【ニュース】i-Sprintから新世代認証トークンYESsafeがリリース

YESsafe モバイルトークン

モバイルデバイスが認証/認可のためのデバイスに変わります

YESsafeモバイルトークンは、ワンタイムパスワード(OTP)やPKI/デジタル証明書と言った技術を利用した新世代のオールインワンのモバイルセキュリティトークンで、強固な認証およびトランザクションの認可を目的としています。トランザクションサイニングだけではなく、否認不可(non-repudiation)やデータ完全性(data integrity)を実装していて、モバイルデバイスの高度な機能を活用し、セキュリティ保護と使いやすさを提供します。

Yessafe

機能:

オールインワンのモバイル OTP / PKI トークン

認証およびトランザクション・サイニングにおいてOTPとPKIの両方をサポート、”What you see What you sign” 機能を実装。OTPの機能には以下が含まれます:

• レスポンスのみのOTPトークン
• チャレンジ-レスポンス OTPトークン
• トランザクション・サイニング用OTPトークン

スマート・トランザクション・データ・キャプチャ

認証および認可のためのモバイルトークンに、どの配信チャネルからでもトランザクション情報をトランスファーするため、モバイルデバイスのカメラ、ブルートゥース、NFC、データ通信といった機能を利用し、QRコードまたはプッシュ通知経由で、トランザクションの内容をキャプチャします。ユーザーは、従来のトークンでであるような必要な情報を入力するという必要がなくなります。

アウト・オブ・バンド(別経路)の認証および認可

モバイルデバイスのデータ通信の機能を利用して、OTPやトランザクション・サイニング・データなどの認証/認可情報を、認証・認可のためにトランザクションを始めたチャネルとは別のチャネルを使って、トランスファーします。

完全なトークン管理および認証ソリューション

実績あるAccessMatrix Universal Authentication Serverと連携し、認証機能とともに、完全なトークン管理および認証ソリューションを提供します。

トークンシード、デジタル証明書、アプリケーションの保護

ユーザーがトークンの個人用設定情報、関連するトークンシード、デジタル証明書をダウンロードできるカスタマイズ可能なセルフサービスポータルを提供します。

柔軟なセルフサービス機能

ユーザーが、ポータル内でのSSOの便利さや同じモバイルデバイス上でのほかのアプリケーションへのSSOを享受することができるよう、モバイルデバイス上でモバイルSSOプラットフォームを実現します。

コンテクスチュアル認証が可能

YESsafeモバイルトークンとAccessMatrix UASサーバでは、認証処理における信頼度を上げるために、様々なコンテクスチュアルデータ(例えば、地理的位置、時刻、エンドポイントの識別)を利用し、コンテクスチュアル認証機能を実現しています。クレデンシャルや属性をベースにする現在のアプローチを拡張し、ユーザー認証処理の間に、ユーザーの主張するアイデンティティを確認します。

トークンのレイアウトデザインが設定可能

お客様がトークンのレイアウトをカスタマイズするためのToken Design Toolを提供します。
•レイアウトと色のスキーム
•カード確認機能
•ラベル付け – データ連携のためのシステムおよびユーザーの定義するフィールド

地理的位置および時間ベースの制限

認証要件を決定するために、モバイルデバイスをベースにした、例えば、GSMロケーション、IPアドレス、iBeaconのような位置検知デバイス、時間ベースの情報といった外部情報を使って、地理的位置を決定します。

デバイス・フィンガープリント

デバイス識別の目的のために、モバイルデバイスに関する固有の情報をキャプチャし、同じ情報をデータ暗号化およびデバイスやアプリケーションのクローニングの回避のために利用します。モバイルデバイスの状態、例えば、ジェイルブレイク、OSバージョンなどを検知し、適切な認証要件を決定します。

ユーザーグループのタグ付け(高リスク、中リスク、低リスク)

ユーザーのグループ情報を使い、適切な認証方法を決定します。

ルールベースのリスク・スコアリング・エンジン

ルールベースのリスク・スコアリング・エンジンを組み入れ、リスクレベルを決定し、認証処理のコンテクスチュアルをベースにした適切な認証方法を使います。

信頼度向上とステップアップ認証

より高い信頼レベルの要件を持つリソースへのアクセスには、ステップアップ認証処理を適用できます。

パスワードポリシーを守ったパスワード管理とはなんだろう?

パスワードは常に盗まれる可能性があることは「あなたの重要なパスワードはなぜ盗まれるか?そしてどうすればいいのかを考える。」で説明した。

インターネットが普及する前からスーパーコンピュータを利用する場合のアクセスでもログインするためにはパスワードが必要だった。たびたびパスワードが盗まれて悪用されていたことから、いかにパスワードが盗まれないか?について語られてきている。

ここではパスワードが盗まれないようにするためのルールとして昔から言われているパスワードポリシーについて説明したい。 “パスワードポリシーを守ったパスワード管理とはなんだろう?” の続きを読む

シングルサインオンの仕組みについて(代理入力方式編)

シングルサインオンの仕組みについては今まで何回かに分けて説明をしてきたが今回はユーザーの代わりにIDとパスワードを入力する方式について説明をしたい。

現在、ユーザーの代わりにログイン情報はWebに対応しているリバースプロキシー型web SSOとWeb以外にも対応しているエンタープライズシングルサインオン(ESSO)がある。どちらも一長一短があるため、それについて説明を行う。 “シングルサインオンの仕組みについて(代理入力方式編)” の続きを読む

シングルサインオン導入のメリット

今までシングルサインオンについての周辺情報を整理して書いてきたが、そもそもなぜシングルサインオンを導入するのか整理してみたい。

いままでのいくつかの記事で指摘したとおり、エンドユーザーにとっては覚えて運用することが難しいパスワードをユーザーの代わりに覚えてくれるか、または覚えるパスワードを少なくするのがシングルサインオン導入のメリットであると説明をしてきたが、(リンク)それだけであればコンシューマーで利用されているパスワード管理ソフトを導入すればいいが、運用上いくつかの課題があるため規模が大きい組織ほどそのような製品は導入されないと考えられる。

ここでは企業でシングルサインオンを導入するメリットについて説明してみたい。 “シングルサインオン導入のメリット” の続きを読む

企業向けにパスワード管理ソフトが必要ならエンタープライズシングルサインオン!

コンシューマーでも最近パスワード管理ソフトを利用したり、ブラウザーについているパスワード管理ツールを使っている人が多いのではないだろうか?

そのようなツールを利用しない場合、ある一つだけのパスワードを使いまわすのが普通に行われていると思うが、それだとセキュリティーリスクが高くなることは以前書いた「あなたの重要なパスワードはなぜ盗まれるか?そしてどうすればいいのかを考える。」を参照していただきたい。

プライベートで使用している端末ではパスワード管理ソフトなどを入れることが可能であるが、企業ユースでパスワード管理ソフトウェアの代わりになるのがエンタープライズシングルサインオン(ESSO)である。

弊社では「AccessMatrix™ Universal Sign-On (USO) 」がエンタープライズシングルサインオン製品にあたる。 “企業向けにパスワード管理ソフトが必要ならエンタープライズシングルサインオン!” の続きを読む

企業ユースであればシングルサインオンは二要素認証(多要素認証)と併用するべき

シングルサインオンを導入するとパスワードをいちいちユーザーはすべてのアプリケーションのパスワードを覚える必要がなくなる。パスワードを一回入力しシングルサインオンにログインができるとすべてのアプリケーションが使えるようになる。

シングルサインオンにログインするパスワードをたったひとつ盗まれただけですべてのアプリケーションがログインされるようになり、ユーザーの利便性は上がったが、セキュリティに対する脅威は逆により危険になったと解釈することもできるだろう。

keyring

シングルサインオンはたとえるとキーフォルダーのようなもので不正にとられた場合悪用されることになるだろう。

そのような脅威を防ぐために複数回認証をする仕組みがあり、その方式は二要素認証とよばれる。もちろん2回だけでは足らないのでそれ以上の認証を行わせることもできそれは多要素認証と呼ばれる。

シングルサインオンとニ要素認証の組み合わせは絶対必要と言うわけではないが、導入は考えたほうがよい。 “企業ユースであればシングルサインオンは二要素認証(多要素認証)と併用するべき” の続きを読む

シングルサインオンの仕組みについて (websso編)

弊社が扱っているUSOではWebポータルやWebSSOシステムを使うために使用される認証をマスターにして利用することが可能である。

AccessMatrix™ Universal Sign-On (USO) WebSSO/ ポータルとの統合ログイン

ただUSO自体はwebssoの機能が持たないのであるが、上のページではwebssoをキーワードにして訪問される方も結構いらっしゃるようなのでこちらのほうで非常に簡単ではあるが説明してみたいと思う。 “シングルサインオンの仕組みについて (websso編)” の続きを読む

シングルサインオンの仕組みについて (基本編)

シングルサインオンといっても手法がさまざまあるので一口に言ってもわかりにくいと思うのでこれを機会に説明を行いたいと思う。

シングルサインオンはかなり歴史がある分野なのであるが、その分さまざまな手法があり一概にシングルサインオンといっても多くの人に理解されていないのではないだろうかと考えている。

弊社ではシングルサインオンの製品を結構前からあつかっており、いくつかの事例がある。

弊社の長年の経験から申し上げれば、弊社で扱っているAccessMatrix™ Universal Sign-On (USO)が採用している代行入力型シングルサインオン製品の導入を推薦する。

理由は、既存の環境を全く変えることなく導入ができ導入コストが他の方式と比較して大幅に安価であるからだ。

以下にシングルサインオン製品のの基本的な考え方について説明する。

シングルサインオンはなぜ必要か?

そもそもシングルサインオンはなぜ必要なのだろうか

“シングルサインオンの仕組みについて (基本編)” の続きを読む

あなたの重要なパスワードはなぜ盗まれるか?そしてどうすればいいのかを考える。

一年に何回かはパスワード漏洩がニュースになっている。

それはなぜだろうか?

また、セキュリティを勉強した人であれば、非可逆暗号などを利用してサービス運営会社がパスワードを保管しているはずなのになんで盗まれるか疑問を持った人も多いだろう。

辞書ベースの単語を使用

パスワードは、その言葉を入れるとログインが出来るものである。

一番いいパスワードは乱数で生成したパスワードを利用することであるが残念ながら、普通の人間にとってはなかなか覚えることが難しい。

そこでどうしても辞書に載っているような単語を入力してしまいがちである。

もちろんそのような危険を防ぐために二要素認証があるが、コストがかかるのですべてのサービスで使用されることはない。

結論から言うと盗まれやすいパスワードは簡単に類推できるパスワードであると断言できる。

  • 誕生日などの日付
  • 辞書に載った単語と数字の組み合わせ

どうしてもこのように安易にパスワードを設定しそうだがそのようなパスワードは簡単に攻撃者にから割り当てることが可能になるだろう。

内部的な犯行による可能性

ニュースを賑わすような事件では、かなり多くのパスワードが盗まれたりしている。これらの犯行は残念ながら内部的な犯行が多い。

外部からの攻撃がないとは言わないが、ファイアーウォールやIPSなどの検知システムが複数あるのでそもそも攻撃が難しい。また大規模なサイトほどサーバーが複数あり、パスワード情報が入っているサーバーを割り当てるだけでも時間がかかる。

そのため大規模なパスワード漏洩の事件のほとんどは内部的な犯行であると考えることが自然であろう。そのような反抗をするものは何が理由でそうするかは分からないが、そのようなことは再度起こる可能性があることは簡単に想像ができる。

非可逆暗号によるパスワードの保護は?

たとえばパスワードを保護するためにハッシュとかソルトといった手法について聞いたことがあるだろう。

それらの手法は昔計算機の処理能力が小さかった時代で考えられたものでありどのような手法を考えて作ったかがわかればパスワードを割り出すことができる。

ハッシュ化など非可逆化された情報から元のパスワードを知るには一昔前であれば時間がかかったのでそれなりの効果があると思われていたが今はパソコンでも十分に高速になり、たくさんの元パスワードを生成した上で非可逆化のロジックを実行して盗んだデータと比較すれば元のパスワードがわかる。このとき攻撃者は元になる辞書データと数字の組み合わせで計算して難読化を行うが、元になるパスワードはむやみやたらに想定すると時間がかかるので人間が設定するであろう辞書などにのっている言葉と数字を組み合わせることで生成を行う。そのようにすることであとはパソコンで計算させるだけである程度のパスワードは解読できるわけである。

exampleMD5
パスワードをmd5でハッシュ値した例、この元データからハッシュ値を計算して、盗んだデータと比較して元のパスワードを解析する。

攻撃するサイトにユーザー登録したあとで、非可逆化された情報をベースにすると解読も捗る可能性がよりいっそう高くなる。よく使用されると思われるパスワードを登録すれば、それと同じ値を持つものは同じパスワードを使っていると推測できるし、非可逆化の方法についてもわかる手がかりになる可能性が高くなる。

ここで言いたいポイントはサイト側で対策を練ってもパスワードが盗まれる可能性が0ではないと考えられるということだ。

つまりパスワード漏洩の被害に会いたくなければ利用しているサイトからパスワードは盗まれる可能性があることは意識しておいたほうがいいと考える。

盗んだパスワードをベースに他のサイトを攻撃

パスワードが盗まれた場合、盗まれたサイトが攻撃されることが考えられるが、その場合の対策は最悪の場合サイトのサービスを止めれば被害は最小限に抑えることが可能になる。

たちが悪いのは盗んだパスワードをもとに違う会社が運営しているサービスを攻撃することだ。

この場合ユーザーは複数のパスワードを覚えることが難しいのでいつも利用しているパスワードを複数のサイトで使っているからだ。

対応策は?

パスワードを漏洩しないように工夫が必要なのはサービス提供者はもちろんのことだがそのパスワードを利用しているユーザーがパスワードを漏洩される可能性があると感じ対応策を考え実行することしかないと考える。

サービス提供者はハッシュとかソルトのような技術を複数回使ったり、それぞれのタスクに対して設計者と運用者を変えればそのようなリスクは減るだろう。

また最近一般的になってきた標的型攻撃ではスーパーユーザーであるAdministratorやrootなどの特権アカウントのログイン情報を盗み根こそぎ情報をとる。

それに対応するには Lieberman RED Identity Management 特権アカウント管理製品を利用することで対応することが可能になる。

パスワード漏洩の被害を防ぐにはユーザー側の管理が必要

身も蓋もない話になるがユーザーがしっかりとパスワードを管理していればパスワード漏洩があっても被害を最小化することが可能になる。

ここまでのパスワード漏洩の原因は大まかにいうと二つあると考えられる。

  • 辞書に載っている言葉をベースにパスワードを組み立てる。
  • 同じパスワードを複数のサイトで使用する。

これらに対しての望ましい対策方法としては

  • 辞書に載っている単語は絶対に使わない。できればランダムに生成したものを使う。
  • サイトごとに異なるパスワードを利用する。

ただしこれらを実現するには人間がすべて覚えていなければならないのでそれを運用するのは難しい。

現在、いろいろなベンダーから個人向け、エンタープライズ向けでさまざまなパスワード管理製品が出ている。

ブラウザーであればサイトごとにパスワードを覚えさせる機能は一般的になるのでさほど重要でないサイトの場合はそのような製品を利用すればよい。

ただし、この場合利用している機器が盗まれたりするとすべてのパスワードが盗まれる可能性もあるので本当に重要なパスワードはそのような製品を使わないことが望ましいかもしれない。

エンタープライズ向けシングルサインオン製品としてAccessMatrix™ Universal Sign-On (USO)がある。この製品は管理者がエンドユーザーごとに利用できるアプリが設定できるのでたとえ機器が盗まれた場合でも管理者のほうで使用を制限できるのがコンシューマ向け製品とは一番ちがうところである。

パスワード管理としてはパスワードの入力だけでなくパスワード変更の画面にも対応し、ユーザーの代わりにランダムなパスワードを自動的に生成して入力する機能も備えているので安心してエンドユーザーはログイン失敗やパスワードの変更によるパスワード忘れを恐れる必要がなくなる。

パスワード管理は結局ユーザー側がちゃんと対策することが必要

いろいろ長々と書いてきたが、パスワードは常に盗まれる可能性があるのでユーザーとしてはそのリスクは常に意識するべきであると考える。

またすべてのサイトで厳密にパスワード管理をすることは現実的には難しいと思うが、クレジットカードを登録しているサイトやインターネットバンキングまたはオンラインゲーム等不正アクセスがあると被害にあうような製品についてはぜひちゃんと管理をするようにしたい。

またサイトによっては二要素認証など取り入れているところもあるのでぜひとも積極的に検討するももいいと思う。

また企業の管理者であればシングルサインオンやIDプロビジョニングのような製品を検討して頂くのもいいと思う。

関連リンク

サイト側の対策

特権アカウント管理
Lieberman RED Identity Management

利用者側の対応

エンタープライズシングルサインオン:
AccessMatrix™ Universal Sign-On (USO)

 

最終更新 2018/1/30
作成 2014/3/25

パスワード管理とシングルサインオンについて

弊社ではシングルサインオンを始めパスワードや認証関係の製品を取り扱っている。

これらの製品を扱っていてよく感じるのは、パスワード管理とかシングルサインオンというが、いろいろなテクノロジーがあるため一概にどの製品がいいとは言えないところだ。

コンシューマーはある程度集約する

とはいえ、コンシューマーがログインをするようなサービスはほとんど全部と言っていいくらいwebに限定されている。

今まではひとつのサイトで一組のID/パスワードを覚えることが普通であったが、ここ最近だとあるサイトのIDを持っているとそのIDで他のサイトを利用するようなことができるようになる。

SAML/ OAuth/ OpenIDなどの技術を使って実装されており、時間とともに普及していくだろう。

パスワードの管理は大変

IMAG0299

そうはいってもすべてのパスワードはなくならないので、複数のパスワードを覚えるのが大変でパスワードをメモしていることはそれほど珍しいことではないと思う。

  • 複数のサイトで同じパスワードの使い回し
  • パスワードの変更時もできるだけ同じパスワードを使う
  • 辞書に載っている言葉と数字の組み合わせ

そのようにしている人も多いのではないだろうか?

安易なパスワードの使いまわしはトラブルのもと

同じパスワードを違うサイトでも使いまわしていると、あるサイトがハッキングされて盗まれた時に違うサイトがそのパスワードを使って攻撃されることがある。そのためにはパスワードをサイトごとに変えたり、パスワードを記憶する必要がある。

最近のWebブラウザーの場合、IDとパスワードを記憶することができるのが普通になっている。また「パスワード管理」で調べてみるとブラウザーとは別のソフトもある。

企業向けの製品は?

ここまで例に上げた製品はコンシューマーに特化した製品である。企業ユースでは管理者がエンドユーザーを管理する必要があるため、これらの製品では対応できない。

弊社であつかっているAccessMatrix USOはユーザーの代わりにパスワードを入力するだけでなく、パスワードの変更も行えるようになっている。

この製品は一般的にエンタープライズシングルサインオン(Enterprise single sign on)と呼ばれている。ユーザーの代わりにIDとパスワードをクライアントが入れる仕組みになっている。コンシューマの製品との一番の違いは、サーバーがあることでユーザーがどのような作業をしたかあとから確認できることである。

ある程度の歴史のある企業だと全てのアプリがWebになっているわけではない。たとえWebベースであっても変更を必要とする可能性があるWebSSOやプロビジョニング製品よりも簡単に導入ができるシングルサインオンとして考えてもらえるのがいいと思う。

もちろんWebSSOやプロビジョニング製品との連携をすることでよりよい環境が構築できる。実際に連携した実績も豊富である。

関連リンク

エンタープライズシングルサインオン AccessMatrix™ Universal Sign-On (USO) 概要

AccessMatrix™ Universal Sign-On (USO) Microsoft Active Directory とログイン統合

AccessMatrix™ Universal Sign-On (USO) WebSSO/ ポータルとの統合ログイン