WP-Swivel-Multifactor-Authentication-JP indd

Similar documents
技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

既存のどの SIEM にでも再考察し 2 要素認証を含めることができます Rohos Logon Key は 良く知られていて安全なワンタイムパスワード (OTP) 認証技術を使用して Windo ws Remote Desktop へのアクセスを許可します 脆弱なパスワードによるログインに変わるも

YCU メール多要素認証の設定方法 ( 学生向け推奨マニュアル ) 2019 年 3 月 横浜市立大学 ICT 推進課 1

HP Touchpoint Manager Windows 10 Mobile 登録手順

FUJITSU Cloud Service K5 認証サービス サービス仕様書

フォルダの作成 使用率 (%) が表示されます 新規フォルダの作成をクリック フォルダ名 を入力し 作成 ボタンをクリック ユーザー設定で 使用言語の選択ができます ( 日本語 英語 中国語 ) ファイルのアップロード 1 ファイルをアップロードするフォルダをダブルクリックする このフォルダにアップ

目次 既存アカウントにモバイルライセンスキーコードを追加 ライセンスキーコードを追加 ポータルへモバイルデバイスを追加 電話番号の入力ルール /AU 端末の制限 ( 留意事項 ) ダウンロードリンクの通知 (SMS 配信 )/ 子デバイスキー生成 モバイルデバイスへのソフトウェアダウンロード ダウン

Oracle Un お問合せ : Oracle Data Integrator 11g: データ統合設定と管理 期間 ( 標準日数 ):5 コースの概要 Oracle Data Integratorは すべてのデータ統合要件 ( 大量の高パフォーマンス バッチ ローブンの統合プロセスおよ

2. 生田仮想デスクトップ PC の接続方法 生田仮想デスクトップ PC に接続する方法は 次の 2 通りです 1. HTML アクセス Internet Explorer や Safari などのブラウザを用います PC に特別なソフトウェアをインストールす る必要が無いので 管理者権限をもってい

FUJITSU Cloud Service for OSS 認証サービス サービス仕様書

USB キーを使用して Windows リモートデ スクトップへのセキュアなログインを実現 Rohos Logon Key 2 要素認証 (2FA) ソフトウェアが ターミナルサーバーを保護し パスワードとハードウェア USB トークンを使用してリモートデスクトップにログインを可能にします Roho

PowerPoint Presentation

マイフォルダへのアクセス マイフォルダ をクリックすると マイフォルダの一覧画面へ遷移します 利用の手引き ver.5 フォルダの作成 新規フォルダ をクリックして フォルダ名を入力し 作成 ボタンをクリックする ファイルのアップロード ファイルをアップロードしたいフォルダをクリックして開き アップ

SeciossLink クイックスタートガイド

jp-tax-mfa_guide

PowerPoint プレゼンテーション

OSSTechプレゼンテーション

Netscaler_as_ADFS_Proxy

intra-mart Accel Platform — OAuth認証モジュール 仕様書   初版  

_EMS概要_クラウドを使う上で考慮すべきこと(セキュリティ視点で60分語るv4)_E5まで

NortonAntiVirus for MicrosoftExchange

2 0. 事前準備

PowerPoint プレゼンテーション

4. 本オプションで提供する機能 基本機能 Microsoft Office 365 マイクロソフト社 Microsoft Office 365 の機能をそのまま利用できます アクティブディレクトリ連携サービス (Active Directory Federation Service: 以下 ADF

製品概要

各 SAQ (v3.2.1 版 ) を適用すべきカード情報取扱い形態の説明 / JCDSC 各 SAQ の 開始する前に の部分を抽出したものです カード情報の取り扱い形態が詳しく書かれていますから 自社の業務形態に適合する SAQ タイプを検討してください 適合しない部分が少し

CA Federation ご紹介資料

How to Use the PowerPoint Template

POWER EGG 3.0 Office365連携

注意 インストール中に ユーザアカウント制御 ( 以下 UAC といいます ) の実行確認画面が表示されることがあります 表示された場合ははいをクリックして インストールを進めてください なお 管理者以外の場合 管理者への昇格を求める UAC 画面が表示される場合がありますので 管理者アカウントのパ

PowerPoint プレゼンテーション

_mokuji_2nd.indd

V-CUBE One

intra-mart Accel Platform

ESET Mobile Security V4.1 リリースノート (Build )

Microsoft Word - SAQタイプ別の説明 _Ver3.2.docx

Mobile Access簡易設定ガイド

管理サイト操作マニュアル Version.1.1. デジアナコミュニケーションズ株式会社

WP-Single-Channel-Options-JP indd

1 ワンタイムパスワードの説明... 2 (1) ワンタイムパスワードのサービス概要... 2 (2) 個人インターネットバンキングとワンタイムパスワード... 2 (3) ワンタイムパスワード生成機 ( トークン ) について... 2 (4) ソフトウェアトークンの特徴 導入までの

(1)IE6 の設定手順 (1)IE6 の設定手順 1) 信頼済みサイトの追加手順 1: ブラウザ (Internet Explorer) を起動します 手順 2: ツール / インターネットオプション / セキュリティ メニューを選択します 手順 3: セキュリティ タブの 信頼済みサイト を選択

管理者向けのドライブ設定 このガイドの内容 1. ドライブの設定を調整する 2. パソコンにドライブをインストールする 必要なもの G Suite 管理者アカウント 30 分

1. インストール方法 STEP 1 ダウンロードしたファイルを任意の場所に解凍します Windows 標準の機能を用いて解凍する場合は ファイルを選択して 右クリックメニューから [ すべて展開 ] を選択し 表示されたメッセージに従って解凍します STEP 2 解凍されたフォルダにある Setu

コンポーネントのインストール レプリケーション運用開始までの流れ 1 コンポーネントのインストール 2 シナリオの設定 3 同期処理 レプリケーション開始!! CA ARCserve Replication/HA 構成例 管理用 PC CA ARCserve RHA マネージャ CA ARCserv

Webセキュリティサービス

PowerPoint プレゼンテーション

Microsoft PowerPoint - Skype for business の概要.pptx

Microsoft Word Proself-guide4STD+Prof.docx

オープンソース・ソリューション・テクノロジ株式会社 代表取締役 チーフアーキテクト 小田切耕司

PowerPoint プレゼンテーション

PowerPoint Presentation

Password Manager Pro スタートアップガイド

管理者マニュアル

1. ロック画面の操作方法変更 セキュリティ強化のため ロック画面の操作方法が変更となります 画面ロックを変更する場合 バックアップパスワードを入力する必要があります 端末のロック解除に指紋認証を設定している場合 端末の再起動時も 初回のみバックアップパスワードを入力する必要があります < 画面ロッ

QualitySoft SecureStorage クイックスタートガイド

Microsoft Word - Qsync設定の手引き.docx

Microsoft Word - シャットダウンスクリプトWin7.doc

2. 生田仮想デスクトップ PC の接続方法 生田仮想デスクトップ PC に接続する方法は 次の 2 通りです 1. HTML アクセス Internet Explorer や Safari などのブラウザを用います PC に特別なソフトウェアをインストールす る必要が無いので 管理者権限をもってい

Windows Server 2016 Active Directory環境へのドメイン移行の考え方

< 目次 > 1. このアプリについて [P3] 2. アプリのインストール方法 [P3~] 2-1. Android 版アプリケーション 2-2. Web 版アプリケーション 3. アプリの流れについて [P4~] 4. 各クライアントアプリの操作方法 [P9~] 4-1. Android 版アプ

1 POP 系の設定 重要事項 Windows10 のメールアプリで CCNet のメールを利用する場合 以下の点にご注意ください Windows 10 に標準でインストールされている メール アプリは 弊社のメール方式 (POP) に対応はしておりますが 本マニュアル制作時点 ( バージョン 17

使用する前に

スライド 1

Microsoft PowerPoint - T4OOマニュアル_初期設定用_ pptx

VPNマニュアル

ID 保存されても問題無い共有されていない PC でしたら ログインボタンの上にある [ID 保存 ] のチェックボックスにチ ェックを入れて下さい 3. パスワードのオートコンプリート ログインボタンを押した後に 環境によっては以下のような確認が表示されます 保存させても安全な環境か判断頂き どち

すぐできるBOOK ー基本設定編ー

Microsoft Word - Gmail-mailsoft_ docx

Oracle Access ManagerとOracle Identity Managerの同時配置

ENI ファーマシー受信プログラム ユーザーズマニュアル Chapter1 受信プログラムのインストール方法 P.1-1 受信プログラムのシステム動作環境 P.1-2 受信プログラムをインストールする P.1-9 受信プログラムを起動してログインする P.1-11 ログインパスワードを変更する

1. はじめに 1.1. Office365 ProPlus ライセンスについて 九州産業大学に在籍中の学生 教職員の方は Office365 ProPlus のライセンスを 1 つ保持しています 1 つの Office365 ライセンスで Office365 ProPlus( 最新版の Offic

1. はじめに 1.1. Office365 ProPlus ライセンスについて 九州産業大学に在籍中の学生 教職員の方は Office365 ProPlus のライセンスを 1 つ保持しています 1 つの Office365 ライセンスで Office365 ProPlus( 最新版の Offic

Acronis Snap Deploy 5

Transcription:

Swivel の多要素認証 ソリューション 概要 Swivel は柔軟な認証ソリューションで 幅広い認証モデルをサポートしています Swivel の特許取得済みのワンタイムパスワード抽出プロトコルを使うことにより 様々な単一要素または二要素認証ソリューションをご利用頂けます

はじめに 本ホワイトペーパーでは Swivel の多要素認証ソリューションの概念と技術についてご説明します まず 多要素 マルチチャネル認証の概念とメリットについて解説し Swivel がどのようにしてそれらのアプローチを実現しているかをご説明します Swivel 概要 Swivel は多要素認証システムで チャレンジ - レスポンス型の認証エンジンを中核としています このエンジンはユーザーにチャレンジを送り レスポンスをチェックしてそれが正しければアクセスを許可します PINsafe Swivel ソリューションのユニークな特徴として PINsafe ワンタイムパスワード抽出プロトコルがあります PINsafe が発行する セキュリティストリングス をユーザーが受けとり あらかじめ設定してある PIN と組み合わせてワンタイムパスワードを生成し それを使って認証を行います このシステムのメリットは 認証のためにはセキュリティストリングスと PIN が必要になるにもかかわらず PIN 自体は認証プロセスの中で入力されることは絶対に無いことです この抽出プロトコルの使い方は簡単で ワンタイムパスワードのどのキャラクタをどういった順番で使うかを PIN によって決めるのです 図 1: PINsafe ワンタイムパスワード抽出プロトコル

セキュリティストリングスは SMS メッセージや Java アプレット経由 あるいは難読化されたイメージ (TURing イメージ ) など 様々な方法でユーザーに送り届けられます *1 図 2: 難読化したセキュリティストリングス このアプローチには以下の様な様々なメリットがあります ユーザーが入力するワンタイムパスワードは毎回異なるため キーロガーを使った攻撃や多くの中間者攻撃 (man-in-the-middle) フィッシング攻撃からの防御に有効です ユーザーが PIN そのものを入力することは絶対に無く その点からも上記の攻撃に対しての防御に効果があります 認証要求を送るチャネルと別のチャネルを使ってセキュリティストリングスを送ることができる ( マルチチャネル ) ため 中間者攻撃に対抗できます セキュリティストリングスの配信を特定のデバイス ( 例えば携帯電話 ) に関連付けることができます PINsafe は Swivel ソリューションが持つ非常にユニークな特徴ですが これを使わなければならないわけではありません 例えば ワンタイムパスワードの抽出を使わない認証を行うこともできます *1 難読化されたイメージは Optical Character Recognition (OCR) に対抗できます

Swivel の仕組み Swivel 認証システムの中核には Swivel Core サーバーがあり ユーザーデータの管理 要求に応じたログイン情報の生成と管理 認証ポリシーの適用および認証のためのチャレンジの発行 ( セキュリティストリングスまたはワンタイムパスワード ) を行います VPN Web クラウド デスクトップ (VDI) アプリケーション Swivel コア デバイス SMS モバイルアプリ トークン ブラウザ まず ユーザーアプリケーション ( またはエージェント ) が Swivel サーバーに認証要求を行います エージェントは SSLVPN サーバーであったり Web サイトにインストールされたエージェントソフトウェアであったり デスクトップやクラウドサービスで認証を行う Web アプリケーションであったりします 要求に対し Swivel は様々な方法でユーザーにセキュリティストリングスを配信します 認証を要求してきた Web フォーム内にセキュリティストリングスを表示 セキュリティストリングスをテキストメッセージでユーザーのモバイルデバイスに送信 ユーザーが登録したモバイルアプリケーションにセキュリティストリングスをダウンロード 認証の要求とセキュリティストリングスの配信は 別々の論理チャネルを経由して行うことができます Swivel はユーザーの Swivel アカウントに関連したデータを保持するユーザーデータベースを持っています Swivel サーバーを Active Directory のようなユーザーデータベースと同期させることにより 企業が必要とする Swivel アカウントを簡単に作り出すことができます

その他 手動でユーザーアカウントを作成したり Swivel Admin API を使って作成された外部アプリケーションを使ってアカウントを作成することもできます 異なるエージェント Swivel サーバーの構成 エンドユーザーデバイスのサポートなど 基本的な Swivel モデルは幅広い異なる形態の認証モデルをサポートします 以下にいくつかの例を示します 企業向け VPN アクセス 強力な認証 このモデルは VPN ソリューションとしては標準的なものです Swivel は Active Directory と同期し 必要に応じてユーザーデータベースを Swivel データベースとして生成します この場合のアプリケーションは VPN サーバーになります VPN サーバーのログオンページが TURing イメージを組み込むよう修正されます 1. ユーザーがユーザー名を入力し 認証セッションを開始します 2. ユーザーはセキュリティストリングスを要求し Swivel サーバーから受けとります セキュリティストリングスは Web ブラウザ上に TURing イメージとして表示されます 3. ユーザーがワンタイムパスワードを導き出し 入力します VPN サーバーが RADIUS プロトコルで Swivel サーバーに認証要求を送出します Swivel サーバーが RADIUS 経由で可か不可かを返します Web ポータルへのアクセス 二要素認証 このモデルは Web サイトや Web アプリケーションを保護するための Swivel の利用としては より一般的かも知れません ユーザーがポータルに登録した際にポータルが Swivel アカウントを生成します ユーザーがポータルのページにアクセスすると Swivel フィルターが認証が必要かどうかを判断します 認証が必要であれば そのユーザーはログオンページにリダイレクトされます 1. アカウント生成または事前の認証要求へのレスポンスとして Swivel サーバーは SMS 経由でセキュリティストリングスを送ります 2. ユーザーアプリケーションのログインページがユーザー名とワンタイムパスワードを要求します 3. ユーザーがワンタイムパスワードを入力し アプリケーションは Agent-XML API を使って認証要求を行い Swivel サーバーが結果を返します 4. Automatic モードでは ユーザーに自動的に新しいセキュリティストリングスが送信されます

セキュリティストリングスの配信 前項の例は Swivel サーバーが認証に際してセキュリティストリングスと PIN を使うことにより どのようにして強力な認証を実現しているかを説明したものです セキュリティストリングスがどのようにして 生成 配信 表示 されるかについては 様々な方法があります 本セクションでは Swivel の柔軟性を示すいくつかの方法と 認証を強化するためのやり方についてご説明します オンデマンドまたは事前配信 セキュリティストリングスは エージェントまたはアプリケーションがユーザーの認証要求をする度に発行して送ることもできますが 事前に送っておいて ユーザーがそれを求められたときにすぐに使えるようにしておくこともできます SMS を使った運用におけるデフォルト設定では ユーザーが認証を行う度に次回のためのセキュリティストリングスを事前に送っておくため ユーザーは有効なセキュリティストリングスを常に SMS の受信箱に持っていることになります このモデルでは Swivel サーバーはユーザーからの認証要求の度に ( その認証が受け付けられたか拒否されたかに関わらず ) 次回の認証のためのセキュリティストリングスを送っておきます こうして事前に発行されたセキュリティストリングスは それが使われるまで あるいは追加のセキュリティストリングスが要求されるまで有効です このほか ユーザーが認証を要求したときにのみ セキュリティストリングスを送るという運用もできます ( オンデマンドモード ) このモデルでは ユーザーの代わりにセキュリティストリングスを要求するエージェントが Swivel サーバーのセキュリティストリングスモジュールに要求を出します オンデマンドモードでセキュリティストリングスが要求された場合には 有効期間が設定されます 一定時間が経過すると そのセキュリティストリングスを使って認証を受けることはできなくなります オンデマンド方式のメリットは エージェントによるセキュリティ制御がきめ細かく行えることです アクセスしているサイトが本物であるときにのみセキュリティストリングスが発行されますから 偽のサイトを使ったフィッシング攻撃からの防御にも有効です このモデルをさらに拡張して ユーザーが有効なパスワードを入力しなければセキュリティストリングスが送られないように設定することも可能です

Swivel ではアプリケーションがセキュリティストリングスにコンテキスト情報を付け加えることが可能なため セキュリティをさらに強化できます 認証セッションはエージェントの管理下にあるため エージェントはユーザーが何のために認証を必要用としているかを把握できます 例えば あるユーザーが発注処理を行うために認証を行おうとしている場合 その情報をセキュリティストリングスの中に組み込むことができます $340 の発注のためのセキュリティストリングス といった具合です 複数か単独か セキュリティストリングスの事前送信の場合 一つずつ送るか 複数を一括で送るかを選ぶことができます 例えば Swivel Module Client は 99 個までのセキュリティストリングスをダウンロードできます SMS では 最大 10 個までのセキュリティストリングスを二つのメッセージに入れて送ることができます これにより 認証時にネットワーク接続が無くても認証を行うことができます デュアルチャネルかシングルチャネルか セキュリティストリングスをユーザーのログインダイアログの一部として ( 例えば VPN のログインページに表示するなど ) 表示したり 携帯電話やその他のデバイスに送ることができます 最初のケースでは セキュリティストリングスは認証と同じチャネルを使って送られるため シングルチャネルと呼ばれます 二番目のケースでは セキュリティストリングスは認証要求とは異なるチャネルを使って送られることになり これはデュアルチャネルということになります PIN を知るためには セキュリティストリングスとワンタイムパスワードの両方を知る必要があるため これら二つを別々のチャネルで送ることにより 傍受が難しくなります シングルチャネルモデルでは セキュリティストリングスは認証を要求してきたエージェントに対して送られます つまり セキュリティストリングスを要求してきたエージェントに対して TURing イメージが送られ そこで認証処理を行うということです デュアルチャネルモードでは セキュリティストリングスは別の論理チャネルを経由してユーザーに直接送られます これはコアプラットフォームがセキュリティストリングスをトランスポートモジュール経由で特定のデバイスに送ることで実現されるか ユーザーがモバイルネットワーク経由で特定のデバイスにセキュリティストリングスをダウンロードすることで実現されます 単一要素か二要素か 単一要素認証は 特定のユーザーがそのユーザーしか知らない情報を知っていることに依存しています 最も一般的な例がパスワードです 二要素認証では これにその他の要素を追加します 普通はそのユーザーが持っている物 例えばトークンなどです Swivel は単一要素にも二要素にも対応できる認証システムです 単一要素の運用ではセキュリティストリングスはユーザーや様々なデバイス上のエージェントで読み出されるため トークンは必要ありません 二つの要素を使った運用では セキュリティストリングスは登録した携帯電話など 特定のデバイスにのみ送られます 例えば SMS モードではセキュリティストリングスはユー

ザーのアカウントに関連づけられた携帯電話に対してのみの SMS メッセージとして送ることができます 認証のために特定の携帯電話 ( 第二の要素 ) を所持していることが必要で さらにワンタイムパスワードを抽出するための PIN( 第一の要素 ) を知っている必要があります 攻撃者が二要素認証を破るためには両方の要素を入手する必要があるため セキュリティ強度は単一要素認証より強力であるとされています Swivel と PINsafe を使った二要素認証の実装では PIN は認証プロセスの中で一度も入力されないため キーロガーなどによる抽出は無意味です セキュリティストリングスの生成 セキュリティストリングスは安全性と使いやすさをバランスさせるために 以下の様な様々な方法で生成されます OCR 攻撃に対抗するために 難読化された TURing イメージを生成 Swivel モバイルクライアント向けにプレーンテキストで生成 音声に変換して電話で送信 セキュリティストリングスを生成するアプリケーションにデータを提供 ポリシー ユーザーグループ Swivel は ユーザーを異なるグループに分離し グループ毎に異なる認証モデルを関連づけることのできる機能を持っており 非常に柔軟な運用が可能です 異なるユーザーグループには Swivel サーバー内で異なる権利を付与できます これにはどの認証モードを利用できるか ( 単一 SMS およびモバイルクライアント ) どのアプリケーションで認証を利用できるか などがあります ユーザーはどのアプリケーション 認証モデルを利用できるかについて 一つまたは複数のグループのメンバーとなります Swivel と Active Directory を使っている場合 ユーザーグループを Active Directory の既存のグループに合わせることができ これによって Active Directory から Swivel のユーザー権限の管理を直接行うことができます

結論 Swivel サーバーは柔軟で強力な認証システムとして設計されています 特定の認証トークンに頼らず トークンの管理やコストに悩まされることが無いため 導入や管理のための時間を劇的に削減できます 製品は非常に柔軟なため 同じ Swivel システム内で異なる認証ソリューションを異なるユーザーに提供でき 現在および将来の企業の認証システムへのニーズに末永く応えることができます また オープンな設計のため 他システムとの統合が容易で 企業内の様々な IT リソースと統合できます これらの特徴により Swivel は導入リスクの低い認証ソリューションとなっているのです Security Strings 合同会社 102-0082 東京都千代田区一番町 6 番地相模屋本社ビル 7F http://www.securitystrings.com/

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック