パスワード管理とシングルサインオンについて

弊社ではシングルサインオンを始めパスワードや認証関係の製品を取り扱っている。

これらの製品を扱っていてよく感じるのは、パスワード管理とかシングルサインオンというが、いろいろなテクノロジーがあるため一概にどの製品がいいとは言えないところだ。

コンシューマーはある程度集約する

とはいえ、コンシューマーがログインをするようなサービスはほとんど全部と言っていいくらいwebに限定されている。

今まではひとつのサイトで一組のID/パスワードを覚えることが普通であったが、ここ最近だとあるサイトのIDを持っているとそのIDで他のサイトを利用するようなことができるようになる。

SAML/ OAuth/ OpenIDなどの技術を使って実装されており、時間とともに普及していくだろう。

パスワードの管理は大変

IMAG0299

そうはいってもすべてのパスワードはなくならないので、複数のパスワードを覚えるのが大変でパスワードをメモしていることはそれほど珍しいことではないと思う。

  • 複数のサイトで同じパスワードの使い回し
  • パスワードの変更時もできるだけ同じパスワードを使う
  • 辞書に載っている言葉と数字の組み合わせ

そのようにしている人も多いのではないだろうか?

安易なパスワードの使いまわしはトラブルのもと

同じパスワードを違うサイトでも使いまわしていると、あるサイトがハッキングされて盗まれた時に違うサイトがそのパスワードを使って攻撃されることがある。そのためにはパスワードをサイトごとに変えたり、パスワードを記憶する必要がある。

最近のWebブラウザーの場合、IDとパスワードを記憶することができるのが普通になっている。また「パスワード管理」で調べてみるとブラウザーとは別のソフトもある。

企業向けの製品は?

ここまで例に上げた製品はコンシューマーに特化した製品である。企業ユースでは管理者がエンドユーザーを管理する必要があるため、これらの製品では対応できない。

弊社であつかっているAccessMatrix USOはユーザーの代わりにパスワードを入力するだけでなく、パスワードの変更も行えるようになっている。

この製品は一般的にエンタープライズシングルサインオン(Enterprise single sign on)と呼ばれている。ユーザーの代わりにIDとパスワードをクライアントが入れる仕組みになっている。コンシューマの製品との一番の違いは、サーバーがあることでユーザーがどのような作業をしたかあとから確認できることである。

ある程度の歴史のある企業だと全てのアプリがWebになっているわけではない。たとえWebベースであっても変更を必要とする可能性があるWebSSOやプロビジョニング製品よりも簡単に導入ができるシングルサインオンとして考えてもらえるのがいいと思う。

もちろんWebSSOやプロビジョニング製品との連携をすることでよりよい環境が構築できる。実際に連携した実績も豊富である。

関連リンク

エンタープライズシングルサインオン AccessMatrix™ Universal Sign-On (USO) 概要

AccessMatrix™ Universal Sign-On (USO) Microsoft Active Directory とログイン統合

AccessMatrix™ Universal Sign-On (USO) WebSSO/ ポータルとの統合ログイン

【用語説明】二要素(多要素)認証について

弊社で扱っているいくつかの製品では2要素認証をサポートしている。

ワンタイムパスワードが一般的に

最近ではインターネットサービスで利用されるようになったワンタイムパスワードトークンがある。

たとえばオンラインゲームやインターネットバンキングでも利用されている。私もドラゴンクエスト10をするためにトークンを購入した。

ID/パスワードとともにワンタイムパスワードトークンに表示された乱数を入力することでログインができるようになる。

またこの方式は、グーグルやSNSなどでも利用できるようになっており、近い将来もっと標準的なものになる可能性がある。

 

IMAG0296

多要素認証とは

今までのシステムでは本人だけが知っているべきパスワードが一般的に認証に使われている。

ただパスワードは文字の羅列だけで、それが何かを知っていれば本人でなくてもログインができる。

多要素認証はそれまでよく利用されているパスワード以外のその他の要素を組み合わせた認証方式のことである。

様々な認証方式

ワンタイムパスワードはインターネットサービスでよく見られる方式であるが、その他にもいろいろある。

生体認証

目の瞳や指紋を元に認証する。銀行のATMで指紋認証をサポートしている。

カードを用いた認証

IC(スマート)カードがある。たとえば部屋の入退出の管理などとも利用されることがある

USBトークン

USBポートにトークンを刺すことでアクセスが可能になる。

二要素認証で使われる一番目の要素はパスワードによる認証で、二番目の要素がこれらのデバイスを利用した認証になる。

なぜワンタイムパスワードがインターネットサービスで利用されるかについては、PCだけでなくスマホとかでも利用できるし何かデバイスをPCに接続することなく利用できるからだと考えられる。

エンタープライズでは機器の制約がコンシューマーと比較して低いのでワンタイムパスワードにこだわる必要がない。ワンタイムパスワードの欠点としてはいちいちワンタイムでパスワードを生成させ入力させるといった手間があるが、デバイスを接続する認証はそのような手間が必要がないのが特長である。

それぞれの認証方式は一長一短があり一概にどの方式がいいとは言えない。

関連リンク

 多要素認証ソリューション

【用語説明】コネクションブローカ(Connetion Broker)とは

VDI(Virtual Desktop infrastructure)でもよく使われているリモートデスクトップのリソースを管理するためのソリューションです。

ユーザーはVDI環境で用意されている複数台の接続先を自分で選択するかわりに自動的に最適なコネクションをさがし割り当てます。

リモートデスクトップはVDIだけでなく、利用する状況ごとに最適な方式があります。たとえば、Office製品を利用する場合にはWindowsのターミナルサービスがありますし、よりリソースを使用する場合にはブレードPCなどがあります。

Leostream コネクションブローカーではそれらいろいろな方式が混在する中でコネクション管理が行えます。

メーカーに依存しないベンダーフリーなコネクションブローカー

Leostream コネクションブローカーはベンダーインディペンデントでVMware, Citrix, Microsoft,や Red Hatの環境もサポートしています。もちろんそれらが混在した環境でも利用できます。

エンドユーザーのデスクトップとアプリケーションのコネクションを管理できます。管理者はエンドユーザーがアクセスするリソースやそれを利用する時間と場所の設定が可能です。

ユーザー設定について

ユーザーごとにアクセスするリソースの設定が行えますが、ディレクトリーと連携させることもできます。

ユーザー数一人ごとに対して設定するのは大変な手間ですが、ディレクトリーと連動させることで管理の手間がへらすことが可能になります。

ディレクトリーに設定されたユーザーグループに対して設定できるので定期的な人事異動などにも対応することができます。

Microsoft Active Directory や Novell eDirectoryなどが利用できます。

混在環境での利用

リモートデスクトップはそれぞれの方式に一長一短がありいくつかの方法を組み合わせることが最適な場合もあります。

Leostream コネクションブローカーではVDI/ VM/ PCブレード/Microsoft Terminal Services,Remote Desktop Sessions/ VMware View/ Citrix XenDesktopなどをサポートしており、OSもMicrosoft WindowsはもちろんのことLinuxもサポートしています。

ユーザー認証はディレクトリーだけでなくスマートカード、USBトークンなどの二要素認証にも対応しております。混在環境では複雑な構成になりますが、ユーザーからはシンプルに扱えるようになっています。

デスクトップ管理

管理者はデスクトップをクライアントとユーザーに割り当て、デスクトップのライフサイクルの管理も行えます。さらにデスクトップの電源、割り当て、リモートビューワープロトコルの管理も行えます。

エンドユーザーのクライント管理

Leostreamコネクションブローカはエンドユーザーとクライアントにポリシーに基づいた管理を可能にします。ポリシーによりデスクトップリソースを最適に運用できるようになります。管理者はリモートセッションに対してユーザーを利用場所、利用端末、USBデバイスでのアクセスの許可などが行えるようになっています。マルチモニター環境でも利用が行えます。

関連リンク

LeoStreamコネクションブローカー

【ニュース】NoMachine社とVAR契約を締結

2014年2月26日、ルクセンブルグに本社のあるNoMachine社とVAR契約を締結しました。

NoMachine社の製品の概要および主な特長は以下の通りです。

リモートアクセス

No Machineを導入すればどこからでもリモートでアクセスが可能になります。

どのコンテンツにも対応

リモートから音楽や動画、3Dソフトなどの利用に制限があると思われがちですが、No Machine製品の場合そのようなマルチメディアアプリ用途にも使用できるようになっています。

コラボレーションにも最適

他の人とも容易にデスクトップ共有ができるようになっているのでドキュメントを共同で作成したり、ファイル共有したり、トラブルシューティングが行えたりできます。

どのデバイスでも利用可能

ファイル、ディスク、デバイスをリモート-ローカル間で簡単に使用できます。
リモートデスクトップからローカルにあるプリンターを使用して印刷ができます。同様にUSBメモリー、スキャナー、ディスクドライブなどを利用できます。

デスクトップ録画

作業の様子を録画することができます。例えば厄介なバグの様子を録画したり、作業のワークフローを録って後で作業を見直したりすることも可能になります。その動画を見た他者と意見交換したり、ソフトウェアのデモに利用したりすることも可能になります。

NoMachineLogo

関連リンク

【解説】最近のリモートデスクトップ事情

 

【お知らせ】新しい試みをしています。

インターネットが十分に普及しアイディネットワークス株式会社としても十分に意識する必要があると認識しています。

そこでインターネットを活用した新しいコミュニケーションを考える必要があると考えています。

とはいっても突然新しいアイディアが出てこないので、簡単にお花の栽培をするためのコミュニテイサイトをとりあえず作ってみることにしました。

フラワーとともに

またそれに伴いfacebookのページも作成しました。

フラワーとともに facebook ページ

また、今まで弊社で技術検証してきたことについてもまとめることにしました。

検証メモ

ここではこれらのサイトの構築だけでなく、運営についても整理して行く予定です。

【ニュース】V.i. Labs とパートナー契約を締結

V.i. Labsとパートナー契約を締結しました。V.i. Labsは、2006年に設立された米国マサチューセッツ州ウォルサムに本社を置く会社で、ソフトウェアベンダが自分達のソフトウェアのIP(知的財産)を保護し、著作権侵害(不正使用)に対応できるソリューションを提供しています。

製品概要  CodeArmor® Intelligence

ソフトウェアにアプリケーションの使用や不正な使用に関するインテリジェンスを提供する製品です。これにより、ソフトウェアベンダーは著作権侵害を減らし、新規の顧客を開拓し、新しいライセンスの売上を増やすための直接的・自動的なコンプライアンスプログラムを実施することができるようになります。

強み

CodeArmor Intelligenceは、不正使用や使いすぎを定量化しリポートする、初めての商用ソリューションです。ソフトウェアベンダは、このインテリジェンスにより、(不正に利用された)ライセンスの売上を回収するためのアクションを取ることができるようになります。

テクノロジーベースのライセンスの使用管理や保護のアプローチとは異なり、ソフトウェアのインテリジェンスは、使用許諾済みの顧客や、アプリケーションのパフォーマンスに影響を及ぼすことなく、また、ソフトウェア開発のライフサイクルに最小の影響しか及ぼさずに、様々な種類のアプリケーションに導入することができます。

また、V.i. Labsのソリューションは既存のライセンス使用管理の技術やコンプライアンスプログラムに対しても補完的に利用できます。

顧客

V.i. Labsの顧客の多くは、世界中で利用されているPLM、EDA、CAD、CAM、科学、オイルアンドガス、生産性、デジタルメディアソフトウェア等のマーケットセグメントのソフトウェアのベンダーです。すでに、80億ドル以上のソフトウェア資産に適用・導入されています。

V.i. Labs社のトップ顧客は世界中で40億ドル以上のライセンス売上の機会をCode Armor Intelligenceソリューションにより見出しました。また、多くの顧客が、ライセンス売上回収のための活動により、年間10-20%の売上増加を経験しています。

【ニュース】Leostream が Connection Broker 7.8 をリリース

2014年1月2日 – Leostream Connection Broker v7.8 がリリースされました。新たに追加された機能は以下の通りです。

  • 大企業導入で要求される高度なセキュリティ機能
  • ハードウェアベースのPCoIP接続の導入設定を簡単にするツール
  • カスタムでリポートを生成するためのプール使用に関する履歴データ
  • VMware Horizon View Agent Direct-Connectionプラグインを利用するソフトウェアベースのPCoIP接続のサポート

詳細についてはリリースノートをご参照ください。

# # #

記載の会社名、製品名等は、各社の登録商標または商標です。

【ニュース】 株式会社テルテンと販売代理店契約を締結

アイディネットワークス株式会社は、近年普及しているスマートフォンでのセキュリティに注目し、DRM(Digital Rights Management)、スマートフォンのセキュリティモジュールなどで多くの実績を持つ韓国の株式会社テルテンと販売代理店契約を締結しました。

以下のテルテン製品を取り扱うことになりました。

「T-Cube」は画面からの情報流出を防ぐための製品です。
単純なプリントスクリーンによる画面キャプチャーに対する制御はもちろんキャプチャーを行うプログラム、GDI, D/S方式のキャプチャー、ビデオメモリーアクセスなどを制御することで意図しない情報のコピーを防ぎます。

「Teruten MCM」は最近著しく普及しているスマートフォン用のセキュリティモジュールです。
スマートフォンのアプリケーション組み込むことでセキュリティ機能を追加します。
T-Cubeと同様、スクリーンキャプチャーの制御だけでなく、スマートフォンに搭載されたカメラ、HDMI、Wifiの制御ができます。
また、JailBreakやroot権限を持った不正OSを検知し不正なデーター流出を防ぎます。

詳細な製品情報については追って弊社のホームページにて掲載する予定です。

【ニュース】AccessMatrix Universal Sign-On (USO) が iOSをサポート

エンタープライズ・シングルサインオン(ESSO)製品として国内外に多くの実績ある i-Sprint Innovations 社の AccessMatrix Universal Sign-On (USO) が iPhone、iPad、iPod touch に対応しました。

USO_iOS

AccessMatrix USO は金融機関、製造業、情報通信業、文教などの様々な分野で使われており、パスワード管理上の課題を解決するツールとして、セキュリティの向上、コンプライアンスはもちろん、ヘルプデスクなどのサポートコストの削減にも貢献しています。

主な機能:

  • セキュリティ強化と柔軟な認証方法
  • Windowsデスクトップ、仮想デスクトップ、モバイル端末向けにシングルサインオン(SSO)を実現
  • エンタープライズ・シングルサインオンだけでなく、フェデレーテッド・シングルサインオン、Webシングルサインオンや認証の強化にも利用できる共通したバックエンドを提供
  • スピーディな導入
  • ユーザーに利便性をもたらし、生産性を向上
  • ヘルプデスクのコストを削減することにより費用対効果(ROI)を最大化
  • コンプライアンスのためのパワフルなリポーティング機能

AccessMatrixは、対象アプリケーションのカスタマイズを必要としない非侵入型(non-intrusive)のシングルサインオン製品です。

製品ページはこちら

パスワードをサーバー攻撃から保護するE2EEのご紹介

i-Sprint社のe2eeについてのページを追加しました。

サーバー攻撃からパスワードを守る  E2EE(End to End Encryption) 

最近だとあるサイトから盗まれたID/パスワードをベースに他社のサイトを攻撃するリスト攻撃が知られています。

おそらく何らかの形でパスワードは暗号化されたり内部からのリークを防ぐために非可逆のハッシュなどで保管されていたと思いますが、結果から見るに何らかの方法で復元したものであろうことは想像できます。

最近だとGPUなどを使用して解析するツールも出回っており、計算能力が高いため解析も従来考えていた時間よりも早く行えるようになったみたいです。

E2EEではたとえサーバーがクラックされ乗っ取られたとしてもパスワードの漏洩を防ぐことを目的に開発され海外の金融機関では広く使用されているようです。

E2EEを採用することにより少なくてもサーバー側から漏洩するリスクが減るため運営企業としてはパスワード漏洩による賠償などのリスクが低減させることができるようになります。