2018 年 11 月更新 ver.1.8 多要素認証が求められる背景と IceWall MFA 概要 日本ヒューレット パッカード株式会社 IceWall ソフトウェア本部 IceWall MFA 製品 Web www.hpe.com/jp/icewall-mfa Copyright 2017-2018 Hewlett Packard Enterprise Development LP
Agenda 多要素認証が求められる背景 IceWall MFA ご紹介 まとめ お問い合わせ Copyright 2017-2018 Hewlett Packard Enterprise Development LP 2
多要素認証が求められる背景 Copyright 2017-2018 Hewlett Packard Enterprise Development LP 3
企業情報システムで今まさに起きている変化 これまで ケーブル中心の社内ネットワーク これから 無線 LAN 中心の社内ネットワーク ほとんどのユーザー端末は基本的に Windows PC 社内で使うシステムは社内 LAN の中 スマホ / タブレットも含めたマルチデバイスの利用 企業でのクラウド資源の大幅活用 仕事をするのは会社の中 働き方改革と在宅勤務の推進 コスト削減のための変化の抑制 ( いわゆる 塩漬け ) ビジネスチャンス獲得のための積極的かつ能動的な変化 Copyright 2017-2018 Hewlett Packard Enterprise Development LP 4
認証に求められるセキュリティの変化 これまで 社内にある会社支給 PC のみ IT リソースにアクセス可能 これから あらゆる場所 あらゆる機器からあらゆる IT リソースへ 実は 扉 壁 人の目 などの物理セキュリティに依存していた ますます情報技術に基づく強固な認証セキュリティが要求される パスワードだけの認証では十分に強固と言えなくなっている Copyright 2017-2018 Hewlett Packard Enterprise Development LP 5
標的型攻撃によってパスワードが盗難された事例 出展 :IPA( 独立行政法人情報処理推進機構 ) 標的型攻撃メールの分析に関するレポート より <https://www.ipa.go.jp/files/000024771.pdf> 1 取引先になりすました偽メールが送られる 1 メール添付の PDF を開くと PDF Viewer の脆弱性を突き PC を乗っ取り 1 キーボードの打鍵を記録するマルウェアが埋め込まれ パスワードも含めた全てのキー入力が攻撃者に送信された メール経由の標的型攻撃によって送り込まれるマルウェアは ウィルス対策ソフトでは探知されない場合も多く 実際のビジネスメールを巧妙に装っているため 感染防止が極めて難しい 標的型攻撃の他にも 総当り攻撃 辞書攻撃 ソーシャルエンジニアリング フィッシングなどによって 比較的容易にパスワードが漏洩することが知られている Copyright 2017-2018 Hewlett Packard Enterprise Development LP 6
旧来の多要素認証ソリューションとその課題 課題 IC カードなどの鍵デバイスによる認証 ワンタイムパスワード 指紋などの生体認証 特定デバイスに強く依存し タブレットやスマホなどのマルチデバイスに対応出来ない 認証方式が標準化されておらず一旦導入するとベンダロックされやすい 多要素認証の導入にはアプリなど既存システム側の改修が必要改修できないアプリは認証強化できない アプリ種別やアクセス場所に応じた柔軟なポリシー設定が出来ない Copyright 2017-2018 Hewlett Packard Enterprise Development LP 7
これから求められる多要素認証ソリューション アプリの改修が不要で広い範囲に適用できる多要素認証 SaaS にも対応した多要素認証 標準規格をベースに低コストでベンダロックされない多要素認証 スマホやタブレットなどマルチデバイスに対応した多要素認証 状況に応じて複数の認証方式を使い分けたい 災害時の BCP 対策として自宅 PC などでも仕える多要素認証 これらのご要望にお応えするのが IceWall MFA Copyright 2017-2018 Hewlett Packard Enterprise Development LP 8
IceWall MFA ご紹介 Copyright 2017-2018 Hewlett Packard Enterprise Development LP 9
IceWall MFA とは IceWall MFA は アプリケーションやクラウドサービスを改修せずに 多要素認証 (Multi Factor Authentication) で認証を強化できるソリューションです IceWall MFA Office 365 salesforce.com ユーザー ( 多要素認証 ) クラウドサービス Password: + 認証 認可 ID パスワードで認証 複数の方式で認証強化 他の方式で認証 認証 DB IceWall MFA が認証 認可を代行 Web アプリ アプリ クラウドの改修は不要 Copyright 2017-2018 Hewlett Packard Enterprise Development LP 10
ID/ パスワードだけでなく 様々な認証方式を低コストで利用可能 Windows FIDO 準拠の認証デバイス FIDO U2F セキュリティキー 等の標準デバイスが使用可能 ワンタイムパスワード標準規格 (OATH) の HW/SW トークンが使用可能 ブラウザートークン一度多要素認証を行った端末のブラウザーでは 2 回目以降の多要素認証を省略 統合 Windows 認証 その他 Windows Hello やマトリクス 指静脈 指紋 IC カード等にも対応可能また認証プラグインモジュールの追加により その他個別の認証方式にも対応可能 FIDO Alliance(Fast IDentity Online Alliance) は 生体認証などを利用した新しいオンライン認証技術の標準化を目指して発足した非営利の標準化団体 業界団体 Copyright 2017-2018 Hewlett Packard Enterprise Development LP 11
認証方式を各種条件によって動的に決定認証ポリシーの設定に従って 認証方式が動的に決定されます 複数の方式の中からユーザーが選択することも可能です アクセス元情報 HTTPヘッダー情報 ブラウザークッキーの有無 ユーザー属性情報 他 IceWall MFA 認証ポリシー設定 アクセス先情報 コンテンツ URL http:// http:// https:// 認証方式を決定 ( 複数可 ) Windows Copyright 2017-2018 Hewlett Packard Enterprise Development LP 12
ポリシー例 : アクセス元に応じて認証方式を決定アクセス元 ( 社内 / 社外 ) によって認証方式を変える事ができます 社内アクセスは ID/ パスワード認証のみ IceWall MFA 認証ポリシー設定 Web アプリ 社内アクセス 認証 認可 社外アクセスは ID/ パスワード + OTP 認証 社外アクセス + 認証 認可 コンテンツ Copyright 2017-2018 Hewlett Packard Enterprise Development LP 13
ポリシー例 : アクセス先に応じて認証方式を決定アクセス先のコンテンツ (URL) によって認証方式を変える事ができます IceWall MFA Web アプリ 通常コンテンツは ID パスワード認証のみ 認証ポリシー設定 認証 認可 通常コンテンツ ユーザー 機密コンテンツは ID パスワード + FIDO デバイス認証 + Web アプリ 認証 認可 機密コンテンツ Copyright 2017-2018 Hewlett Packard Enterprise Development LP 14
ポリシー例 : 特定コンテンツアクセス時に追加認証アクセス先のコンテンツに応じて異なる認証ポリシーを設定した場合 二段階目以降の認証が設定されたコンテンツにアクセスした際に追加の認証が求めら れます ユーザー操作の流れ IceWall MFA Web アプリ ID パスワードで認証 閲覧可能 認証ポリシー設定 認証 認可 閲覧要求 通常コンテンツ FIDO デバイスで追加認証 Blocked! 追加認証後に閲覧可能 認証 認可 機密コンテンツ Copyright 2017-2018 Hewlett Packard Enterprise Development LP 15
Web アプリ クラウドサービスの改修不要 IceWall MFA が Web アプリやクラウドサービスへのログインを代行します Web アプリやクラウドサービスの改修は不要なので 広い範囲の Web アプリやクラウドサービスを容易に多要素認証化することができます 今お使いの Web アプリやクラウドサービスが IceWall MFA を導入すると Web アプリやクラウドサービスを改修することなくそれらの認証を IceWall MFA が代行します 既存 Web アプリ既存クラウド既存 Web アプリ 既存クラウド Password: Password: Password: Password: Copyright 2017-2018 Hewlett Packard Enterprise Development LP 16
シングルサイオンシングルサインオン機能によって 1 回のログインで複数の Web アプリやクラウドサービスにアクセスする事ができます IceWall MFA ユーザー 認証 認可 クラウドサービス ログインは 1 回のみ 認証 DB 1 回のログインで複数のアプリにアクセス可 Web アプリ Copyright 2017-2018 Hewlett Packard Enterprise Development LP 17
システム構成 IceWall MFA のシステムは 各サーバー / モジュールから構成されます IceWall MFA サーバー代行認証 / アクセス ユーザー IceWall MFA サーバー内各モジュール MFA プロキシモジュール Web アプリ ユーザー Web アプリ MFA コントローラーモジュール 認証 DB IceWall 認証サーバー 認証連携 IceWall Federation クラウドサービス IceWall 認証サーバー 認証プラグイン MFA セルフサービスモジュール U2F プラグイン OTP プラグイン ブラウザートークンプラグイン 統合 Windows 認証プラグイン その他 3 rd Party 製も追加可能 Copyright 2017-2018 Hewlett Packard Enterprise Development LP 18
種々の 3rd Party 認証方式との容易な連携プラグイン仕様公開によるパートナーエコシステムテクノロジーパートナー各社が提供する様々な認証方式と プラグインによって容易に連携可能 テクノロジーパートナー各社が提供する各種認証方式と IceWall MFA を連携させるための プラグイン 仕様を公開します テクノロジーパートナーは 公開された仕様に基づいてプラグインソフトウェアを開発すれば 自社の独自認証を IceWall MFA の認証方式として利用可能です 種々の認証方式を統合可能な 認証プラットフォーム として利用可能です 指紋認証 4 7 5 2 1 6 3 9 4 3 1 2 0 8 7 5 9 7 8 2 7 6 3 9 4 8 9 7 6 2 1 5 マトリックス認証 IceWall MFA 虹彩認証 その他認証方式 Copyright 2017-2018 Hewlett Packard Enterprise Development LP 19
まとめ Copyright 2017-2018 Hewlett Packard Enterprise Development LP 20
IceWall MFA の特長まとめ FIDO, OATH と言った標準規格の認証デバイスから選択して利用可能 ベンダロックを避けることができ 低コストの認証デバイスを利用可能 タブレットやスマホなど マルチデバイスに対応した認証方式も選択可能 アクセス先やアクセス元に応じて 認証方式や要素数を変更可能 セキュリティを重視したり利便性を重視したり 利用シナリオによって柔軟な対応が可能 Web アプリケーションやクラウドを改修をすることなく 多要素認証化が可能 改修コスト不要で 広い範囲に多要素認証を適用可能 3 rd Party 認証方式との容易な連携を可能にするプラグイン より幅広い認証方式を選択可能 Copyright 2017-2018 Hewlett Packard Enterprise Development LP 21
認証方式 ( 多様な方式に対応 ) 実装状況 実装済み 開発中 (*2) 計画中 (*3) No 認証方式 *1: 組み合せに制限が存在する場合あり ( 対応ブラウザ他 ) *2: 提案可能 *3: 個別対応可能 IceWall MFA ID 識別認証 (*1) 追加認証 (*1) 種別 IceWall SSO 1 ID/ パスワード IceWall 製 2 統合 Windows 認証 - IceWall 製 3 OTP(OATH 準拠 ) - 3rd Party 製 4 メール OTP - IceWall 製 - 5 FIDO(U2F) - IceWall 製 - 6 マトリクス (PassLogic) - 3rd Party 製 - 7 ブラウザートークン ( 認証済み端末の登録 ) - IceWall 製 - 8 拡張機能 ( カスタムプラグイン開発環境 ) 3rd Party 製 9 IceWall Hello (FIDO2) IceWall 製 - 10 指静脈 - 3rd Party 製 - 11 IC カード - 3rd Party 製 - 12 指紋 - 3rd Party 製 - 13 クライアント証明書 - - 14 リスクベース - - Copyright 2017-2018 Hewlett Packard Enterprise Development LP 22
評価キットのご紹介 Copyright 2017-2018 Hewlett Packard Enterprise Development LP 23
IceWall ソフトウェア検証環境評価キットのご紹介 評価キット概要 標準的な構成の IceWall ソフトウェアが導入された VMware 仮想マシンを 検証用としてディスクイメージファイルでお貸し出しいたします 仮想マシンをお客様の検証環境で稼働いただくことにより 実際のアプリケーションと IceWall ソフトウェアを組み合わせた動作や操作方法 運用イメージの確認を リアルな環境で実施いただけます IceWall ソフトウェア検証環境 ( 仮想マシン ) お貸し出し お客様のメリット 仮想マシンを稼働させるだけで検証開始 お客様環境で実際のアプリケーションを使用した動作確認が可能 運用イメージや 動作イメージを事前に把握し 本番導入後のスムースな展開が可能 評価キット内容 以下のいずれかをご選択ください VMware 版メディア : 仮想マシンイメージ (VMware Playerで実行可 *1) 通常版メディア : インストールパッケージ ( インストール作業が必要 ) 製品マニュアルはどちらにも含まれています *1 本評価版は VMware Workstation Player 12.0. 以降 (Windows 版 ) 用の仮想マシンイメージとなっておりますので ESXServer 等でご利用いただく際は VMware vcenter Converter 等でコンバートいただく必要があります お客様アプリ 前提条件 お客様検証環境 原則として メディアのお貸し出しは 1 か月間以内 検証期間は 3 か月間以内とさせていただきます 検証環境はお客様にてご用意いただきます お客様の検証環境で稼働させるために必要な設定等については お客様にて実施いただくことを想定しております 事前にご利用目的を確認させていただきます 場合によってはご希望に添えない事がございますのであらかじめご了承ください お貸し出しには所定の申請書への記入 捺印をお願いいたします Copyright 2017-2018 Hewlett Packard Enterprise Development LP 24
IceWall ソフトウェア検証環境評価キットのご紹介 含まれるソフトウェア IceWall SSO 11.0 IceWall SSO 11.0 Dynamic Menu Portal IceWall SSO 11.0 Agent Option IceWall MFA 4.0( メール OTP オプション U2F オプション ) IceWall Identity Manager 5.0 IceWall MCRP 4.0 IceWall Federation 4.0 IceWall Federation Agent 3.0 IceWall SSO 10.0 Password Reset Option OpenLDAP 2.4(OS にバンドル ) IceWall Management Suite 6.0 (Setup Manager Console for SSO Console for Federation) ポータル画面イメージ IceWall SSO Dynamic Menu Portal ( リバースプロキシ方式 ) IceWall SSO パスワードリセットオプション ( リバースプロキシ方式 ) サンプルバックエンドサーバ ( リバースプロキシ方式 ) サンプル CGI ( 認証連携方式 ) サンプルサイト ( エージェント方式 ) ご利用を希望の場合はお問い合わせください IceWall Identity Manager IceWall SSO パスワードリセットオプション ( リバースプロキシ方式 ) IceWall SSO のマニュアル ( 評価用 ) はダウンロード版もご用意しています www.hpe.com/jp/icewall-download 多要素認証機能 + or IceWall MFA パスワード認証 + メール OTP 追加認証または FIDO U2F 追加認証 Copyright 2017-2018 Hewlett Packard Enterprise Development LP 25
お問い合わせ Copyright 2017-2018 Hewlett Packard Enterprise Development LP 26
お問い合わせおよび周辺サービス お電話でのお問い合わせ ( 日本ヒューレット パッカードカスタマー インフォメーションセンター ) 0120-268-186 / 03-5749-8279 ( 携帯電話 PHS から ) 受付時間 : 月曜日 ~ 金曜日 9:00-19:00 ( 土 日 祝祭日 年末年始および5 月 1 日を除く ) Web フォームからのお問い合わせ http://www.hpe.com/jp/iw-contact 最新 / 詳細情報 IceWall MFA 公式サイト http://www.hpe.com/jp/icewall-mfa 技術レポート ( 新規レポート随時公開中!!) http://www.hpe.com/jp/iw-report カタログ http://www.hpe.com/jp/iw-catalog オンラインデモ http://www.hpe.com/jp/icewall-demo 評価用マニュアルダウンロード http://www.hpe.com/jp/icewall-download IceWall MFA 公式サイト 各種サービス 導入サービス コンサルティングサービス エンジニア様向け技術トレーニング 海外拠点への導入 コンサルティングサービス Copyright 2017-2018 Hewlett Packard Enterprise Development LP 27
Thank you