PowerPoint Presentation

Transcription

1 パスワードにさようなら! ユーザ認証の潮流と便利な未来 ガートナーセキュリティ & リスク マネジメントサミット 2019 あなたとあなたの顧客が望むようなセキュリティ 2019 年 8 月 5 日エントラストジャパン株式会社シニアテクニカルセールスコンサルタント CISSP/CISA/CISM 佐藤公理

2 目次 IT を取り巻く環境の変化 ユーザ認証に関する市場調査紹介 パスワードで大丈夫? 会社紹介 パスワードにさようなら リスクベース認証 FIDO 生体認証 プッシュ認証 証明書認証 PKI の新しい使い方 Derived PIV Credential Copyright Entrust Datacard 2 2

3 IT を取り巻く環境の変化 3

4 IT を取り巻く環境の変化 : デジタルビジネスへのシフトの加速 IT およびビジネスニーズの進化 ユーザ期待値の変化 65% の CEO 自社のビジネスをより加速させ従来のコストを抑え自社利益の向上を図る 技術革新のサイクルが加速している 簡素化かつ保全性を保つ 出典 : KPMG s 2016 Global CEO Outlook, Forrester s Report 66% の従業員 少なくとも 2 個以上のタブレット & モバイルデバイスを使用 IT のコンシューマライゼーション いつでも どこでも 自分流 4 Entrust Datacard Corporation. All rights reserved.

5 IT を取り巻く環境の変化 : パスワード スマホ デジタル 80% 以上 81% の攻撃 が ID/ パス ワードの盗難 83% がパス ワードを使い まわし 80% 以上がスマートフォンを所有 80% 以上がオンラインバンキング利用 クラウドサービス ウェブアプリへの攻撃の 81% が 盗まれた ID/ パスワードを使用 Verizon Data Breach Investigations Report 2017 出展平成 26 年版総務省情報通信白書 ICT がもたらす世界規模でのパラダイムシフト パスワードの利用実態調査 2017: パスワードを使いまわしている利用者が 8 割以上 トレンドマイクロ _jp/about/press- release/2017/pr html 会社 組織が支給するデジタル機器とあわせて複数のデジタル端末を所有 総務省 : 平成 28 年情報通信メディアの利用時間と情報行動に関する調査 博報堂 メディア定点調査 chives/ html 当座預金顧客の 80% 以上が少なくとも月に 2~3 回はオンラインまたはモバイルバンキングにログインしている - デジタル世界における顧客エンゲージメント戦略 -David Albertazzi と Tiffani Montez Aite Group 2018 年 1 月 Entrust Datacard Corporation. All rights reserved. *

6 ユーザ認証セキュリティの重要性の高まり ビジネス環境のダイナミックな変化に伴いユーザの所在および利用が広範囲に及び ユーザ認証セキュリティの重要度が高まっている ワークスタイル組織業務アプリケーション デバイス アイデンティティの所在 自社オフィス内ワーク自社施設内ワーク 国内 オンプレミスレガシーアプリケーション デスクトップ PC ノートブック PC 組織管理下デバイス組織ネットワーク 在宅ワーク プライベートクラウドアプリケーション タブレット端末スマートフォン 組織管理外デバイス公共ネットワーク モバイルワーク 海外 パブリッククラウドアプリケーション BYOD パブリッククラウド ワークスタイルの変革グローバリゼーションクラウド化 モバイル化境界の変化 ID 数の増加社内外への ID の展開 ビジネスを取り巻く環境変化に合わせたユーザ認証セキュリティが求められている 6 Entrust Datacard Corporation. All rights reserved.

7 ユーザ認証が必要となる領域の拡大 セキュリティレベル クラウド PC ログイン 社内 オンプレミス リモートアクセス 操作性 利便性 社外 IT 利用環境の拡大に伴い ユーザ認証が必要とされる場面 ユースケースも増加している 7 Entrust Datacard Corporation. All rights reserved.

8 ユーザ認証に関する市場調査紹介 (Forrester 市場機会レポート ) 8

9 Forrester 市場機会レポート ( 概要 ) 北米地域の従業員 1000 名以上の会社で IT 及び IT セキュリティの責任者 100 名を対象にアンケート Copyright Entrust Datacard 9 9

10 Forrester 市場機会レポート ( 現状 1) 40% が使っている認証手法がシステム ユーザを保護するのには不十分だと思っている 依然として多くが パスワード や 秘密の質問 の安全ではない認証方式に過度に依存している パスワードへの過度の依存による不十分な認証システム Copyright Entrust Datacard 10 10

11 Forrester 市場機会レポート ( 現状 2) 53% が 4 種類以上の認証方式を利用している 効率 ユーザ負荷軽減よりもセキュリティが大事 使いやすいとも 利便性が高いとも思っていない ユーザの不満を生む 使いやすくも 利便性が高くもない 多くの認証手法 Copyright Entrust Datacard 11 11

12 Forrester 市場機会レポート ( 将来予測 ) 44% が 状況はさらに複雑化 29% が 複雑な状況は変わらない 複雑化の原因は 規制 と リスク と考えている 今後も大変だと思っている Copyright Entrust Datacard 12 12

13 Forrester 市場機会レポート ( 将来方針 ) パスワードは依然として重要 プッシュ通知 生体認証 Bluetooth デバイス認証 信頼度評価 等の ユーザが利用しやすい 新しいアプローチを重要視 ユーザ利便性を向上し 規制 リスク へも対処可能な認証システムを導入していく Copyright Entrust Datacard 13 13

14 パスワードで大丈夫? 14

15 パスワードの利用実態調査 2017 使い回しされ続けるパスワード 引用元 :- パスワードの利用実態調査 パスワードを使いまわしている利用者が 8 割以上 トレンドマイクロ パスワードは使い回さないことが前提であり 使い回さないことではじめて効果的になるが 実際は パスワードを使い回す人が 8 割以上 管理するパスワードの増加に伴い 企業 組織のコントロール範囲外の使いまわしによるリスクが増大 ( なりすまし 不正ログイン ) ユーザ認証はパスワードだけで果たして安心なのか? 15 Entrust Datacard Corporation. All rights reserved.

16 パスワードの使いまわし パスワード利用に起因する脅威 フィッシング パスワードリスト攻撃 ダークウェブには様々な企業 組織から漏洩したアカウント情報が存在 フィッシングメール ダークウェブから漏洩したアカウント情報を入手 フィッシングサイトへ ID パスワード等の個人情報入力 ターゲットサイトを装ったフィッシングサイト 入手した認証情報を用いて不正ログイン 攻撃用アカウント情報リストを作成 入手した認証情報を用いて不正ログイン ターゲットサイト ターゲットサイト 16 Entrust Datacard Corporation. All rights reserved.

17 Global Security Intelligence Report マイクロソフト社によると 同社クラウドサービス * のアカウントへの攻撃は 前年比 3 倍 * コンシューマ エンタープライズの合計 引用元 :-Global Security Intelligence Report Microsoft E38A /Security_Intelligence_Report_Volume_22.pdf その原因は 脆弱かつ容易に推測されるパスワード 弱いパスワード管理 急増するクラウドサービスのアカウントへの攻撃の主因はやはりパスワード 17 Entrust Datacard Corporation. All rights reserved.

18 ユーザアカウントを狙った 攻撃の傾向 と 有効な対策 攻撃の傾向 標的 攻撃が容易で利用が拡大しているクラウドサービスのアカウント 攻撃元 不正 怪しい IP アドレス ( ブロックが可能 ) 方法 個人情報が漏洩したサイトの ID パスワード情報を活用 有効な対策 リスクベース認証 既知のアドレス 信頼できるデバイス と比較するリスクベース認証で不正アクセス 不正利用を軽減 強力なパスワード パスワードの使いまわしの排除 ( サイト毎に設定する ) 多要素認証 リスクベース認証 不正な IP アドレスからのログイン試行のブロック数が 44% 増加 本ページは Global Security Intelligence Report Microsoft( 以下 URL) を参考に Entrust Datacard が作成 攻撃は増えているが守れているケースもある 18 Entrust Datacard Corporation. All rights reserved.

19 金融庁金融検査マニュアル ( 預金等受入金融機関に係る検査マニュアル ) ( 抜粋 ) リスク管理等編 オペレーショナル リスク管理態勢の確認検査用チェックリスト Ⅲ. 個別の問題点 5. システムリスク管理態勢 ( 別紙 2) Ⅲ. 個別の問題点 1. 情報セキュリティ管理 認証方式や不正防止策として 以下のような対策事例がある 可変式パスワードや電子証明書などの 固定式のID パスワードのみに頼らない認証方式 取引に利用しているパソコンのブラウザとは別の携帯電話等の機器を用いるなど 複数経路による取引認証 ハードウェアトークン等でトランザクション署名を行うトランザクション認証 顧客自らによる早期の被害認識を可能とするため 顧客が取引内容を適時に確認できる手段を講じているか ⑸ インターネットを利用した取引の管理 (ⅱ) セキュリティ対策については 犯罪手口に対する個々のセキュリティ対策の強度を検証した上で 顧客属性を勘案し 複数の対策を組み合わせるなど 犯罪手口の高度化 巧妙化 ( 例えば 中間者攻撃 や マン イン ザ ブラウザ攻撃 など ) に対応した対策を講じているか 認証方式や不正防止策として 以下のような対策事例がある 可変式パスワードや電子証明書などの 固定式の ID パスワードのみに頼らない認証方式 取引に利用しているパソコンのブラウザとは別の携帯電話等の機器を用いるなど 複数経路による取引認証 ハードウェアトークン等でトランザクション署名を行うトランザクション認証 取引時においてウィルス等の検知 駆除が行えるセキュリティ対策ソフトの利用者への提供 利用者のパソコンのウィルス感染状況を金融機関側で検知し 警告を発するソフトの導入 電子証明書を IC カード等 取引に利用しているパソコンとは別の媒体 機器へ格納する方式の採用 不正なログイン 異常な取引等を検知し 速やかに利用者に連絡する体制の整備等 (ⅸ) 顧客に求められるセキュリティ対策事例を顧客に対して十分に周知しているか 顧客自らによる早期の被害認識を可能とするため 顧客が取引内容を適時に確認できる手段を講じているか また 新たな犯罪の手口が発生するなど必要な場合 速やかにかつ顧客が容易に理解できる形で周知しているか 不正取引を防止するための対策が利用者に普及しているかを定期的にモニタリングし 普及させるための追加的な施策を講じているか 19 Entrust Datacard Corporation. All rights reserved.

20 ヤフーパスワードでのログインを無効にする機能を提供開始 2018/5 月 引用元 : パスワード無効設定 - Yahoo! JAPAN ID ガイド 引用元 : セキュリティ向上の新たな取り組みとして パスワードでのログインを無効にする機能を提供開始 - プレスルーム - ヤフー株式会社 5/18a/ Copyright Entrust Datacard 20 20

21 ドコモスマホを利用した認証 引用元 :d アカウントのパスワードを入力せずにログインするには? My docomo NTT ドコモ Copyright Entrust Datacard 21 21

22 会社紹介 22

23 エントラストジャパンのご紹介 設立 資本金 本社 1998 年 12 月 1 億円 東京都品川区大崎 日精ビル 9F 事業内容 認証 デジタル署名 暗号化 権限管理 の機能により 個人情報や情報資産など組織内の重要な情報を強固に保護する米国エントラストデータカード社のセキュリティソフトウェアの販売 保守 コンサルティング ソリューション 20 年以上にわたり セキュリティ / 認証分野の幅広いソリューションで政府機関や金融大手を含む顧客と実践的な課題に取り組んできました 当社のソリューションは オンプレミス およびクラウド環境でご利用いただけます エンタープライズ向けクラウド認証ソリューション ユーザ認証を強化する統合認証プラットフォーム エンタープライズ向け Web アクセス制御 (SSO) ソリューション IoT M2M におけるセキュリティのベストソリューション PKI によるセキュリティインフラの核となる認証機関プラットフォーム SSL/TLS サーバ証明書証明書管理サービスにより多種多様な証明書を一元管理 23 Entrust Datacard Corporation. All rights reserved.

24 Entrust Datacard のご紹介 Entrust Datacard Corporation 1969 年設立 カード発行ソリューションにおけるグローバルリーディングカンパニー 世界の金融カードの90% 以上においてDatacard Groupソリューションを利用 世界 120カ国にてビジネス展開 1,000 万枚 / 日のカード発行 500 万枚 / 日のICカード発行 2013 年 12 月にEntrust Inc. を買収 日本データカード株式会社 1981 年 4 月 1 日設立 米国 Entrust Datacard Corporation 81% トッパンフォームズ19% 出資の合弁会社 36 年に渡り 日本のカード発行業界をけん引 セキュアなカード発行を核としたカード発行ソリューションを展開 金融 印刷業界におけるカード発行ソリューションのリーディングカンパニー 24 Entrust Datacard Corporation. All rights reserved.

25 ID カードのソリューションについて 安心のサポート 導入サポート 修理 メンテナンス 純正サプライ品 プリント セキュリティ向上 ( ホログラム ) ID カード発行ソフトウェア デザイン データ管理 ID カードプリンター ID フォトキャプチャー エンコード ( 磁気 IC) プリント 保護 ( ラミネートなど ) フォトキャプチャー 25 Entrust Datacard Corporation. All rights reserved.

26 製品ラインナップ ビューロ金融 流通ヘルスケアチャネル MX6100 CE870F DC315GX MERSYS-AR/MR CE870H CR805 SD260 主な取扱製品 集中発行機 MX Series 集中発行機 MX Series MXD エンボッサー CE870 DC315GX (Promech 製 ) エンボッサー ( 診察券発行 ) CE870 DC280 カードプリンター CD800 MERSYS( 島津 SD 製 ) 診療費支払システム 再来受付システム 患者呼出システム 表示システム カードプリンター CR805 CD800 SD160/SD260 オプション製品 サプライ ソフトウェア 導入サービス 保守 主要取引先 大手印刷会社カード会社 金融機関 地方銀行 信託銀行 カード会社デパート流通系 / その他 医療機関 ( 病院 / クリニック ) 大手 SIer 富士通系 NEC 系 東芝系など医療系 SIer 病院システムとの連携 ( 電子カルテなど ) 販売パートナー 島津 SD トッパン フォームズなど 販売パートナー トッパン フォームズ NEC グループ 小林クリエイト サトー ダイワボウ 大塚商会 桜井 内田洋行 日本事務機 富士フイルムイメージングシステムズ 富士通グループ リコー 都築電機 NTT グループなど 26 主なカード発行目的 クレジットカード キャッシュカード デビットカード 電子マネー 交通カード マイナンバーカードなど クレジットカード キャッシュカード 会員カード ポイントカード など 診察券 職員証など ID カード ( 社員証 / 職員証 / 学生証 ) 会員証 健康保険証 資格証など Entrust Datacard Corporation. All rights reserved.

27 Entrust Datacard 戦略的アプローチ Trusted Identities Secure Transactions アイデンティティが信頼できるならば トランザクションも信頼できます ペイメント ( 主として金融 金融関連産業 ) 主な市場 デジタルセキュリティ 中心となる顧客セグメント 消費者ユーザエクスペリエンスを大きく変革 市民市民と政府を接続 企業 クラウドのセキュアな利用 Copyright Entrust Datacard 27 27

28 アイデンティティとデータセキュリティの専業会社 様々なデジタル領域にも拡張可能な特徴 ノウハウ ハイリスク環境におけるグローバルレベルの影響力 認証とアイデンティフィケーション トランザクションセキュリティ 1 日に 1000 万以上のカード発行 クリデンシャルライフサイクルマネジメント デジタル署名 数十億トランザクションを毎年管理 暗号化 信頼されるシステム セルフサービスプラットフォーム 国境をまたいだアイデンティティや認証の整合性の保障 Copyright Entrust Datacard 28 28

29 信頼のアイデンティティとセキュアなトランザクションを提供する技術およびソリューションを提供しています + ビジネスにとってクリティカルな情報やアプリケーションに対して データの信頼性 データインテグリティ データの制御を提供しています 両社の合併により 金融業界 デジタルビジネス 政府機関に注力したハードウェアおよびソフトウェアのセキュリティ 決済ソリューション分野におけるグローバルリーダーとしての地位を確立します Copyright Entrust Datacard 29 29

30 弊社のソリューションポートフォリオ - 物理的 ID デジタル ID データセキュリティ PKI / IoT SSL HSM 金融カード即時発行 認証 アクセスコントロール ID カード発行 カード集中発行 Copyright Entrust Datacard 30 30

31 パスワードにさようなら 31

32 よくある誤解 パスワードレス キャッシュレス 2 要素認証 (SMS 認証 ) QR 決済 (xxpay) Copyright Entrust Datacard 32 32

33 SMS 認証 リスクベース認証 FIDO デバイスフィンガープリント パスワードレス デビットカードクレジットカードバーコード決済 Libra キャッシュレス 生体認証プッシュ認証スマートカード証明書認証 電子マネー QR 決済 仮想通貨 暗号資産 電子通貨 Copyright Entrust Datacard 33 33

34 多要素認証 / 多経路認証とは 多要素認証 (MFA:Multi Factor Authentication) 知識認証 覚えていること 所持認証 所持しているもの 生体認証 バイオメトリックス 2 つ以上を組み合わせる 多経路認証 ( アウトオブバウンド認証ともいう ) 2 つ以上を組み合わせる Copyright Entrust Datacard 34 34

35 認証方式例 Entrust IdentityGuard 製品説明資料より抜粋 多種多様な認証方式は従来から提供されている多要素認証 (MFA) が普及してセキュリティは高まったのか? Copyright Entrust Datacard 35 35

36 多要素認証の課題とリスクベース認証 アクティブ認証 能動的な ユーザの能動的な操作 アクションを元にした認証 意識的 知識認証 所持認証 生体認証 パッシブ認証 受動的な ユーザが操作 アクションを行わなくてよい認証 透過的 無意識 所持認証 生体認証 リスクベース認証 リスクベース認証 (RBA:Risk Based Authentication) 前後関係 文脈 ( コンテキスト ) からリスクを判断 評価し 自動的に行われる認証 リスクに応じた追加認証も含む どのようなコンテクスト情報 (Contextual Element) を利用する しているかによって 精度や有効性に大きく違いが出る 認証を重ねる ( 多要素認証含む ) とセキュリティは向上するが アクティブ認証を重ねるとユーザ利便性が低下する パッシブ認証の活用で ユーザ利便性の維持 向上 と セキュリティ の両立を実現 Copyright Entrust Datacard 36 36

37 リスクベース認証 Risk Based Authentication(RBA) 37

38 リスクベース認証 ~IP/Geolocation マシン認証 リスクベース認証のイメージ 物理的な移動が不可能な距離からの連続したアクセスの認証を拒否 9:30 / ID: ABC? 9:10 / ID: ABC 許可された認証プロセス 指定の国 指定の IP からのアクセスは認証を拒否 前回と同じデバイスは認証プロセスを許可 指定の曜日 指定の時間帯のみ認証プロセスを許可 九州オフィスのグループは九州オフィスの IP からのみ認証プロセスを許可 出張など海外からでもいつもと同じデバイスは認証プロセスを許可 予め指定されたロケーションからのアクセスは認証プロセスを許可 38

39 リスクベース認証 ~Device Reputation( デバイス評価 ) デバイスレピュテーション とは? ユーザが利用する 登録するデバイスから取得できる情報 ( デバイス指紋 ) から デバイスが不正なデバイスである可能性を評価 判別する 情報の取得や評価 判別はユーザに対して 透過的に行われる 39 デバイスフィンガープリント ( デバイス指紋 ) で取得する情報 デバイス指紋とデータ属性を JavaScript または Mobile SDK を利用して収集 デバイスと経過年数 : デバイスの経過年数 デバイスとアカウントのつながり アノマリ検知 ( 通常と違う状態の検知 ) エミュレーター 仮想環境 TOR のノード IP アドレス タイムゾーンと GEO( 実際の場所 ) との不整合 GEO ロケーション ISP の不整合 IP アドレスの距離 隔たり リスクプロファイル Jailbreak/ ルート化の検知 課金と出荷の不整合 ベロシティ ( 速度 ) アカウント デバイスペアリング ( アカウントとデバイスの組み合わせ ) (1:n, n:1) アカウント毎のトランザクション数 グローバルトランザクションデバイスベロシティ ( トランザクションにおけるデバイスの移動速度 ) ウォッチリスト IP アドレスレンジリスト E メールウォッチリスト 39

40 リスクベース認証 ~ コンソーシアム型 Device Reputation( デバイス評価 ) Reputation Device Intelligence Platform Evidence API 2 Billion known devices - 20 億台のデバイス 17 Million verified frauds 万件の不正 200,000 incidents stopped per day - 1 日 20 万件のインシデントをブロック Device and Age: デバイスと年数 Age of device, age of account Association of device to account Anomaly Detection: アノマリ検知 Emulators, virtualization TOR Exit node IP address Timezone/GEO mismatch GEO-location ISP mismatch IP address distance Risk Profile: リスクプロファイル Jailbreak/rooted detection Billing/shipping mismatch Velocity: 速度 Account:device pairings: (1:n, n:1) Transactions per account Global transaction device velocity Watch Lists: ウォッチリスト IP address range list watch lists And more 40

41 リスクベース認証での多層防御 Entrust IdentityGuard 製品説明資料より抜粋 41

42 設定例 Entrust IdentityGuard 製品説明資料より抜粋 詳細な設定項目 設定ルールを提供することで 企業 組織の特性に応じた独自のリスクベース認証の構築を実現 Copyright Entrust Datacard 42 42

43 FIDO( ファイド ) 43

44 FIDO( ファイド ) って最近聞くけど? パスワードに代わる新たなオンライン認証を推進する FIDO( ファイド ) アライアンスの記者説明会 2019 年 7 月 4 日 FIDO アライアンス FIDO Japan WG より引用 44 Entrust Datacard Corporation. All rights reserved.

45 ビックテック 日本国内ボードメンバ GAFAM の 5 社中 4 社がボードメンバ 日本国内からも 3 社がボードメンバ パスワードに代わる新たなオンライン認証を推進する FIDO( ファイド ) アライアンスの記者説明会 2019 年 7 月 4 日 FIDO アライアンス FIDO Japan WG より引用 45 Entrust Datacard Corporation. All rights reserved.

46 日本国内の歴史 May 2015 NTT DOCOMO became the first mobile network operator to deploy FIDO Authentication, enabling a passwordless future for 65 million users in Japan. December 2016 The FIDO Japan Working Group (FJWG) was formed. パスワードに代わる新たなオンライン認証を推進する FIDO( ファイド ) アライアンスの記者説明会 2019 年 7 月 4 日 FIDO アライアンス FIDO Japan WG および より引用 46 Entrust Datacard Corporation. All rights reserved.

47 利用シーン Announcing the public preview of Azure AD support for FIDO2-based passwordless sign-in - Microsoft Tech Community /Azure-Active-Directory- Identity/Announcing-the-public- preview-of-azure-ad-support-for- FIDO2/ba-p/ より引用 最先端セキュリティは物理鍵にあり! Google 社内で使われている FIDO 認証キー Titan Security Key が一般販売スタート ギズモード ジャパン より引用 Google のセキュリティは今どうなっているのか? Google が自前主義にこだわるワケ (2/2):EnterpriseZine( エンタープライズジン ) より引用 47 Google 社員のフィッシングを 0 にした物理キー 余りの効果に Google もう自社でつくる 元祖の Yubico は苦笑い ギズモード ジャパン 808_titan-security-key-fido/ より引用 Entrust Datacard Corporation. All rights reserved. Configure Azure Active Directory passwordless sign in (preview) Microsoft Docs より引用

48 生体認証 48

49 EntrustDatacard 製品での生体認証 Entrust IdentityGuard 製品説明資料より抜粋 49 Entrust Datacard Corporation. All rights reserved.

50 生体認証に関しては様々な意見が存在する ポジティブニュートラルネガティブ Copyright Entrust Datacard 50 50

51 生体認証 : 拡大する利用シーン 急速に進化するユースケース 現在のユースケース 進展中のユースケース 展開状況は地域 産業 顧客などの状況に応じて異なるコストもスマホ キオスク カードなど大きく異なる提供業者はフリクション ( 摩擦 ) セキュリティ プライバシーへの懸念の解消に取り組んでいる Copyright Entrust Datacard 51 51

52 現実はどこか中間のあたり Copyright Entrust Datacard 52 52

53 視点 : 生体認証にとって必要は役割 生体情報を本人確認 モバイルプッシュ認証 モバイル上の仮想スマートカードなどの技術と組み合わせることで欠点を補いあい 利便性 セキュリティを同時に向上させていく Copyright Entrust Datacard 53 53

54 多層防御における生体認証 アクセス時のパッシブな生体認証 ハイリスク時の明示的な生体認証 生体認証は適応型の認証方式に新たなコンテキストを追加 操作 アクション時の合理的な UX Copyright Entrust Datacard 54 54

55 生体認証の有効活用 : ユースケース例 合理的なアクセストランザクションの認証企業情報へのアクセス モバイルアプリへのタッチアクセス パスワード認証に対するもステップアップ手段としての顔認証 適応型認証方式における行動生体認証 Copyright Entrust Datacard 55 55

56 どの生体認証がどんな状況でベストといえるのか? 指紋虹彩声 顔 行動 なりすまし 回避技術の現実 / なりすまし対策技術 ( ライブネス ) 周辺環境の考慮 ( バックグラウンドのノイズ, 手袋 ) ユーザの好み 志向, スマホの機能 能力 プライバシー関連の法律や規制 / 生体情報がどこに保持されるか Copyright Entrust Datacard 56 56

57 プッシュ認証 57

58 活用例 : モバイルプッシュ認証 VPN CLIENT VPN CLIENT ユーザ ID: パスワード JSMITH *********** 2 1 プッシュ通知をスマートフォンに送出 セッションを認証 ユーザは VPN にログイン VERIFY SIGN-IN 3 ユーザが確認 CONFIRM DENY ハードウェアトークンは不要に ユーザの操作性が向上 ユーザ特定 サービス確保も容易に 58 Entrust Datacard Corporation. All rights reserved.

59 活用例 : クラウドサービス利用時のプッシュ認証 ブラウザ ようこそ ユーザ ID: ユーザログイン JSMITH 1 2 Web アプリケーションでのパスワード入力は不要 サインインの検証 確認 拒否 ユーザが 確認 を選択 ユーザの操作性が向上 ユーザ特定 サービス確保も容易に 59 Entrust Datacard Corporation. All rights reserved.

60 活用例 :Windows パソコンのログイン認証 トークンを入力 Hello! ユーザログイン ユーザ名 *********** パスワード 1 最初の要素で Windows にログイン 2 グリッド トークンなどによる 2 要素認証 または 3 セッションが認証される VERIFY SIGN- IN CONFIRM DENY 2 モバイルプッシュによる 2 要素認証 不正ログインを防止 ユーザ特定が容易に ワークスタイルに合う認証手段 60 Entrust Datacard Corporation. All rights reserved.

61 証明書認証 61

62 活用例 多種多様なデバイスへの証明書の発行 配布 VPN 認証 PC サーバ アプリへの認証 様々な利用シーン デバイス認証 ウェブ認証 & アプリ認証 ID カード 62 Entrust Datacard Corporation. All rights reserved.

63 PKI の新しい使い方 Derived PIV Credential 63

64 NIST SP に準拠したモバイル上の証明書 ID カード 従来のスマートカードベースの PIV(Personal Identity Verification) 仕様 技術をモバイルデバイスで活用する際のガイドとして SP が策定された IT 環境のモバイルへのシフトに伴い 信頼できるデジタルアイデンティティの必要性が増加 一方で既存のパスワード OTP スマートカードは要件を満たせない 64 Entrust Datacard Corporation. All rights reserved. DERIVED PIV CREDENTIAL SOLUTION A Guide to Meet NIST SP Requirements /media/documentation/whitepapers/at derived-pivcredential-solution-guide-web.pdf より抜粋

65 NIST SP に準拠したモバイル上の証明書 ID カード ~ ユースケース DERIVED PIV CREDENTIAL SOLUTION A Guide to Meet NIST SP Requirements /media/documentation/whitepapers/at derived-pivcredential-solution-guide-web.pdf より抜粋 65 Entrust Datacard Corporation. All rights reserved.

66 NASA ジェット推進研究所 NASA ジェット推進研究所は NASA およびカリフォルニア工科大学の一部門です NASA が所有する連邦政府出資研究開発センター (FFRDC) 大学による運営 ( カリフォルニア工科 ) 経営規模 :23 億ドル 従業員数 :5,800 名 敷地面積 :167 エーカー ( 約 68 万 m 2 ) (12 エーカー ( 約 5 万 m 2 ) の駐車場用の借地を含む 建造物数 :139 棟 移動住宅数 :36 戸 事務所スペース面積 : 正味 673,000 平方フィート ( 約 63000m 2 ) 非事務所スペース ( 研究所などの ) 面積 : 正味 906,000 平方フィート ( 約 85000m 2 ) Entrust Datacard Corporation. All rights reserved.

67 エントラスト顧客事例 (IntelliTrust /IdentityGuard) 業種 : 航空宇宙導入目的 : 従業員のアクセス管理の効率化 背景 / 課題 長年にわたりスマートカードを利用してきた ユーザーは 政府機関向け企業向け等 複数の スマートカードを管理しなければならず煩雑だった モバイルの利用が拡大 カードは適さない環境になった SaaS アプリケーションの導入 カードは適さない環境になった アプリケーション数の増大 頻繁に認証が必要となる ソリューション Mobile Smart Credential (MSC) が提供する インテリジェントアクセス 自動的にログイン / ログアウトが可能なため ユーザーの操作が不要 VPN, クラウドアプリケーションのシングルサインオン 1 台のモバイルデバイスで認証可能 ( 複数のスマートカードを持ち歩く必要がなくなる ) 67 Entrust Datacard Corporation. All rights reserved.

68 1 つのスマホ 複数の利用ケース 派生モバイルクレデンシャル (Derived Mobile Credential) により ユーザビリティを犠牲にすることなく 高いセキュリティ強度 を実現 Hello! Windows デスクトップ無線 (Bluetooth) 経由でワークステーションにログイン モバイルプッシュ ウェブ VPN セキュアなモバイルプッシュを通じて VPN や SaaS アプリに対する認証を実施 スマートフォン EMM アプリケーションに対するネイティブ認証 (Mobile Iron AirWatch) 物理アクセス NFC や Bluetooth 経由でドアにアクセス 68 Entrust Datacard Corporation. All rights reserved.

69 MSC とは : MSC 仮想スマートカード ユーザはスマートカードを所持する必要がなく 複数のスマートカードのモバイルへの集約も可能 スマートカードで必要とされるカードリーダーの設置や携行が不要 モバイルの BT 通信機能を活用し より便利かつ安全な Windows デスクトップログオンが可能 一般的なスマートカード Hello! 従来 仮想スマートカード 仮想スマートカード登録 Hello! MSC 通信は暗号化 利便性 自動認識 安全性 自動ログアウト Entrust Datacard Corporation. All rights reserved.

70 MSC によるスマートカードログオンとは? ( デモビデオ ) エントラストジャパンデモサイト Bluetooth を用いた仮想スマートカード認証 ( 解説付き ) 70 Entrust Datacard Corporation. All rights reserved.

71 ありがとうございました エントラストジャパン株式会社 Tel: メール ホームページ : 71