Thales banner

二要素認証 (2FA) ソリューション

概要

二要素認証方法はさまざまなテクノロジーに基づいており、その中でもワンタイムパスワード(OTP)と 公開鍵基盤(PKI)が最も一般的です。両者の違いは何でしょうか?また、企業はどちらを用いるべきでしょうか?

ワンタイムパスワード

ワンタイムパスワード(OTP)は「対称」認証の1つで、認証サーバーと、ユーザーが所有するハードウェアトークンまたはソフトウェアトークンの2か所で同時に生成されます。トークンによって生成されたOTPが認証サーバーによって生成されたOTPと一致する場合、認証は成功し、アクセスが許可されます。

PKI認証

PKI認証は、異なる暗号鍵のペア、つまり秘密暗号鍵と公開暗号鍵に依存するため、「非対称」認証の形式となります。スマートカードやUSBトークンといったハードウェアPKIの証明書ベースのトークンは、秘密暗号鍵を安全に保存するように設計されています。例えば、企業ネットワークサーバーに対して認証を行う場合、サーバーは数値の「チャレンジ」を発行します。そのチャレンジは、秘密暗号鍵を使用して署名されます。署名されたチャレンジと(ネットワークサーバーに認識されている)公開暗号鍵の間に数学的な相関関係または「一致」がある場合、認証は成功し、ネットワークへのアクセスが許可されます。(この説明は非常に単純化されたものです。詳細については、Simon Singh氏によるThe Science of Secrecyの動画をご覧ください。)

シングルサインオン

シングルサインオン(SSO) + 多要素認証(MFA) + アクセス管理

すべての機能が1つになったプラットフォーム

使用すべき強力かつ最適な認証方法とは?

認証について言えば、1 種類ですべての要求に応えられるものはありません。組織に最適な方法を選択する際には、以下の点に注意してください。

適切なセキュリティ水準

例えば、OTPアプリを使用したOTP認証は、ほとんどの企業のユースケースに十分な保護を提供しますが、電子政府や電子医療など、より高いレベルの保証を必要とする業種では、法律によりPKIセキュリティの使用が義務付けられている場合があります。

業界標準と義務

PKI認証では、秘密暗号鍵が使用されます。この鍵は、ハードウェアトークンに保存されている場合は転送できません。その非対称性から、PKIは世界の多くの地域で、より高い保証が求められるユースケースに使用されています。ただし、OTPのセキュリティもまた、米国のヘルスケア業界といった多くのセクターでますます認識されるようになっており、FIPS準拠のOTPアプリを使用すればDEAのEPCS要件を満たします。

実装するハードウェアまたはソフトウェアトークンは、業界関連規制に応じて、北米のFIPS 140-2または世界の他地域のコモンクライテリアに準拠する必要があります。

物理的および論理的アクセス

物理的アクセスと論理的アクセスの組み合わせが必要な場合は、RFIDベースの物理的アクセス制御をサポートするハードウェアトークンが推奨される場合があります。詳細については、物理的および論理的アクセス制御ソリューションのページをご覧ください。

多要素認証

使用されている二要素認証技術を問わず、さまざまなデバイスや動作ベースの変数など、ログイン試行の追加のコンテキスト属性を評価するときにセキュリティを高めることができます。詳細については、コンテキストベース認証のページをご覧ください。

さまざまな脅威ベクトルを軽減

さまざまな認証技術を使用すると、さまざまな脅威に対抗するのに効果的です。認証方法とそれらが対抗する脅威についての調査は、認証技術の調査に関するホワイトペーパーをダウンロードしてご覧ください。

コスト

実装および管理コスト

OTP認証は従来、より手頃な価格で利用でき、簡単かつ迅速に実装できます。これは、ユーザーごとに認証局からPKIデジタル証明書を購入する必要があるPKIインフラストラクチャをセットアップする必要がないためです。OTPアプリを利用するOTP認証は、ユーザーのモバイルデバイスやデスクトップにインストールできますが、PKI認証では、秘密暗号鍵を安全に保つために、ユーザーごとにハードウェアトークンを取得する必要があります。そのため、OTP認証は通常、展開コストが低く、ITスタッフに必要となる時間と労力が少なくて済みます。

ソフトウェアトークンを使用すると、PKIベースであってもOTPベースであっても、トークンを無線で交換できるため、交換用のハードウェアトークンの配送にかかるコストを削減できます。

現在のトークン投資を保持

PKIベースかOTPベースかにかかわらず、二要素認証ソリューションをすでに展開している組織は、現在の投資を維持する方法を模索するかもしれません。
PKIトークンがすでに実装されている場合、組織は、ニーズの変化に対応するために実装を拡張または進化させることができます。この目的を達成するため、 SafeNet IDPrime VirtualFIDOデバイスといった進化したモバイルテクノロジーを使用することで、組織は現在のトークンへの投資を保持し、既存のPKIインフラストラクチャを活用できるようになる可能性があります。
OTPトークンがすでに展開されている場合、組織は、サードパーティのトークンとRADIUSサーバーをサポートするソリューションを探すか、既存の標準ベースのトークンを新しいソリューションにインポートできるソリューション(OATHベースのトークンなど)を探すことで、現在の投資を維持できます。

ユーザビリティ

従業員のモビリティが高い組織や、パートナーやコンサルタントに強力な認証を拡張する組織は、ますます透過的な認証方法を模索する可能性があります。ソフトウェアとモバイルベースのトークン、またトークンレスソリューションは、安全なモビリティイニシアチブの実践を推進するより便利な認証方法を提供します。

SafeNet Trusted Access

SafeNet Trusted Access

SSOを使用したクラウドアプリのセキュリティ保護がいかに簡単な操作なのかをご覧ください

包括的なアクセスポリシーから、きめ細かなアクセスポリシーに簡単に移行できます。

次のステップに進みましょう!

二要素認証製品

SafeNet OTP 認証システム:タレスはハードウェア、ソフトウェア、モバイルベースのOTP認証システムを幅広く提供し、企業がオンプレミス、クラウドベース、リモート、仮想環境などの企業用ソリューションの保護に際して、さまざまな保証レベルを満たせるようにします。
詳細を見る

タレス SafeNet OOB 認証システム:プッシュ通知、SMS、Eメールを介して帯域外認証を実行するタレスの帯域外認証システムは、アクセスされているチャネルとは別の通信チャネルを利用してワンタイムパスコードを配信し、セキュリティとユーザー利便性の両方を向上させます。
詳細を見る

物理的および論理的アクセス制御:物理的アクセス制御と論理的アクセスを組み合わせることにより、組織は、機密性の高いネットワークやアプリケーションへのアクセスを保護しながら、オフィスへの物理的アクセスのセキュリティと、産業・製造サイトのセキュリティを確保します。
詳細を見る

PKI 認証システム:タレスが提供するSafeNetの証明書ベースのPKIトークンにより、さまざまなリソースや、デジタル署名、Eメール暗号化、二要素認証といった高度なセキュリティアプリケーションへの安全なアクセスが可能になります。
詳細を見る

二要素認証に関するよくある質問

多要素認証(2FA)は、ユーザーの本人確認を行います。個人の身分証明要素が多いほど、認証の信頼性は高くなります。

二要素認証の使用目的

銀行には簡単なパスワードで預金口座にアクセスできないようにしてもらいたいのと同様に、追加の認証要素を提供するよう従業員に依頼することで、リソースを確実に保護する必要があります。これにより従業員のIDが保証され、ログイン資格情報が簡単にハッキングされたり盗まれたりするのを防ぎます。重要資産(VPN、Citrix、Outlook Web Access、クラウドアプリケーションなど)へのアクセスを、たった1つの要素(弱いパスワードの場合が多い)だけで許可したくはないはずです。

二要素認証は、ID盗難、フィッシング、オンライン詐欺などのさまざまなセキュリティ攻撃の可能性を大幅に減らすことによって、重要なリソースの保護を強化します。

仕組み

個人の身元を検証するために使用できる認証方法には、さまざまな種類があります。SafeNetは広範な認証方法とフォームファクタを提供することで、ユーザーが多数のユースケース、保証レベル、脅威ベクトルに対応できるようにします。

  • ハードウェアベース認証 - ユーザーが物理的に所有する追加のハードウェア。これがないと、認証はできません。
  • アウトオブバンド認証 - ユーザーがすでに所有し、SMSまたはEメールで情報を安全に受信するために使用できるハードウェア。
  • ソフトウェアベース認証 - このタイプの認証方法では、ユーザーのコンピューター、スマートフォン、モバイルデバイスにソフトウェアアプリケーションを展開します。
  • ワンタイムパスワード(OTP) - トークン、モバイルデバイス、グリッドベースの認証のいずれであっても、重要なアプリケーションやデータに対してユーザーを適切に認証するための、動的なワンタイムパスワード(OTP)を生成します。
  • 証明書ベースの認証システム(CBA)USBトークン - 安全なリモートアクセスに加え、デジタル署名、パスワード管理、ネットワークログオン、物理的アクセスと論理的アクセスの共用といった高度なアプリケーションを提供します。
  • 証明書ベースの認証システム(CBA)スマートカードトークン - 従来のクレジットカードフォームファクタで強力な多要素認証を行い、PKIセキュリティとアクセス制御に関するニーズへの対応を可能にします。
  • ハイブリッド認証システム - ワンタイムパスワード、暗号化されたフラッシュメモリ、または証明書ベースのテクノロジーを、同一の強力な認証デバイスに組み合わせた認証システムです。

コンテキストベース認証とは?

コンテキストベース認証では、コンテキスト情報を使用してユーザーのIDが本物かどうかを確認します。他の強力な認証テクノロジーを補完するものとしてお勧めします。

SafeNetの次世代認証ソリューションは、IT管理者にアクセス制御への多層アプローチを提供します。管理者によって事前定義されたポリシールールを満たしている限り、従業員は企業向けアプリケーションとSaaSアプリケーションに簡単かつ安全にアクセスすることができます。ユーザーが適切なアクセスルールに準拠していない場合、アクセスを許可するために、追加の認証要素を提供するよう要求される場合があります。この認証要素は、組織ポリシーに応じて、SMS、電話トークンによって生成されたワンタイムパスコード、またはハードウェアトークンである場合があります。コンテキストベース認証に関するインフォグラフィックは、こちらをクリックしてご覧ください。

クラウド アプリケーションへのアクセスを保護しますか?

クラウド移行が進むにつれ従来のネットワークセキュリティ領域の境界が曖昧になります。そのため、企業は、分散した企業リソースに対して整合性のある統合されたアクセスポリシーを提供・実装し、管理するのに苦労しています。SaaSの採用が拡大するにつれて、企業アプリへのエントリポイントは単一ではなくなりました。

SafeNetの認証ソリューションは、企業がIDフェデレーションを通してクラウドへの安全なアクセスをシームレスに拡張できるようにすることで、これらの課題を克服します。 SafeNetのプラットフォームは、企業の既存の認証インフラストラクチャを活用して、ユーザーのオンプレミスIDをクラウドに拡張し、クラウドアプリケーションとネットワークアプリケーションの両方に統合されたアクセス制御ポリシーを実装できます。クラウドベースのSaaSアプリケーションとサービス向けの強力な認証について、さらに詳しくご覧ください。

二要素認証はモバイルワーカーと内勤社員それぞれのリスクレベルに合わせることができますか?

SafeNetは、仮想、クラウド、オンプレミスのすべてのリソースへのアクセス制御を定義・実施するための単一の管理ポイントを提供します。これにより、全リスクレベルで、モバイルワーカーを含むすべてのユーザーに二要素認証を拡張できます。

さまざまな認証方法とフォームファクタによって、ユーザーのさまざまなリスクレベルに対応します。そのため、企業ポータルにのみアクセスできる社員は、会社のIT管理者とは異なる認証方法/フォームファクタを持ちます。

2FAはBYOD採用とどのように連携しますか?

SafeNetは、モバイルデバイスからネットワークリソース、Eメール、VDIなどへの安全なアクセスを保証する複数の方法を提供しています。

  • ユーザー認証 - VPN、ワイヤレス、アクセスポイント、VDIを介して企業リソースにアクセスするユーザーを確実に識別します。
  • iOSデバイスの証明書資格認定 - デバイスが証明書でプロビジョニングされているユーザーのみが企業リソースにアクセスできます。
  • コンテキストベース認証によるデバイス認識 - モバイルブラウザからWebベースのアプリケーションにログインしている登録ユーザーを認識します。

SafeNet 認証ソリューションは、ユーザーにデバイスの登録を要求することにより、BYODシナリオでのアクセスを保護します。このようにして、組織は事前登録されたデバイスのみネットワークにアクセスさせたり、未登録デバイスのユーザーにワンタイムパスコードなどの追加の認証方法を求めるといった判断をすることがあります。

どのようにさまざまなニーズやソリューションを管理できますか?

SaaSアプリケーション、クラウドベースソリューション、オンプレミス環境への統一されたアクセスポリシーが必要です。モビリティの普及が進んだ今日の作業環境で、安全なアクセスを設定・維持するために不可欠です。

コストを削減し、価値を証明しなければならないというプレッシャーの下で、IT管理スタッフはTCOを削減するために絶え間なく努力しています。効率化された管理の具体例を挙げると、LDAP/Active Directoryと統合されたユーザー管理、プロビジョニング、シングルサインオン、強力な認証、認可、レポート、監査、およびポリシー アラートなどがあります。

SafeNetの一元管理型認証ソリューションは、以下をサポートする単一の管理プラットフォームを基準にしています。

  • 企業が支給するモバイルデバイスと私物のモバイルデバイスを使う社員のための安全なモビリティ環境
  • 企業ネットワークへの安全なリモート(VPN)アクセス
  • クラウドアプリケーションへの安全なアクセス
  • 仮想デスクトップインフラストラクチャ(VDI)への安全なアクセス
  • 安全なネットワークログオン
  • Webポータルへの安全なアクセス
  • プリブート認証やデジタル署名などの高度なセキュリティアプリケーション

二要素認証は、企業の断片化されたITエコシステムにどのように適合しますか?

断片化されたITエコシステムは、セキュリティとコンプライアンスの実現を妨げます。このような断片化された環境下で従業員の企業リソースへのアクセスを保護することは、決して簡単なことではありません。SafeNet 認証ソリューションは、ITエコシステム全体に整合性の取れたアクセス制御を適用する単一の管理ポイントを提供します。ユースケースにしっかり対応する当社のソリューションは、クラウド、VPN、VDI、Webポータル、LAN向けに100以上のシームレスですぐに使用可能な統合を提供します。

SafeNetは、以下を提供することにより、IT管理者がスムーズに管理できるように支援します。

  • 完全自動ワークフロー
  • 例外ソリューション管理
  • すべてのアクセスイベントの単一監査証跡
  • セルフサービスポータルの使用
  • あらゆるデバイスから安全にアクセス
  • ソフトウェアトークンのOTA(Over The Air:無線)ディスパッチ

エンドユーザーに負担をかけずに許容可能なアクセスセキュリティレベルを維持し、複数のデバイスをサポートする必要があります。このことから、組織はユーザーエクスペリエンスに与える影響を最小限に抑えるソリューションを採用しています。SafeNetは、クラウド向けの広範な2FAトークン、トークンレス認証方式、フェデレーションSSOを利用して、ユーザーにスマートな認証を提供します。

SafeNet MobilePASS Plus - Product Brief

SafeNet MobilePASS+ モバイル認証アプリ – プッシュおよびOTP - Product Brief

SafeNet MobilePASS+はプッシュ認証及びワンタイムパスワード認証を既存環境に適用する2要素(2経路)認証により、確実な本人確認を可能とします。

MobilePASS+を使用したモバイルデバイスでのプッシュ認証