2017 年 5 月更新 ver.3.1 IceWall SSO ワンタイムパスワードソリューションのご紹介 日本ヒューレット パッカード株式会社テクノロジーコンサルティング事業統括 IceWall ソフトウェア本部
目次 ワンタイムパスワード (OTP) 概要 ワンタイムパスワード (OTP) の新たな潮流 : OATH IceWall SSO ワンタイムパスワードソリューション - OATH 対応のリーズナブルなワンタイムパスワードソリューション - ユースケース 2
ワンタイムパスワード (OTP) 概要 3
ワンタイムパスワード (OTP) とは? ワンタイムパスワード (OTP) とは 端末からネットワークを通じてサーバーを利用する際に 正規のユーザーかどうかを検証する認証技術のひとつで 使い捨てパスワード とも呼ばれます ID とパスワードに加え 別の要素を追加して認証を行う 二要素認証 の手段としても使われ OTP を表示するための専用の機器を ハードウェアトークン と呼び 同じ機能を持たせたソフトウェア ( スマートフォン等のブラウザーで表示 ) を ソフトウェアトークン と呼びます OTP を使用したセキュリティ強化 ユーザー ID パスワードワンタイムパスワード OK! OK! OK! 認証サーバー ハードウェアトークン例 ID パスワード ワンタイムパスワード ワンタイムパスワードは 使い捨て のため 第 3 者には無効 OK! OK! NG! 認証サーバー ソフトウェアウェアトークン例 7082 6883 passcode: 7082 6883 スマートフォン PC 4
Tips ワンタイムパスワードの主な方式 ワンタイムパスワードを正しく生成するために使われる方式としては 代表的なものとして タイムスタンプ方式 ( 時刻同期方式 ) と チャレンジ & レスポンス方式 があります ボタンを押した時刻を元にしてワンタイムパスワードを表示 タイムスタンプ方式 トークンと認証サーバーの両方に時刻を元にしたパスワード計算式をあらかじめ登録 チャレンジ & レスポンス方式 認証リクエスト リクエストを受け付けたらランダムな文字列を チャレンジ として送信 xxxxxx 送信 トークン ユーザー ID あらかじめ決めたパスワード トークンに表示されたワンタイムパスワードを入力 両方一致した場合ログインが可能 認証サーバー チャレンジ文字列 チャレンジ レスポンス レスポンスを計算して入力する 認証サーバー チャレンジから算出されるレスポンスと入力されたレスポンスが合致していれば認証する タイムスタンプ方式では パスワード生成のための 種 (Seed 情報 ( 共通鍵 )) として 現在の時刻を使います あらかじめサーバーとトークンで 時刻に基づいてパスワードを算出する共通の計算式を記憶しておきます ( 時刻で同期するため トークンとサーバは直接通信することはありません ) トークン側では ボタンが押されると その時刻に合わせてその時に有効なパスワードを表示します (30 秒間同じパスワードを表示等 ) サーバー側では 入力されたパスワードと現在有効なパスワードを照らし合わせ 正しければ認証します チャレンジ & レスポンス方式は 利用者からサーバーに 認証して欲しい というリクエストがまず送られます それを受けたサーバーは ユーザーに対して チャレンジ としてランダムな文字列を返します ユーザーはそのレスポンスに基づき あらかじめ決められている計算式により 実際に使用するパスワードを計算して レスポンス として入力します サーバー側では チャレンジから計算したレスポンスが ユーザーが入力したレスポンスと一致していれば 認証します 身近なところでは インターネットバンキングでの乱数表を使った認証もチャレンジ & レスポンス方式の一種です ( サーバ側から何行何列目を入力と指示がでて ユーザは予め配布された乱数表で該当の4 桁を入力等 ) 5
認証強化ソリューションとして改めて注目されるワンタイムパスワード 導入コスト サポートコスト ユーザーの利便性 なりすまし強度 適合ソリューション ID/ パスワードのみ 電子証明書 ( 証明書 ) ( 運用が手間 ) ( 環境依存 ) ワンタイムパスワード ( ハードウェアトークン ) ( トークン + ユーザーライセンス ) ( トークンの所持 ) 生体認証 ( 認証デバイス + ユーザーライセンス ) ( 運用が手間 ) 汎用的 BtoB/ イントラネット リモートアクセス / 出金認証 イントラネット マトリックス認証 ( ユーザーライセンス ) ( 非標準 ) リモートアクセス 欠点セキュリティ弱運用が煩雑コストが割高運用が煩雑非標準方式 適用規模制約なし中規模小規模中規模小 中規模 導入コストの問題が解決すればワンタイムパスワードは有力な認証強化ソリューションに 6
従来のワンタイムパスワードの難点 全ユーザーに対してトークンの配布が必要 かつベンダーロックされる懸念も ユーザーライセンス + サーバーライセンスが必要 OTP 用認証サーバー認証 DB SSL-VPN Remote Access RADIUS 認証 Web アプリ OTP をユーザー ID/ パスワードと共に画面に手入力 1 サイト 1 トークン 別途 認証の仕組みが必要 数台規模の対応が限界 コストやベンダーロックがネックとなり中 大規模環境には導入しづらい側面も 7
ワンタイムパスワード (OTP) の新たな潮流 : OATH 8
ワンタイムパスワードソリューションの新たな潮流多様なトークンに対応可能な標準仕様 OATH OATH に準拠したハードウェアトークン ワンタイムパスワードを PC 上に入力して送信 OATH=Open AuTHentication: 主にワンタイムパスワード (OTP) で利用されるオープンな認証仕様 従来の OTP ソリューション / トークンは各ベンダー特有のアルゴリズムに依存するケースが多かったが OATH 対応のトークンは多様なベンダーから選択が可能 ワンタイムパスワード認証システム OATH に準拠したソフトウェアトークン OATH に準拠したサーバーモジュール ワンタイムパスワードをスマートフォンから送信 ワンタイムパスワードを PC 上に入力して送信 複数ベンダーからトークン調達が可能 トークンベンダーに縛られないサーバーモジュールの選択が可能 Web サイト毎のトークンの使い分けが不要 より低コストでの導入が可能に 9
従来の OTP ソリューションと OATH 仕様との比較 導入コスト 従来の一般的なハードウェアトークン ( トークン + ユーザーライセンス ) OATH 仕様のハードウェアトークン ( トークン ) * 複数ベンダーから調達可能 OATH 仕様のソフトウェアトークン ( スマートフォンアプリ ) * アプリの配布のみ セキュリティ 〇 ユーザーの利便性 なりすまし強度 利点 注意点 ( トークンの所持 ) ( トークンの所持 ) ( スマートフォンアプリ ) 過去の実績が多い コストが割高トークンベンダーの変更不可 オープンな仕様 複数ベンダーから調達可能 コストが比較的安価 ( トークン代 配送料 ) オープンな仕様 配布が容易なため 大規模サイトや複数サイトの対応が容易 ユーザーはスマートフォン所持が前提 適用規模小規模小 中規模大規模 備考 OATH 仕様の場合 ベンダーに依存せず 複数ベンダーから調達可能 ソフトウェアトークンはデバイスへのアプリケーションの配布のみ 従来の OTP では セキュリティ強度はベンダーによる保証 OATH 仕様ではオープンな仕様内で担保される ハードウェアトークンはトークン代および配布コストも必要 但しOATH 仕様トークンの場合 複数ベンダーから調達することで比較的安価に抑えることが可能 10
OATH 仕様のトークン例 ジェムアルト OATH に準拠したハードウェアトークン Ezio Lava( ジェムアルト株式会社 ) Ezio Pico( ジェムアルト株式会社 ) OTP C200 ( 飛天ジャパン株式会社 ) OTP C300 ( 飛天ジャパン株式会社 ) 等 飛天 OATH に準拠したソフトウェアトークン Google Authenticator(Google, Inc.) IceWall SSO Smart OTP 等 Google Authenticator IceWall SSO Smart OTP 11
Tips OATH 仕様の OTP のユースケース 1 ソリューション目的クライアント側具体例 OTP 本人認証 (PC スマホ ) 2 OTP 本人認証 ( スマホ限定 ) 3 トランザクション署名 (SWYS 1 ) 4 チャレンジレスポンス認証 二要素認証 ( 従来の OTP 市場 ) 二要素認証 Quick & Secure Login ( モバイル認証 ) 否認防止 取引改ざん防止 ( 新しい OTP 市場 ) 二要素認証 出金認証強化 否認防止 OATH 対応の HW/SW トークン IceWall SSO Smart OTP Google Authenticator IceWall SSO Smart OTP OCRA 2 対応テンキー付トークン (Max 64 桁 ) OCRA 2 対応テンキー付トークン (Max 8 桁 ) 5 双方向認証 正規サイトの確認 OATH 対応の HW/SW トークン 保険会社 PKI からの置き換え 製造業 タブレットからの迅速なログイン 取引内容に紐づくか 金融機関否かの違い MITB 3 対策 金融機関 フィッシング対策 ホストリターンコードによる相互認証 偽サイト 1: SWYS=Sign What You See 2: OCRA=OATH Challenge-Response Algorithms Specification RFC 6287 OATH をベースにしたチャレンジレスポンス仕様 海外の金融機関でフィッシング対策や MITB(Man In The Browser) 対策に使用されることが増えている テンキー付のトークン等を利用し 出金認証強化 否認防止 / 取引改ざん防止 ( トランザクション署名 ) として利用される 3: MITB =Man In The Browser 12
IceWall SSO ワンタイムパスワードソリューション - OATH 対応のリーズナブルなワンタイムパスワードソリューション - 13
IceWall SSO ワンタイムパスワードソリューションの強みコストを抑えながら認証強化 OATH 準拠の多様なトークンを選択可能 特定のベンダーに縛られず トークンの調達が可能 ハードウェアトークン ソフトウェアトークンの併用可能 トークンの数に依存しないサーバーライセンス体系 1 モバイルデバイスも OTP で認証強化 専用のスマートフォンアプリ版 2 のトークンを使用すれば スマートフォンで OTP の自動生成 自動送信が可能 3 クライアント証明書を使用できない一部のタブレット等も OTP で認証強化 シングルサインオン環境を OTP でも利用可能 IceWall SSO が提供する 利便性の高い高性能なシングルサインオン環境を OTP でも利用可能 従来の ID/ パスワードによるログインや他の認証方式との併用も可能 クライアント証明書からのスムーズな移行が可能 クライアント証明書認証から OTP 認証へ ユーザーが任意のタイミングで移行可能 1: ハードウェアトークンを使用する場合は 別途トークン代が必要 2:IceWall SSO Smart OTP 3: ユーザー ID/ パスワード OTPをバックグラウンドで自動送信 14
IceWall SSO ワンタイムパスワードソリューション - OATH に準拠したフレキシブルかつリーズナブルなソリューション - OTP を表示 ログイン画面に入力 送信 O A T H 準拠 HW トークン 複数ベンダーの多様な製品 SWトークン ( スマートフォンアプリ ) IceWall SSO Smart OTP SWトークン (Windows PC クライアント ) IceWall SSO Smart OTP Windows IceWall SSO IceWall サーバー OTP 連携オプション Web アプリ OTPを生成 ID/ パスワードと共に自動送信スマートフォンアプリ IceWall SSO Smart OTP PC のブラウザー版の SW トークンもご用意しています 認証サーバー / 認証 DB OneTime 認証連携ツール for IceWall OATH 準拠 15
OATH に準拠したハードウェアトークンを利用 ケース 1 LOGIN ID PW OTP ハードウェアトークン上に表示された OTP を PC へ入力 1. PC 上で対象の Web サイトにアクセスし ログイン画面を表示 2. ハードウェアトークン上に表示されたワンタイムパスワード (OTP) を PC 上のログイン画面に入力 画面はイメージです 使用する機種などにより異なることがあります 16
スマートフォンのソフトウェアトークンを利用 IceWall SSO Smart OTP 使用例別途ハードウェアトークンを準備 携帯する必要はありません ケース 2 1. 2. 3. 4. 1. Smart OTP を起動 ログインアカウントを選択 2. OTP を表示 ボタンをタップ Smart OTP が OTP を生成 表示 3. PC 上でブラウザのログイン画面に 表示された OTP と共にユーザー ID/ パスワードを入力 送信 4. ログイン完了 画面はイメージです 使用する機種などにより異なることがあります 17
スマートフォンのアプリで OTP を生成 直接送信 ケース 3 IceWall SSO Smart OTP 使用例ユーザーは ID/ パスワード OTP の入力をスキップでき 迅速でセキュアなログインが行えます 1. 2. 3. 4. 1. Smart OTP を起動 ログインアカウントを選択 2. ログイン ボタンをタップ 3. Smart OTP が OTP を自動生成 ユーザー ID/ パスワード と共に自動送信 パスワードのみは Smart OTP 上に保存せず 毎回手入力することも可能です 4. ログイン完了ログイン後は標準ブラウザを使用して対象の Web サイトへアクセスが可能です 画面はイメージです 使用する機種などにより異なることがあります 18
スマートフォンのアプリで OTP を生成 直接送信 <IceWall SSO Smart OTP の仕組み > ケース 3 スマートフォンで OTP を生成し 自動送信 利便性の維持とセキュリティ向上の両立 Smart OTP は各ストアから無料配布 1 OTP の seed( 共通鍵 ) はユーザー ID の属性情報として 認証 DB へ登録 ユーザー ID パスワード OTP 2 OTP 送信 4 結果を送信 許可 サイト OneTime 認証連携ツール for IceWall 1 OTP 生成 拒否 3 OTP 検証 user01 098f6bcd4621d373cade4e832 seed ( 共通鍵 ) 098f6bcd4621d373cade4e832 user02 ad0234829205b9033196ba81 認証 DB のユーザー情報テーブル seed ( 共通鍵 ) 1: 汎用版 カスタマイズが必要な場合は別途有償でのご対応となります 19
Windows(PC) 上でソフトウェアトークンを利用 IceWall SSO Smart OTP Windows 使用例 IceWall SSO Smart OTP Windows をソフトウェアトークンとして利用します Windows PC 用クライアント用アプリケーションのインストールが必要です ケース 4 1. 2. 3. 4. LOGIN ID PW OTP 1. Smart OTP Windowsを起動 ログインアカウントを選択して OTPを表示 ボタンをタップ 2. Smart OTP WindowsがOTPを生成 表示したOTPをクリップボードにコピー 3. PC 上でブラウザのログイン画面に 表示されたOTPと共にユーザー ID/ パスワードを入力 送信 4. ログイン完了 PC のブラウザー版の SW トークンもご用意しています 画面はイメージです 使用する環境などにより異なることがあります 20
OneTime 認証連携ツール for IceWall について 本製品は株式会社エスシーシーの開発によるサーバー製品です IceWall SSO と組み合わせて Web アプリーケーションの前段に配置することで OATH 規格のワンタイムパスワード認証を実現します ライセンス体系 : サーバーライセンス Enterprise Edition と Standard Edition をご用意しています OneTime 認証連携ツール for IceWall を動作させるサーバー毎に 1 ライセンス必要です また別途 IceWall SSO OTP 連携オプション ( サイトライセンス ) が必要です 本ライセンスとあわせて保守のご購入が必要です 動作環境 サーバー OS:Red Hat Enterprise Linux 6.1 以降 (x86_64) Red Hat Enterprise Linux 7.1 以降 (x86_64) 認証システム :IceWall SSO 10.0 IceWall MFA 4.0 AP サーバー :Tomcat 6.0 (OS バンドル版 ) Tomcat 7.0 (OS バンドル版 ) Java:Open JDK 7.0 (OS バンドル版 ) Open JDK 8.0 (OS バンドル版 ) データベース : Oracle 12c Oracle 11g MySQL 5.6 MySQL 5.1 OpenLDAP 2.4 Windows Server 2016 Active Directory トークン ソフトウェアトークン :IceWall SSO Smart OTP 他 OATH 規格のソフトウェアトークン ハードウェアトークン :OATH 規格のハードウェアトークン 2017 年 5 月現在 最新の動作環境は別途お問い合わせ下さい 21
OneTime 認証連携ツール for IceWall Management オプション について 本オプションは OATH 規格の SW/HW トークンの発行 登録管理機能を実現する製品です ユーザは メール通知される URL の Web ページに表示される案内に従って 容易に SW トークンへのアカウント登録 トークンのアクティベート ( 有効化 ) を行うことが可能になります 管理者によるトークン管理機能 ( 失効 再発行 削除 ) 機能も備えています OATH 規格の HW トークン OATH 規格の SW トークン (IceWall SSO SmartOTP 等 ) アカウント登録用ページに表示される QR コードをアプリでスキャンすることでかんたんにアカウント登録が可能です ( IceWall SSO SmartOTP Google Authenticator 利用時 ) イメージは次ページ参照 管理者 ユーザー 2 SW トークンアプリへのアカウント登録 トークンのアクティベート用ページ URL の通知 3 トークンのアクティベート ( 有効化 ) 1 SW トークンの発行 / ユーザーへの割り当て HW トークンの登録 / ユーザーへの割り当て トークンの失効 / 再発行 / 削除 トークンのアクティベートを完了するとワンタイムパスワードによる SSO 認証が可能となります OneTime 認証連携ツール for IceWall OneTime 認証連携ツール for IceWall Management オプション 登録 更新 削除 認証 DB トークン情報 DB 22
SW トークンのアカウント登録 アクティベートの流れ トークン発行の通知メールに記載の URL にアクセスします ID/PW ログイン後 SW トークンへのアカウント登録用 QR コードが表示されます SW トークン画面に表示される連続した 2 回分のワンタイムパスワードを入力してアクティベートします ( トークンのアクティベート完了 ) ログイン端末 ワンタイムパスワード用の鍵を発行しました 下記 URL にアクセスし 登録処理を行ってください http://sample.icewall.local:8080/otammt/d260f 538BFC08CEA20817AE047BC16D023F2C783 CDBF563DCD0073FF89B27932458E4B34C72 59F4B/token/activate ------- OTAM Management Tool (TID20170420195934037019-otammt) SW トークンへのアカウント登録完了後に アクティベートへ をクリックします ワンタイムパスワードを入力 QR コードを読み込み 登録対象 S W トークン IceWall SSO Smart OTP (SW トークンアプリ ) をインストールしておきます アプリを起動し QR コード読み取りをタップします スマートフォンをユーザー端末ブラウザ上の QR コードにかざします 登録情報が自動表示されますので登録をタップします (SW トークンへのアカウント登録完了 ) 登録したアカウントの画面で OTP 表示をタップします 30 秒毎にワンタイムパスワードが更新表示されます 23
OneTime 認証連携ツール for IceWall VDI オプション について本オプションは OneTime 認証連携ツール for IceWall を使用して VDI 製品 ( ) の認証強化を実現する製品です VDI 製品のパスワード認証に IceWall SSO ワンタイムパスワードソリューションを組み合わせることにより VDI の利点である Any Device: あらゆるデバイスで利用できること と強固な認証を両立し かつコスト的にも低く抑えられる理想的な認証セキュリティの実 装が可能となります 2 パスワード + ワンタイムパスワードでログイン ユーザー VDI システムサーバ仮想デスクトップ OATH 規格の SW トークン (IceWall SSO SmartOTP 等 ) AD 認証 RADIUS 認証 OTP 照合 1 ワンタイムパスワードを表示 123456 Active Directory OneTime 認証連携ツール for IceWall VDI オプション OneTime 認証連携ツール for IceWall VMware Horizon Citrix XenApp/XenDesktop(NetScaler Unified Gateway) との連携動作を確認しております 24
IceWall SSO ワンタイムパスワードソリューションのアドバンテージ POINT OATH 対応により多様なトークンの 1 選択が可能ハードウェアトークンおよびソフトウェアトークンの併用や ベンダーに依存しないトークンの選択が可能 IceWall SSO IceWall サーバー POINT 2 サーバーライセンスのみユーザーライセンス不要で サーバーライセンスのみ のため コストを 抑えながら認証強化を行うことが可能 ハードウェアトークンを使用する場合は 別途トークン代が必要です OTP 連携オプション Web アプリ Web アプリ POINT 3 IceWall SSO Smart OTP モバイルデバイスでの使用にも最適専用アプリケーション (IceWall SSO Smart OTP) を使用すれば ユーザー ID/ パスワード ワンタイムパスワードはバックグラウンドで送信し パスコードのみでのログイン可能なため セキュリティの確保と利便性を両立した認証強化を実現 認証サーバー / 認証 DB OneTime 認証連携ツール for IceWall OATH 準拠 POINT 4 Web アプリ 端末識別をクライアント証明書よりも楽に運用可能クライアント証明書の場合 ブラウザーが変更されると証明書の再インストールが必要となり運用が煩雑だが 本方式では予め端末とシード情報を紐づけし 生成されるパスワードで認証するため ブラウザーに依存せず端末識別が可能 25
ユースケース 26
IceWall SSO ワンタイムパスワードソリューションはこんなニーズにおすすめ ニーズ OTP のコストを圧縮したい クライアント証明書よりも楽にモバイル環境を運用したい モバイルデバイスの認証強化をしたい 社外からのアクセスに対し二要素認証を行いたい IceWall SSO のワンタイムパスワードソリューションなら OTP トークンの数に依存しないサーバーライセンス体系 1 標準仕様 OATH 対応でトークンの選択肢が拡大 ベンダーフリー かつ HW トークン SW トークンの併用も可能 IceWall SSO Smart OTP を使用すれば HW デバイスの調達 配布や管理を軽減 ブラウザーに依存しない運用が可能 2 クライアント証明書を使用できない一部のタブレット等も OTP で認証強化 IceWall SSO Smart OTP を使用すれば スマートフォン上で OTP の自動生成 自動送信が可能 3 PC 版ソフトウェアトークン IceWall SSO Smart OTP Windows を使用すれば PC 上で OTP 生成が可能 IceWall SSO Smart OTP のソフトウェアトークンモードを使用すれば スマートフォンに OTP を表示 PC ブラウザに入力する方法も可能 1: 専用スマートフォンアプリは無償 HW トークンを使用する場合は 別途トークン代が必要 2: インストール手順などがブラウザーのバージョンに依存しません 3: ユーザー ID/ パスワード OTP はバックグラウンドで自動送信 27
利用ケース A 社クライアント証明書よりも楽にモバイル環境を運用したい 課題 決められた端末からのみのアクセスを許可するためにクライアント証明書を検討したが ブラウザーが変更されると新たに証明書を再インストールする必要があり リテラシーの低いユーザにとっては難しく ユーザーサポートも含めた運用が難しい スマートフォンやタブレット端末からのアクセスも増えてきており 利便性が高く セキュアなアクセスを楽に運用したい IceWall SSO Smart OTP が解決 専用のアプリを使って端末内に鍵をインストールし管理します 鍵をインストールした端末からのみアクセス可能です ブラウザーや端末の種類に依存せずに使用でき 管理者の運用も楽にできます タブレット スマートフォンのアプリが 内部で OTP を生成し ID/ パスワードと共にサーバーへ自動送信して認証します ユーザー情報の入力を省略することができ 迅速でセキュアなログインが可能です 28
利用ケース B 社社外からのアクセスに対し二要素認証を行いたい 課題 社外からのアクセスに対して二要素認証を実施したい 全社員数は数万人 アクセスする対象の Web アプリケーションは PC 向け 社内からのアクセスには ユーザー ID とパスワードで認証 社外からのアクセスには ユーザー ID/ パスワードに OTP を加えた二要素認証を実施したい IceWall SSO Smart OTP Windows および IceWall SSO Smart OTP が解決 IceWall SSO Smart OTP Windows により PC 上で OTP を生成します IceWall SSO Smart OTP のソフトウェアトークンモードを使えば スマートフォンで OTP の生成も可能です 29
Thank you