の利活用など多様化するニーズに応え 内外のビジネス環境の変化に対応できる柔軟性と拡張性 信頼性を備えた基盤を提供する IT の効果 IceWall SSO を採用し 社内システムに加え クラウドサービスのシングルサインオンを実現 ワンタイムパスワード (OTP) の利用により オフィス外からセキュアにシステムにアクセスできる環境を整備 統合 Windows 認証により PC へのログオンによるシングルサインオンを実現 ID 管理業務の運用工数を削減 アプローチシングルサインオンを含むアクセス管理機能は 製品が備える標準機能を最大限に活用し 極力カスタマイズを加えず要件に応えること ID/ パスワードを管理する ID 管理機能は 自社並びにグループ企業の人事システムや ID 申請のワークフロー等との連携を視野に柔軟な対応ができることを目指した ビジネスの効果 シングルサインオンの範囲拡大による利便性の向上 オフィス外から社内システムへのアクセスが可能となり 出向者のシステム利活用を推進 ビジネスを支える基盤としての信頼性 安定性の向上 41

42 JFE スチールが 社内外 6 万ユーザーの統合認証基盤を刷新 JFE スチール株式会社 目的 JFE スチールおよびグループ企業 取引先企業を含む 6 万ユーザーが活用する認証基盤を刷新し 従来の認証システムに顕在化していた様々な問題の解決 ならびにパブリッククラウドサービスの利用を柔軟かつスムーズに行える仕組みを構築する アプローチ シングルサインオンを実現するパッケージ製品を検討 およそ 200 系統のアプリケーションに対する認証環境の確実な移行と パブリッククラウド上の新規アプリケーション ( サービス ) へのシームレスな認証とアクセスを求めた IT の効果 シングルサインオン製品 IceWall SSO を採用し 6 万ユーザーが活用する高信頼な認証サービスを実現 1 人月から数人月を要していたアプリケーションへのシングルサインオンの実装作業が 3 ~ 4 日で可能に パブリッククラウドサービスとの迅速な認証連携 ( フェデレーション ) を実現 ビジネスの効果 利便性を大きく改善しユーザー満足度と業務効率の向上に貢献 新規アプリケーションの開発スピード短縮とコスト削減 様々なクラウドサービスの活用の自由度が拡大 将来にわたって利用可能な投資対効果の高い認証基盤を実現 42

43 CTC が 社内システムの統合認証基盤を刷新し安定性 運用性の向上を実現 伊藤忠テクノソリューションズ株式会社 目的 シングルサインオンの安定性 運用性を確保するとともに 将来のパブリッククラウドサービス モビリティソリューションの利用も視野に入れて 新たな統合認証基盤を構築 2005 年に構築したシングルサインオン環境を順次移行する IT の効果 IceWall SSO を採用し高性能 高信頼な認証基盤を実現 リバースプロキシ型の特長である容易な新規アプリケーション接続を実現 アプリケーション単位のエージェント管理から脱却し管理負荷を低減 IceWall SSO の基盤にサーバー仮想化を採用しハードウェアを統合 シンプル化 アプローチ リバースプロキシ型シングルサインオンソリューションを採用し 13,000 ユーザーが活用する統合認証基盤に高いパフォーマンスと信頼性を確保 同時に 新規のアプリケーション接続を含む運用管理性の向上を狙う ビジネスの効果 エンドユーザーに快適かつ安定的なシングルサインオンサービスを提供 シングルサインオンシステムの運用管理の属人化を解消 シンプルな基盤構築で導入コスト 運用コストを削減 自社の経験に基づく認証基盤構築 移行のノウハウを顧客向けソリューションとして展開可能に パブリッククラウドサービス モビリティソリューションなど最新テクノロジーとの連携が可能に 43

44 全社の統合的なアカウント管理を視野にシングルサインオンを導入 ソネットエンタテインメント株式会社 目的 インターネット接続サービスをはじめ法人向けサービスなど幅広く展開しているソネットエンタテインメント (Sonet) では IceWall SSO を導入 社内システムログインの ID/ パスワードを集約し ユーザ利便性の確保と業務効率の向上を実現 このソリューションを手始めとして今後は統合的なアカウント管理体制を確立し ガバナンス強化や経営の効率化を目指している アプローチ シングルサインオンソリューション IceWall SSO を導入 評価版により社内で各種検証を実施し 社内システムへの適合性などを確認 迅速な意思決定 日本ヒューレット パッカードサイドとの緊密な連携により 短期間での構築を実現 IT の効果 1 回の操作で多数の社内システムの利用を可能にし ログイン時の手間を軽減 ログイン時のトラブルが減少し IT システム管理担当者の負荷が軽減 ビジネスの効果 全社の ID 管理など 統合的なアカウント管理を実現する基盤を確立 社内のガバナンス強化 監査など経営管理の効率化にも期待 44

45 学内とクラウドをシームレスに結ぶ統合認証基盤を整備明治大学 目的教育機関としての競争力強化につながる統合認証基盤の整備 既存の認証システムを統合し 学内外の情報サービスをシームレスに利用できる統合認証基盤を用意することで 教育 研究における情報活用を促進するとともに 管理コストの低減とセキュリティ強化を実現する IT の効果 IceWall SSO を採用しすべての学内 Web サービスへのシングルサインオンを実現できる基盤を整備 Office365 ベースのメールサービスをはじめ学外のクラウドサービスとの認証連携が可能に 学術認証フェデレーション (Shibboleth) により学術 e- リソースのシームレスな利用が可能に 統合認証システムをデータセンターに設置し 24 時間 365 日の安定的なサービス提供を実現 アプローチ実績あるシングルサインオン (SSO) パッケージを採用し パブリッククラウドサービスをはじめとする学外サービスも包含した SSO 基盤を整備する 同時に ID 管理の一元化と運用の自動化を実現する ビジネスの効果 今後 5 年間で学内外のすべてのサービスを統合認証基盤に移行しユーザーの利便性を向上 IceWall SSO アカデミックパック の適用により導入コストを大幅に削減 複雑な連携システムを解消しハードウェア保守やライセンス等のコストを削減 ID 管理の自動化により入学 卒業に伴う利用者登録 / 変更 / 削除作業を大幅に軽減 45

46 東証が プライベートクラウド上に情報提供サービスと統合認証基盤を構築 株式会社東京証券取引所 目的 上場会社向け情報サービスのシングルサインオン環境の構築 ユーザーの利便性を向上させながら 証券取引所としての社会的使命に求められるサービスの継続性を確保する アプローチ 標準機能に優れたパッケージ製品の導入により カスタマイズによるシステムの複雑化を回避 シンプルな認証システムを実現し 認証サービスの信頼性向上 システムの可用性向上を図る IT の効果 信頼性に優れたシングルサインオンソリューション IceWall SSO を採用 プライベートクラウド上で高信頼な統合認証基盤を実現 仮想サーバー / 物理サーバーの冗長化により 高可用性とサービスの継続性を実現 既存の認証システムからのスピーディで確実な移行をサポート ビジネスの効果 複数のサービスへのシングルサインオンによりユーザーの利便性を向上 認証基盤の統合により認証サービスの信頼性とシステムの管理性を向上 証券界の共通インフラとしての認証サービスを提供可能に IceWall SSO Ver10.0 の長期サポートにより長期間の利用が可能に 46

47 NTT コミュニケーションズの統合認証サービス セキュアコネクト が クラウド オンプレミス間の認証連携を強化 NTT コミュニケーションズ株式会社 目的 全社戦略 Global Cloud Vision に基づく 通信事業者としての強みを活かしたクラウドサービスのポートフォリオ拡充 統合認証サービス セキュアコネクト のクラウドへの適用力を高めて 顧客 ICT 環境のクラウド / データセンターへの移行を支援する IT の効果 Google Apps や Salesforce など様々なパブリッククラウドとの認証連携の対象を拡大 オンプレミスシステムと多様なクラウドサービスのシームレスな利用を推進 2 万ユーザー規模の大企業から中堅 中小企業まで幅広くメリットを提供 IceWall SSO が ユーザーの利便性を高めながらセキュアなアクセス ( 認証 / 認可 / アクセス制御 ) を実現するシングルサインオン機能を提供 アプローチ オンプレミスシステム 自社ホスティングサービス パブリッククラウドサービスなどを一度の認証で使えるシングルサインオン化を推進 フェデレーション ( 認証連携 ) により 様々な環境をシームレスに利用可能にする ビジネスの効果 セキュアコネクトの クラウド型 Web 認証サービス としての更なる進化 Global Cloud Vision に基づくクラウドサービスポートフォリオを強化 自社サービス Biz ホスティング Enterprise Cloud のユーザーに付加価値 タブレット PC などのスマートデバイス対応を計画 47

48 モバイルとインターネットの融合に向けたサービス基盤 My DoCoMo を構築 株式会社エヌ ティ ティ ドコモ 各種サービスへのシングルサインオンを実現するのはIceWall SSO 目的 My DoCoMo は NTT ドコモがユーザ向けに運営しているカスタマサイト 料金確認や各種手続きをはじめ 多彩なサービスを PC 上で 24 時間いつでも利用できる 従来各サービスの Web サイトへ個別のログインが必要だったが ワンストップ ポータルとして My DoCoMo を構築 携帯とインターネットの融合に向けて 同社ではこの My DoCoMo の基盤を最大活用し 新しいサービスプロバイダとして進化していこうとしている コンバージェンス時代の新しいアカウント アグリゲーション セキュアなアイデンティティ サービス提供基盤 使いたい場所で使いたいデバイスを通じて利用できるサービス (FMC) 新しい価値を生み出すための 信頼できる社会基盤へ お客様のチャレンジ 事業部毎に個別構築された Web サイトの並立 NTT ドコモユーザへのワンストップ サービス提供 利便性向上 5000 万人から増え続けるユーザを支えられるスケーラブルでミッションクリティカルな認証基盤 モバイルとインターネットの融合を見据えた インターネット上 NTT ドコモ チャネルの確立 日本ヒューレット パッカードのソリューション 豊富な実績を持つシングルサインオンソリューション IceWall SSO 既存 Web サイトへの影響を最小限に抑えるシングルサインオン手法 ( リバースプロキシ ) 高いセキュリティとスケーラビリティ ビジネスベネフィット My DoCoMo によるワンストップ サービスの実現 お客様利便性向上 コンバージェンス時代の新しい戦略的サービス基盤の確立 48

49 全労済が 契約者向けインターネットサービスの認証基盤にシングルサインオンソリューションを導入全国労働者共済生活協同組合連合会 SCSK 株式会社目的 全労済の組合員 ( 契約者 ) 向けのインターネットサービスとして 契約内容の照会や加入手続き 住所変更などが可能な マイページ を開設 これに伴い セキュリティを担保しつつ ユーザーの利便性も高める認証基盤 ( シングルサインオンシステム ) を実現する IT の効果 シングルサインオンソリューション IceWall SSO を採用し セキュリティとユーザーの利便性を両立 IceWall SSO の高いスケーラビリティにより大規模ユーザーに対応 無制限ユーザーライセンスの採用によりコストを抑制 日本ヒューレット パッカードとの強固な連携によりスムーズな問題解決と短期間での導入を実現 アプローチ ビジネスの効果 セキュリティを確保するために独自の利用者登録プロセスを採用 仮登録ユーザーから本登録ユーザーへの登録スキームを認証基盤上に実装した マイページ の登録者は 4 か月余りで 1 万ユーザーを突破 Web を通した各種手続きのセルフサービス化による組合員 ( 契約者 ) の利便性と業務効率の向上 組合員との接点強化により保障の見直しの促進や加入推進に寄与 複数の認証基盤の統合 イントラネットへの適用も視野に 49

50 働き方リノベーション の IT パートナーに HPE Pointnext を指名し全社コミュニケーション基盤を構築 株式会社良品計画 目的 全社で推進する 働き方リノベーション の一環としての全社コミュニケーション環境の改善 これまでの働き方を見直し 従業員一人ひとりの生産性を高めるとともに情報活用の高度化を図る アプローチ 業務の中に潜むムダや非効率を洗い出し 全体最適化の視点からコミュニケーション基盤を刷新 スピード感のある連絡や情報共有 より創造的なコラボレーションが可能な環境を実現する IT の効果 Office 365 をベースに 働き方リノベーション を支える全社共通コミュニケーション基盤を実現 IceWall により使い慣れた ID を使用して Office 365 にログインできる認証連携 ( フェデレーション ) を実装 在席確認 チャット Skype 会議などの新しいコミュニケーション環境を利用可能に HPE Pointnext がユーザー教育 フォローアップ研修などを提供しスムーズな利用を支援 ビジネスの効果 HPE Pointnext が あるべき働き方 の策定を支援し 合意形成とスムーズなプロジェクト運営に貢献 業務の目的を明確化するとともに 現状の課題と照らして IT で解決可能な要件 への落とし込みを支援 認証連携やサポートデスクなど ユーザーが Office 365 を快適に利用可能な環境を整備 Office 365 導入後の効果測定を実施し新環境の利活用を効果的に促進 50

51 店舗 本部で利用するモバイルデバイス 2,650 台の管理を統合しセキュリティ強化と利便性向上を両立 株式会社良品計画 目的 全社で推進する 働き方リノベーション の一環としてのインフラ整備 全社で利用するモバイルデバイス 2,650 台のセキュリティ強化とユーザーの利便性向上を図る アプローチ 会社支給の店舗端末と個人所有端末の管理を一本化し セキュリティ強化とユーザーの利便性向上を同時に実現する さらに 運用負荷の低減と TCO の削減を追求する IT の効果 VMware Workspace ONE により 会社支給 個人所有端末 2,650 台の統合的な管理と情報漏洩対策を実現 Workspace ONE と IceWall SSO 認証基盤のアドオン開発により デバイスごと 接続場所ごと アプリケーションごとの緻密なアクセス制御を実現 モバイルデバイスから多様なアプリケーションへのシングルサインオンが可能に 既存ツールとの差異の洗い出しや機能の実効性を PoC により確認しスムーズな導入を実現 ビジネスの効果 全社で推進する 働き方リノベーション の一翼を担うインフラ整備を完遂 各種端末から Office 365 と業務アプリケーションをセキュアに利用可能になりユーザー体験を大きく改善 MDM ツールとセキュアブラウザーによる個別管理から Workspace ONE による統合管理へ移行し 運用負荷低減とコスト削減を実現 複雑な実現方式の検討が不可欠なアクセス制御の設計から実装までを HPE Pointnext がトータルに支援 Windows 10 / Mac OS X 環境の統合管理およびグローバル展開を見据えた計画に着手 51

52 その他 ~ 評価キット トレーニング 問い合わせ ~

53 IceWall ソフトウェア検証環境評価キットのご紹介 評価キット概要 標準的な構成の IceWall ソフトウェアが導入された VMware 仮想マシンを 検証用としてディスクイメージファイルでお貸し出しいたします 仮想マシンをお客様の検証環境で稼働いただくことにより 実際のアプリケーションと IceWall ソフトウェアを組み合わせた動作や操作方法 運用イメージの確認を リアルな環境で実施いただけます IceWall ソフトウェア検証環境 ( 仮想マシン ) お貸し出し お客様のメリット 仮想マシンを稼働させるだけで検証開始 お客様環境で実際のアプリケーションを使用した動作確認が可能 運用イメージや 動作イメージを事前に把握し 本番導入後のスムースな展開が可能 評価キット内容 以下のいずれかをご選択ください VMware 版メディア : 仮想マシンイメージ (VMware Playerで実行可 *1) 通常版メディア : インストールパッケージ ( インストール作業が必要 ) 製品マニュアルはどちらにも含まれています *1 本評価版は VMware Workstation Player 以降 (Windows 版 ) 用の仮想マシンイメージとなっておりますので ESXServer 等でご利用いただく際は VMware vcenter Converter 等でコンバートいただく必要があります お客様アプリ 前提条件 お客様検証環境 原則として メディアのお貸し出しは1か月間以内 検証期間は3か月間以内とさせていただきます 検証環境はお客様にてご用意いただきます お客様の検証環境で稼働させるために必要な設定等については お客様にて実施いただくことを想定しております 事前にご利用目的を確認させていただきます 場合によってはご希望に添えない事がございますのであらかじめご了承ください お貸し出しには所定の申請書への記入 捺印をお願いいたします 53

54 IceWall ソフトウェア検証環境評価キットのご案内 含まれるソフトウェア IceWall SSO 11.0 IceWall SSO 11.0 Dynamic Menu Portal IceWall SSO 11.0 Agent Option IceWall Identity Manager 5.0 IceWall MCRP 4.0 IceWall Remote Configuration Manager 5.0 IceWall Federation 4.0 IceWall Federation Agent 3.0 IceWall SSO 10.0 Password Reset Option OpenLDAP 2.4(OS にバンドル ) ポータル画面イメージ IceWall SSO Dynamic Menu Portal ( リバースプロキシ方式 ) IceWall SSO パスワードリセットオプション ( リバースプロキシ方式 ) サンプルバックエンドサーバ ( リバースプロキシ方式 ) サンプル CGI ( 認証連携方式 ) ご利用を希望の場合はお問い合わせください サンプルサイト ( エージェント方式 ) IceWall SSO のマニュアル ( 評価用 ) はダウンロード版もご用意しています IceWall SSO パスワードリセットオプション ( リバースプロキシ方式 ) IceWall Identity Manager ( リバースプロキシ方式 ) 54

55 IceWall SSO ハンズオントレーニング IceWall SSO 10.0 を実機での演習を交えて学習できるハンズオントレーニングを開催しております 基本的な内容を半日にまとめた 無料ハンズオントレーニング と より詳細な内容を 1 日で習得する 管理基本コース の 2 コースに分かれています IceWall SSO 無料ハンズオントレーニング ( 半日 ) IceWall SSO 管理基本コース (1 日 ) コースコード :H0AF9S 価格 : 無料日数 : 半日 (13:30~17:00) コースの目的 IceWall SSO 10.0 の機能概要を理解する IceWall SSO 10.0 の基本的な設定方法を理解する 対象者 IceWall SSO の導入を検討 予定されているお客様 IceWall SSO をすでに使用されていて 基本的な設定方法を習得したいお客様 前提知識基礎的な Linux の知識とコマンド操作経験 および Web に関する基礎知識が必要です コース内容 製品の概要 認証サーバー IceWall サーバーの基本設定 認証 DB バックエンド Web サーバーの登録 ユーザーへのアクセス権設定 コースコード :H0AC7S 価格 :65,000 円 ( 税抜き ) 日数 : 1 日 (10:00~18:00) コースの目的 IceWall SSO 10.0 の より詳細な機能の設定方法について理解する IceWall SSO 10.0 の主なオプションについて機能と使用方法を理解する 実際のシステムを構築 管理するために役立つ知識を習得する 対象者 IceWall SSO の導入を予定されていて 設定方法の詳細を習得したいお客様 IceWall SSO をすでに導入されていて 管理 運用の方法を習得したいお客様 前提知識基礎的な Linux の知識とコマンド操作経験 および Web に関する基礎知識が必要です IceWall SSO 無料ハンズオントレーニング の受講が必要です コース内容 認証代行 Agent システム構築のための基礎知識 FailOver コーススケジュールとお申し込みについて : 55

56 お問い合わせおよび周辺サービス お電話でのお問い合わせ ( 日本ヒューレット パッカードカスタマー インフォメーションセンター ) / ( 携帯電話 PHS から ) 受付時間 : 月曜日 ~ 金曜日 9:00-19:00 ( 土 日 祝祭日 年末年始および5 月 1 日を除く ) Web フォームからのお問い合わせ 最新 / 詳細情報 IceWall SSO 公式サイト 技術レポート ( 新規レポート随時公開中!!) カタログ オンラインデモ 評価用マニュアルダウンロード F 各種サービス 導入サービス コンサルティングサービス エンジニア様向け技術トレーニング 海外拠点への導入 コンサルティングサービス 56

57 SSO (Single Sign-On) 導入のベネフィットを改めて 日本ヒューレット パッカード ( 株 ) 編著 成長する企業はなぜ SSO を導入するのか 本章のさらに詳細な内容はこちらの書籍で

58 認証に求められるセキュリティの変化 これまで 社内にある会社支給 PC のみ IT リソースにアクセス可能 これから あらゆる場所 あらゆる機器からあらゆる IT リソースへ 実は 扉 壁 人の目 などの物理セキュリティに依存していた ますます情報技術に基づく強固な認証セキュリティが要求される 情報システムの 認証の強化 が益々強く求められている 58

59 安全なパスワード認証の条件 パスワード３大禁則 1) メモ書き メモを記した紙や 記録したPCの紛失など で流出するリスク 2) 簡単な推測されやすい文字列 自動入力ツールなどによる繰り返しの試 行で見破られるリスク 3) 同じ文字列の使いまわし 次のページ参照 59

60 同じパスワードの使い回し が危険な理由 企業業務システム A 企業業務システム B 同じパスワード 同じパスワード インターネットサイト A 同じパスワード 同じパスワード インターネットサイ B ( 実は悪意あるサイト ) Get! 同じパスワードを使ったサイトのうちの 1 つが悪意のあるサイトの場合 そのパスワードは盗まれてしまう 悪意のあるサイト以外にもフィッシングやソーシャルエンジニアリングなどパスワードを盗む手法は数多くある 1 つのパスワードの盗難で 全てのシステムへの侵入を許してしまう ある 1 人のユーザー 同じパスワードの使い回しを抑止するためにはユーザーに覚えさせるパスワードは可能な限り少なくするべき パスワード以外の多要素認証が求められることも多くなっている 60

61 業務システムの認証は サイロ化 に陥りやすく 業務システム毎の多要素認証化は非効率になりがち 業務アプリケーションの認証は 個々の業務アプリケーションに依存しており それぞれ連携の無い孤立した状態 いわゆる サイロ化 に陥りやすい 多要素認証などで 業務システムの認証を強化したくても サイロ化した状況では個々に対応するしかなく 認証強化への取り組みは非効率になりがち 61

62 認証の仕組みがバラバラでは 多要素認証もバラバラ 全て業務の認証を強化するためにはシステムの数の個別強化が必要 個別の多要素認証化は効率が悪い 全てを同じレベルに強化するのは困難でどこかに弱い部分が残ってしまう 62

63 多要素認証による認証強化点を一元化するための Single Sign-On SSO で認証を強化するポイントを一元化 多要素認証による認証強化を効率的かつ効果的に導入できる 業務システム開発者は 業務ロジックの開発に特化できる 63

64 発展応用 ~Web アプリの認証 認可機能を SSO へ 丸投げ することにより Web アプリそのものの開発 維持コストを削減 ~ 認証を SSO に 丸投げ し 新規アプリ開発時には認証機能を作らない 認証 アプリケーション ビジネスロジック アプリケーション ビジネスロジック ID/PWD ユーザー ID/PWD ID/PWD 認証 認証 ビジネスロジック ビジネスロジック ユーザー SSO 認証 ビジネスロジック ビジネスロジック ID/PWD アプリ毎に認証 認可機能の開発が発生 認証 ビジネスロジック 認証 認可機能の開発は不要! 既存アプリケーションとの連携も容易 ビジネスロジック 64

65 クラウドサービス導入時の認証の課題 ユーザーが覚えるユーザー ID とパスワードの増加 認証の強度がクラウド側に依存し 多要素認証などの導入に制限がある 利用場所や端末を制限する機能もクラウド側に依存し 柔軟な制御が行えない 65

66 フェデレーション は 自社の認証でクラウドを利用するための仕組み 自国での本人確認 ( 自社での認証 ) で 外国に入国できる ( クラウドを利用出来る ) 点で パスポートに近い仕組み パスポートの仕組みフェデレーションの仕組み パスポートは 自国での厳格な本人確認 ( 戸籍や住民票 ) が求められる一方で 外国への入国はパスポートだけで入国が可能 同様にフェデレーションでも 自社 IdP(Identity Provider) での厳格な認証を通れば IdPから発行されたアサーションの提示のみでクラウドの利用が可能 66

67 フェデレーション導入によるクラウド導入時課題の解決 ユーザーが覚えるユーザー ID とパスワードは 1 つのみで パスワード漏洩リスクを抑制 SSO システム (IdP) への認証を強化することでクラウドサービスの認証も強化でき 多要素認証などの導入も容易 SSO システム (IdP) にアクセス可能な範囲がクラウドサービスが利用可能な範囲となり 場所や端末による制限が柔軟にできる 67

68 SSO 導入による役割ごとのベネフィット ユーザー 業務システム担当者 ( 管理者 & 開発者 ) たくさんの ID とパスワードの管理負荷からの解放 日常業務の利便性向上 ユーザー情報のメンテナンスやパスワード問合せなどのサポート付加の削減 認証に伴う脆弱性対策から解放され 業務ロジックの改善に注力できる CISO( 情報セキュリティ責任者 ) 経営者 各業務システムに脆弱性が残る可能性を抑止できる 多要素認証など認証強化策の効率的かつ効果的な導入ができる サイロ化した業務システムへの非効率な IT 投資を抑制できる 経営環境の激しい変化に対し 機敏で柔軟な対応ができる 68

69 Thank you