多要素認証が求められる背景と IceWall MFA概要

企業情報システムで今まさに起きている変化これまでケーブル中心の社内ネットワークこれから無線 LAN 中心の社内ネットワークほとんどのユーザー端末は基本的に Windows PC 社内で使うシステムは社内 LAN の中スマホ / タブレットも含めたマルチデバイスの利用企業でのクラウド資源の大幅活用仕事をするのは会社の中働き方改革と在宅勤務の推進コスト削減のための変化の抑制 ( いわゆる塩漬け ) ビジネスチャンス獲得のための積極的かつ能動的な変化 Copyright 2017-2018 Hewlett Packard Enterprise Development LP 4

認証に求められるセキュリティの変化これまで社内にある会社支給 PC のみ IT リソースにアクセス可能これからあらゆる場所あらゆる機器からあらゆる IT リソースへ実は扉壁人の目などの物理セキュリティに依存していたますます情報技術に基づく強固な認証セキュリティが要求されるパスワードだけの認証では十分に強固と言えなくなっている Copyright 2017-2018 Hewlett Packard Enterprise Development LP 5

標的型攻撃によってパスワードが盗難された事例出展 :IPA( 独立行政法人情報処理推進機構 ) 標的型攻撃メールの分析に関するレポートより <https://www.ipa.go.jp/files/000024771.pdf> 1 取引先になりすました偽メールが送られる 1 メール添付の PDF を開くと PDF Viewer の脆弱性を突き PC を乗っ取り 1 キーボードの打鍵を記録するマルウェアが埋め込まれパスワードも含めた全てのキー入力が攻撃者に送信されたメール経由の標的型攻撃によって送り込まれるマルウェアはウィルス対策ソフトでは探知されない場合も多く実際のビジネスメールを巧妙に装っているため感染防止が極めて難しい標的型攻撃の他にも総当り攻撃辞書攻撃ソーシャルエンジニアリングフィッシングなどによって比較的容易にパスワードが漏洩することが知られている Copyright 2017-2018 Hewlett Packard Enterprise Development LP 6

旧来の多要素認証ソリューションとその課題課題 IC カードなどの鍵デバイスによる認証ワンタイムパスワード指紋などの生体認証特定デバイスに強く依存しタブレットやスマホなどのマルチデバイスに対応出来ない認証方式が標準化されておらず一旦導入するとベンダロックされやすい多要素認証の導入にはアプリなど既存システム側の改修が必要改修できないアプリは認証強化できないアプリ種別やアクセス場所に応じた柔軟なポリシー設定が出来ない Copyright 2017-2018 Hewlett Packard Enterprise Development LP 7

これから求められる多要素認証ソリューションアプリの改修が不要で広い範囲に適用できる多要素認証 SaaS にも対応した多要素認証標準規格をベースに低コストでベンダロックされない多要素認証スマホやタブレットなどマルチデバイスに対応した多要素認証状況に応じて複数の認証方式を使い分けたい災害時の BCP 対策として自宅 PC などでも仕える多要素認証これらのご要望にお応えするのが IceWall MFA Copyright 2017-2018 Hewlett Packard Enterprise Development LP 8

IceWall MFA とは IceWall MFA はアプリケーションやクラウドサービスを改修せずに多要素認証 (Multi Factor Authentication) で認証を強化できるソリューションです IceWall MFA Office 365 salesforce.com ユーザー ( 多要素認証 ) クラウドサービス Password: + 認証認可 ID パスワードで認証複数の方式で認証強化他の方式で認証認証 DB IceWall MFA が認証認可を代行 Web アプリアプリクラウドの改修は不要 Copyright 2017-2018 Hewlett Packard Enterprise Development LP 10

ID/ パスワードだけでなく様々な認証方式を低コストで利用可能 Windows FIDO 準拠の認証デバイス FIDO U2F セキュリティキー等の標準デバイスが使用可能ワンタイムパスワード標準規格 (OATH) の HW/SW トークンが使用可能ブラウザートークン一度多要素認証を行った端末のブラウザーでは 2 回目以降の多要素認証を省略統合 Windows 認証その他 Windows Hello やマトリクス指静脈指紋 IC カード等にも対応可能また認証プラグインモジュールの追加によりその他個別の認証方式にも対応可能 FIDO Alliance(Fast IDentity Online Alliance) は生体認証などを利用した新しいオンライン認証技術の標準化を目指して発足した非営利の標準化団体業界団体 Copyright 2017-2018 Hewlett Packard Enterprise Development LP 11

認証方式を各種条件によって動的に決定認証ポリシーの設定に従って認証方式が動的に決定されます複数の方式の中からユーザーが選択することも可能ですアクセス元情報 HTTPヘッダー情報ブラウザークッキーの有無ユーザー属性情報他 IceWall MFA 認証ポリシー設定アクセス先情報コンテンツ URL http:// http:// https:// 認証方式を決定 ( 複数可 ) Windows Copyright 2017-2018 Hewlett Packard Enterprise Development LP 12

ポリシー例 : アクセス元に応じて認証方式を決定アクセス元 ( 社内 / 社外 ) によって認証方式を変える事ができます社内アクセスは ID/ パスワード認証のみ IceWall MFA 認証ポリシー設定 Web アプリ社内アクセス認証認可社外アクセスは ID/ パスワード + OTP 認証社外アクセス + 認証認可コンテンツ Copyright 2017-2018 Hewlett Packard Enterprise Development LP 13

ポリシー例 : アクセス先に応じて認証方式を決定アクセス先のコンテンツ (URL) によって認証方式を変える事ができます IceWall MFA Web アプリ通常コンテンツは ID パスワード認証のみ認証ポリシー設定認証認可通常コンテンツユーザー機密コンテンツは ID パスワード + FIDO デバイス認証 + Web アプリ認証認可機密コンテンツ Copyright 2017-2018 Hewlett Packard Enterprise Development LP 14

ポリシー例 : 特定コンテンツアクセス時に追加認証アクセス先のコンテンツに応じて異なる認証ポリシーを設定した場合二段階目以降の認証が設定されたコンテンツにアクセスした際に追加の認証が求められますユーザー操作の流れ IceWall MFA Web アプリ ID パスワードで認証閲覧可能認証ポリシー設定認証認可閲覧要求通常コンテンツ FIDO デバイスで追加認証 Blocked! 追加認証後に閲覧可能認証認可機密コンテンツ Copyright 2017-2018 Hewlett Packard Enterprise Development LP 15

Web アプリクラウドサービスの改修不要 IceWall MFA が Web アプリやクラウドサービスへのログインを代行します Web アプリやクラウドサービスの改修は不要なので広い範囲の Web アプリやクラウドサービスを容易に多要素認証化することができます今お使いの Web アプリやクラウドサービスが IceWall MFA を導入すると Web アプリやクラウドサービスを改修することなくそれらの認証を IceWall MFA が代行します既存 Web アプリ既存クラウド既存 Web アプリ既存クラウド Password: Password: Password: Password: Copyright 2017-2018 Hewlett Packard Enterprise Development LP 16

シングルサイオンシングルサインオン機能によって 1 回のログインで複数の Web アプリやクラウドサービスにアクセスする事ができます IceWall MFA ユーザー認証認可クラウドサービスログインは 1 回のみ認証 DB 1 回のログインで複数のアプリにアクセス可 Web アプリ Copyright 2017-2018 Hewlett Packard Enterprise Development LP 17

システム構成 IceWall MFA のシステムは各サーバー / モジュールから構成されます IceWall MFA サーバー代行認証 / アクセスユーザー IceWall MFA サーバー内各モジュール MFA プロキシモジュール Web アプリユーザー Web アプリ MFA コントローラーモジュール認証 DB IceWall 認証サーバー認証連携 IceWall Federation クラウドサービス IceWall 認証サーバー認証プラグイン MFA セルフサービスモジュール U2F プラグイン OTP プラグインブラウザートークンプラグイン統合 Windows 認証プラグインその他 3 rd Party 製も追加可能 Copyright 2017-2018 Hewlett Packard Enterprise Development LP 18

種々の 3rd Party 認証方式との容易な連携プラグイン仕様公開によるパートナーエコシステムテクノロジーパートナー各社が提供する様々な認証方式とプラグインによって容易に連携可能テクノロジーパートナー各社が提供する各種認証方式と IceWall MFA を連携させるためのプラグイン仕様を公開しますテクノロジーパートナーは公開された仕様に基づいてプラグインソフトウェアを開発すれば自社の独自認証を IceWall MFA の認証方式として利用可能です種々の認証方式を統合可能な認証プラットフォームとして利用可能です指紋認証 4 7 5 2 1 6 3 9 4 3 1 2 0 8 7 5 9 7 8 2 7 6 3 9 4 8 9 7 6 2 1 5 マトリックス認証 IceWall MFA 虹彩認証その他認証方式 Copyright 2017-2018 Hewlett Packard Enterprise Development LP 19

IceWall MFA の特長まとめ FIDO, OATH と言った標準規格の認証デバイスから選択して利用可能ベンダロックを避けることができ低コストの認証デバイスを利用可能タブレットやスマホなどマルチデバイスに対応した認証方式も選択可能アクセス先やアクセス元に応じて認証方式や要素数を変更可能セキュリティを重視したり利便性を重視したり利用シナリオによって柔軟な対応が可能 Web アプリケーションやクラウドを改修をすることなく多要素認証化が可能改修コスト不要で広い範囲に多要素認証を適用可能 3 rd Party 認証方式との容易な連携を可能にするプラグインより幅広い認証方式を選択可能 Copyright 2017-2018 Hewlett Packard Enterprise Development LP 21

認証方式 ( 多様な方式に対応 ) 実装状況実装済み開発中 (*2) 計画中 (*3) No 認証方式 *1: 組み合せに制限が存在する場合あり ( 対応ブラウザ他 ) *2: 提案可能 *3: 個別対応可能 IceWall MFA ID 識別認証 (*1) 追加認証 (*1) 種別 IceWall SSO 1 ID/ パスワード IceWall 製 2 統合 Windows 認証 - IceWall 製 3 OTP(OATH 準拠 ) - 3rd Party 製 4 メール OTP - IceWall 製 - 5 FIDO(U2F) - IceWall 製 - 6 マトリクス (PassLogic) - 3rd Party 製 - 7 ブラウザートークン ( 認証済み端末の登録 ) - IceWall 製 - 8 拡張機能 ( カスタムプラグイン開発環境 ) 3rd Party 製 9 IceWall Hello (FIDO2) IceWall 製 - 10 指静脈 - 3rd Party 製 - 11 IC カード - 3rd Party 製 - 12 指紋 - 3rd Party 製 - 13 クライアント証明書 - - 14 リスクベース - - Copyright 2017-2018 Hewlett Packard Enterprise Development LP 22

IceWall ソフトウェア検証環境評価キットのご紹介評価キット概要標準的な構成の IceWall ソフトウェアが導入された VMware 仮想マシンを検証用としてディスクイメージファイルでお貸し出しいたします仮想マシンをお客様の検証環境で稼働いただくことにより実際のアプリケーションと IceWall ソフトウェアを組み合わせた動作や操作方法運用イメージの確認をリアルな環境で実施いただけます IceWall ソフトウェア検証環境 ( 仮想マシン ) お貸し出しお客様のメリット仮想マシンを稼働させるだけで検証開始お客様環境で実際のアプリケーションを使用した動作確認が可能運用イメージや動作イメージを事前に把握し本番導入後のスムースな展開が可能評価キット内容以下のいずれかをご選択ください VMware 版メディア : 仮想マシンイメージ (VMware Playerで実行可 *1) 通常版メディア : インストールパッケージ ( インストール作業が必要 ) 製品マニュアルはどちらにも含まれています *1 本評価版は VMware Workstation Player 12.0. 以降 (Windows 版 ) 用の仮想マシンイメージとなっておりますので ESXServer 等でご利用いただく際は VMware vcenter Converter 等でコンバートいただく必要がありますお客様アプリ前提条件お客様検証環境原則としてメディアのお貸し出しは 1 か月間以内検証期間は 3 か月間以内とさせていただきます検証環境はお客様にてご用意いただきますお客様の検証環境で稼働させるために必要な設定等についてはお客様にて実施いただくことを想定しております事前にご利用目的を確認させていただきます場合によってはご希望に添えない事がございますのであらかじめご了承くださいお貸し出しには所定の申請書への記入捺印をお願いいたします Copyright 2017-2018 Hewlett Packard Enterprise Development LP 24

IceWall ソフトウェア検証環境評価キットのご紹介含まれるソフトウェア IceWall SSO 11.0 IceWall SSO 11.0 Dynamic Menu Portal IceWall SSO 11.0 Agent Option IceWall MFA 4.0( メール OTP オプション U2F オプション ) IceWall Identity Manager 5.0 IceWall MCRP 4.0 IceWall Federation 4.0 IceWall Federation Agent 3.0 IceWall SSO 10.0 Password Reset Option OpenLDAP 2.4(OS にバンドル ) IceWall Management Suite 6.0 (Setup Manager Console for SSO Console for Federation) ポータル画面イメージ IceWall SSO Dynamic Menu Portal ( リバースプロキシ方式 ) IceWall SSO パスワードリセットオプション ( リバースプロキシ方式 ) サンプルバックエンドサーバ ( リバースプロキシ方式 ) サンプル CGI ( 認証連携方式 ) サンプルサイト ( エージェント方式 ) ご利用を希望の場合はお問い合わせください IceWall Identity Manager IceWall SSO パスワードリセットオプション ( リバースプロキシ方式 ) IceWall SSO のマニュアル ( 評価用 ) はダウンロード版もご用意しています www.hpe.com/jp/icewall-download 多要素認証機能 + or IceWall MFA パスワード認証 + メール OTP 追加認証または FIDO U2F 追加認証 Copyright 2017-2018 Hewlett Packard Enterprise Development LP 25

お問い合わせおよび周辺サービスお電話でのお問い合わせ ( 日本ヒューレットパッカードカスタマーインフォメーションセンター ) 0120-268-186 / 03-5749-8279 ( 携帯電話 PHS から ) 受付時間 : 月曜日 ~ 金曜日 9:00-19:00 ( 土日祝祭日年末年始および5 月 1 日を除く ) Web フォームからのお問い合わせ http://www.hpe.com/jp/iw-contact 最新 / 詳細情報 IceWall MFA 公式サイト http://www.hpe.com/jp/icewall-mfa 技術レポート ( 新規レポート随時公開中!!) http://www.hpe.com/jp/iw-report カタログ http://www.hpe.com/jp/iw-catalog オンラインデモ http://www.hpe.com/jp/icewall-demo 評価用マニュアルダウンロード http://www.hpe.com/jp/icewall-download IceWall MFA 公式サイト各種サービス導入サービスコンサルティングサービスエンジニア様向け技術トレーニング海外拠点への導入コンサルティングサービス Copyright 2017-2018 Hewlett Packard Enterprise Development LP 27

Thank you