二要素認証 (2FA) ソリューション

例えば、OTPアプリを使用したOTP認証は、ほとんどの企業のユースケースに十分な保護を提供しますが、電子政府や電子医療など、より高いレベルの保証を必要とする業種では、法律によりPKIセキュリティの使用が義務付けられている場合があります。

業界標準と義務

PKI認証では、秘密暗号鍵が使用されます。この鍵は、ハードウェアトークンに保存されている場合は転送できません。その非対称性から、PKIは世界の多くの地域で、より高い保証が求められるユースケースに使用されています。ただし、OTPのセキュリティもまた、米国のヘルスケア業界といった多くのセクターでますます認識されるようになっており、FIPS準拠のOTPアプリを使用すればDEAのEPCS要件を満たします。

実装するハードウェアまたはソフトウェアトークンは、業界関連規制に応じて、北米のFIPS 140-2または世界の他地域のコモンクライテリアに準拠する必要があります。

物理的および論理的アクセス

物理的アクセスと論理的アクセスの組み合わせが必要な場合は、RFIDベースの物理的アクセス制御をサポートするハードウェアトークンが推奨される場合があります。詳細については、物理的および論理的アクセス制御ソリューションのページをご覧ください。

多要素認証

使用されている二要素認証技術を問わず、さまざまなデバイスや動作ベースの変数など、ログイン試行の追加のコンテキスト属性を評価するときにセキュリティを高めることができます。詳細については、コンテキストベース認証のページをご覧ください。

さまざまな脅威ベクトルを軽減

さまざまな認証技術を使用すると、さまざまな脅威に対抗するのに効果的です。認証方法とそれらが対抗する脅威についての調査は、認証技術の調査に関するホワイトペーパーをダウンロードしてご覧ください。

実装および管理コスト

OTP認証は従来、より手頃な価格で利用でき、簡単かつ迅速に実装できます。これは、ユーザーごとに認証局からPKIデジタル証明書を購入する必要があるPKIインフラストラクチャをセットアップする必要がないためです。OTPアプリを利用するOTP認証は、ユーザーのモバイルデバイスやデスクトップにインストールできますが、PKI認証では、秘密暗号鍵を安全に保つために、ユーザーごとにハードウェアトークンを取得する必要があります。そのため、OTP認証は通常、展開コストが低く、ITスタッフに必要となる時間と労力が少なくて済みます。

ソフトウェアトークンを使用すると、PKIベースであってもOTPベースであっても、トークンを無線で交換できるため、交換用のハードウェアトークンの配送にかかるコストを削減できます。

現在のトークン投資を保持

PKIベースかOTPベースかにかかわらず、二要素認証ソリューションをすでに展開している組織は、現在の投資を維持する方法を模索するかもしれません。
PKIトークンがすでに実装されている場合、組織は、ニーズの変化に対応するために実装を拡張または進化させることができます。この目的を達成するため、 SafeNet IDPrime VirtualやFIDOデバイスといった進化したモバイルテクノロジーを使用することで、組織は現在のトークンへの投資を保持し、既存のPKIインフラストラクチャを活用できるようになる可能性があります。
OTPトークンがすでに展開されている場合、組織は、サードパーティのトークンとRADIUSサーバーをサポートするソリューションを探すか、既存の標準ベースのトークンを新しいソリューションにインポートできるソリューション（OATHベースのトークンなど）を探すことで、現在の投資を維持できます。

従業員のモビリティが高い組織や、パートナーやコンサルタントに強力な認証を拡張する組織は、ますます透過的な認証方法を模索する可能性があります。ソフトウェアとモバイルベースのトークン、またトークンレスソリューションは、安全なモビリティイニシアチブの実践を推進するより便利な認証方法を提供します。

銀行には簡単なパスワードで預金口座にアクセスできないようにしてもらいたいのと同様に、追加の認証要素を提供するよう従業員に依頼することで、リソースを確実に保護する必要があります。これにより従業員のIDが保証され、ログイン資格情報が簡単にハッキングされたり盗まれたりするのを防ぎます。重要資産（VPN、Citrix、Outlook Web Access、クラウドアプリケーションなど）へのアクセスを、たった1つの要素（弱いパスワードの場合が多い）だけで許可したくはないはずです。

二要素認証は、ID盗難、フィッシング、オンライン詐欺などのさまざまなセキュリティ攻撃の可能性を大幅に減らすことによって、重要なリソースの保護を強化します。

個人の身元を検証するために使用できる認証方法には、さまざまな種類があります。SafeNetは広範な認証方法とフォームファクタを提供することで、ユーザーが多数のユースケース、保証レベル、脅威ベクトルに対応できるようにします。

• ハードウェアベース認証 - ユーザーが物理的に所有する追加のハードウェア。これがないと、認証はできません。
• アウトオブバンド認証 - ユーザーがすでに所有し、SMSまたはEメールで情報を安全に受信するために使用できるハードウェア。
• ソフトウェアベース認証 - このタイプの認証方法では、ユーザーのコンピューター、スマートフォン、モバイルデバイスにソフトウェアアプリケーションを展開します。
• ワンタイムパスワード（OTP） - トークン、モバイルデバイス、グリッドベースの認証のいずれであっても、重要なアプリケーションやデータに対してユーザーを適切に認証するための、動的なワンタイムパスワード（OTP）を生成します。
• 証明書ベースの認証システム（CBA）USBトークン - 安全なリモートアクセスに加え、デジタル署名、パスワード管理、ネットワークログオン、物理的アクセスと論理的アクセスの共用といった高度なアプリケーションを提供します。
• 証明書ベースの認証システム（CBA）スマートカードトークン - 従来のクレジットカードフォームファクタで強力な多要素認証を行い、PKIセキュリティとアクセス制御に関するニーズへの対応を可能にします。
• ハイブリッド認証システム - ワンタイムパスワード、暗号化されたフラッシュメモリ、または証明書ベースのテクノロジーを、同一の強力な認証デバイスに組み合わせた認証システムです。

コンテキストベース認証では、コンテキスト情報を使用してユーザーのIDが本物かどうかを確認します。他の強力な認証テクノロジーを補完するものとしてお勧めします。

SafeNetの次世代認証ソリューションは、IT管理者にアクセス制御への多層アプローチを提供します。管理者によって事前定義されたポリシールールを満たしている限り、従業員は企業向けアプリケーションとSaaSアプリケーションに簡単かつ安全にアクセスすることができます。ユーザーが適切なアクセスルールに準拠していない場合、アクセスを許可するために、追加の認証要素を提供するよう要求される場合があります。この認証要素は、組織ポリシーに応じて、SMS、電話トークンによって生成されたワンタイムパスコード、またはハードウェアトークンである場合があります。コンテキストベース認証に関するインフォグラフィックは、こちらをクリックしてご覧ください。

クラウド移行が進むにつれ従来のネットワークセキュリティ領域の境界が曖昧になります。そのため、企業は、分散した企業リソースに対して整合性のある統合されたアクセスポリシーを提供・実装し、管理するのに苦労しています。SaaSの採用が拡大するにつれて、企業アプリへのエントリポイントは単一ではなくなりました。

SafeNetの認証ソリューションは、企業がIDフェデレーションを通してクラウドへの安全なアクセスをシームレスに拡張できるようにすることで、これらの課題を克服します。 SafeNetのプラットフォームは、企業の既存の認証インフラストラクチャを活用して、ユーザーのオンプレミスIDをクラウドに拡張し、クラウドアプリケーションとネットワークアプリケーションの両方に統合されたアクセス制御ポリシーを実装できます。クラウドベースのSaaSアプリケーションとサービス向けの強力な認証について、さらに詳しくご覧ください。

SafeNetは、仮想、クラウド、オンプレミスのすべてのリソースへのアクセス制御を定義・実施するための単一の管理ポイントを提供します。これにより、全リスクレベルで、モバイルワーカーを含むすべてのユーザーに二要素認証を拡張できます。

さまざまな認証方法とフォームファクタによって、ユーザーのさまざまなリスクレベルに対応します。そのため、企業ポータルにのみアクセスできる社員は、会社のIT管理者とは異なる認証方法/フォームファクタを持ちます。

SafeNetは、モバイルデバイスからネットワークリソース、Eメール、VDIなどへの安全なアクセスを保証する複数の方法を提供しています。

• ユーザー認証 - VPN、ワイヤレス、アクセスポイント、VDIを介して企業リソースにアクセスするユーザーを確実に識別します。
• iOSデバイスの証明書資格認定 - デバイスが証明書でプロビジョニングされているユーザーのみが企業リソースにアクセスできます。
• コンテキストベース認証によるデバイス認識 - モバイルブラウザからWebベースのアプリケーションにログインしている登録ユーザーを認識します。

SafeNet 認証ソリューションは、ユーザーにデバイスの登録を要求することにより、BYODシナリオでのアクセスを保護します。このようにして、組織は事前登録されたデバイスのみネットワークにアクセスさせたり、未登録デバイスのユーザーにワンタイムパスコードなどの追加の認証方法を求めるといった判断をすることがあります。

SaaSアプリケーション、クラウドベースソリューション、オンプレミス環境への統一されたアクセスポリシーが必要です。モビリティの普及が進んだ今日の作業環境で、安全なアクセスを設定・維持するために不可欠です。

コストを削減し、価値を証明しなければならないというプレッシャーの下で、IT管理スタッフはTCOを削減するために絶え間なく努力しています。効率化された管理の具体例を挙げると、LDAP/Active Directoryと統合されたユーザー管理、プロビジョニング、シングルサインオン、強力な認証、認可、レポート、監査、およびポリシー アラートなどがあります。

SafeNetの一元管理型認証ソリューションは、以下をサポートする単一の管理プラットフォームを基準にしています。

• 企業が支給するモバイルデバイスと私物のモバイルデバイスを使う社員のための安全なモビリティ環境
• 企業ネットワークへの安全なリモート（VPN）アクセス
• クラウドアプリケーションへの安全なアクセス
• 仮想デスクトップインフラストラクチャ（VDI）への安全なアクセス
• 安全なネットワークログオン
• Webポータルへの安全なアクセス
• プリブート認証やデジタル署名などの高度なセキュリティアプリケーション

断片化されたITエコシステムは、セキュリティとコンプライアンスの実現を妨げます。このような断片化された環境下で従業員の企業リソースへのアクセスを保護することは、決して簡単なことではありません。SafeNet 認証ソリューションは、ITエコシステム全体に整合性の取れたアクセス制御を適用する単一の管理ポイントを提供します。ユースケースにしっかり対応する当社のソリューションは、クラウド、VPN、VDI、Webポータル、LAN向けに100以上のシームレスですぐに使用可能な統合を提供します。

SafeNetは、以下を提供することにより、IT管理者がスムーズに管理できるように支援します。

• 完全自動ワークフロー
• 例外ソリューション管理
• すべてのアクセスイベントの単一監査証跡
• セルフサービスポータルの使用
• あらゆるデバイスから安全にアクセス
• ソフトウェアトークンのOTA（Over The Air：無線）ディスパッチ

エンドユーザーに負担をかけずに許容可能なアクセスセキュリティレベルを維持し、複数のデバイスをサポートする必要があります。このことから、組織はユーザーエクスペリエンスに与える影響を最小限に抑えるソリューションを採用しています。SafeNetは、クラウド向けの広範な2FAトークン、トークンレス認証方式、フェデレーションSSOを利用して、ユーザーにスマートな認証を提供します。