パスワードは常に盗まれる可能性があることは「あなたの重要なパスワードはなぜ盗まれるか?そしてどうすればいいのかを考える。」で説明した。
インターネットが普及する前からスーパーコンピュータを利用する場合のアクセスでもログインするためにはパスワードが必要だった。たびたびパスワードが盗まれて悪用されていたことから、いかにパスワードが盗まれないか?について語られてきている。
ここではパスワードが盗まれないようにするためのルールとして昔から言われているパスワードポリシーについて説明したい。 “パスワードポリシーを守ったパスワード管理とはなんだろう?” の続きを読む
シングルサインオンの仕組みについては今まで何回かに分けて説明をしてきたが今回はユーザーの代わりにIDとパスワードを入力する方式について説明をしたい。
現在、ユーザーの代わりにログイン情報はWebに対応しているリバースプロキシー型web SSOとWeb以外にも対応しているエンタープライズシングルサインオン(ESSO)がある。どちらも一長一短があるため、それについて説明を行う。 “シングルサインオンの仕組みについて(代理入力方式編)” の続きを読む
今までシングルサインオンについての周辺情報を整理して書いてきたが、そもそもなぜシングルサインオンを導入するのか整理してみたい。
いままでのいくつかの記事で指摘したとおり、エンドユーザーにとっては覚えて運用することが難しいパスワードをユーザーの代わりに覚えてくれるか、または覚えるパスワードを少なくするのがシングルサインオン導入のメリットであると説明をしてきたが、(リンク)それだけであればコンシューマーで利用されているパスワード管理ソフトを導入すればいいが、運用上いくつかの課題があるため規模が大きい組織ほどそのような製品は導入されないと考えられる。
ここでは企業でシングルサインオンを導入するメリットについて説明してみたい。 “シングルサインオン導入のメリット” の続きを読む
コンシューマーでも最近パスワード管理ソフトを利用したり、ブラウザーについているパスワード管理ツールを使っている人が多いのではないだろうか?
そのようなツールを利用しない場合、ある一つだけのパスワードを使いまわすのが普通に行われていると思うが、それだとセキュリティーリスクが高くなることは以前書いた「あなたの重要なパスワードはなぜ盗まれるか?そしてどうすればいいのかを考える。」を参照していただきたい。
プライベートで使用している端末ではパスワード管理ソフトなどを入れることが可能であるが、企業ユースでパスワード管理ソフトウェアの代わりになるのがエンタープライズシングルサインオン(ESSO)である。
弊社では「AccessMatrix™ Universal Sign-On (USO) 」がエンタープライズシングルサインオン製品にあたる。 “企業向けにパスワード管理ソフトが必要ならエンタープライズシングルサインオン!” の続きを読む
弊社が扱っているUSOではWebポータルやWebSSOシステムを使うために使用される認証をマスターにして利用することが可能である。
AccessMatrix™ Universal Sign-On (USO) WebSSO/ ポータルとの統合ログイン
ただUSO自体はwebssoの機能が持たないのであるが、上のページではwebssoをキーワードにして訪問される方も結構いらっしゃるようなのでこちらのほうで非常に簡単ではあるが説明してみたいと思う。 “シングルサインオンの仕組みについて (websso編)” の続きを読む
シングルサインオンといっても手法がさまざまあるので一口に言ってもわかりにくいと思うのでこれを機会に説明を行いたいと思う。
シングルサインオンはかなり歴史がある分野なのであるが、その分さまざまな手法があり一概にシングルサインオンといっても多くの人に理解されていないのではないだろうかと考えている。
弊社ではシングルサインオンの製品を結構前からあつかっており、いくつかの事例がある。
弊社の長年の経験から申し上げれば、弊社で扱っているAccessMatrix™ Universal Sign-On (USO)が採用している代行入力型シングルサインオン製品の導入を推薦する。
理由は、既存の環境を全く変えることなく導入ができ導入コストが他の方式と比較して大幅に安価であるからだ。
以下にシングルサインオン製品のの基本的な考え方について説明する。
そもそもシングルサインオンはなぜ必要なのだろうか
弊社ではシングルサインオンを始めパスワードや認証関係の製品を取り扱っている。
これらの製品を扱っていてよく感じるのは、パスワード管理とかシングルサインオンというが、いろいろなテクノロジーがあるため一概にどの製品がいいとは言えないところだ。
とはいえ、コンシューマーがログインをするようなサービスはほとんど全部と言っていいくらいwebに限定されている。
今まではひとつのサイトで一組のID/パスワードを覚えることが普通であったが、ここ最近だとあるサイトのIDを持っているとそのIDで他のサイトを利用するようなことができるようになる。
SAML/ OAuth/ OpenIDなどの技術を使って実装されており、時間とともに普及していくだろう。
そうはいってもすべてのパスワードはなくならないので、複数のパスワードを覚えるのが大変でパスワードをメモしていることはそれほど珍しいことではないと思う。
そのようにしている人も多いのではないだろうか?
同じパスワードを違うサイトでも使いまわしていると、あるサイトがハッキングされて盗まれた時に違うサイトがそのパスワードを使って攻撃されることがある。そのためにはパスワードをサイトごとに変えたり、パスワードを記憶する必要がある。
最近のWebブラウザーの場合、IDとパスワードを記憶することができるのが普通になっている。また「パスワード管理」で調べてみるとブラウザーとは別のソフトもある。
ここまで例に上げた製品はコンシューマーに特化した製品である。企業ユースでは管理者がエンドユーザーを管理する必要があるため、これらの製品では対応できない。
弊社であつかっているAccessMatrix USOはユーザーの代わりにパスワードを入力するだけでなく、パスワードの変更も行えるようになっている。
この製品は一般的にエンタープライズシングルサインオン(Enterprise single sign on)と呼ばれている。ユーザーの代わりにIDとパスワードをクライアントが入れる仕組みになっている。コンシューマの製品との一番の違いは、サーバーがあることでユーザーがどのような作業をしたかあとから確認できることである。
ある程度の歴史のある企業だと全てのアプリがWebになっているわけではない。たとえWebベースであっても変更を必要とする可能性があるWebSSOやプロビジョニング製品よりも簡単に導入ができるシングルサインオンとして考えてもらえるのがいいと思う。
もちろんWebSSOやプロビジョニング製品との連携をすることでよりよい環境が構築できる。実際に連携した実績も豊富である。
エンタープライズシングルサインオン AccessMatrix™ Universal Sign-On (USO) 概要
AccessMatrix™ Universal Sign-On (USO) Microsoft Active Directory とログイン統合
弊社で扱っているいくつかの製品では2要素認証をサポートしている。
最近ではインターネットサービスで利用されるようになったワンタイムパスワードトークンがある。
たとえばオンラインゲームやインターネットバンキングでも利用されている。私もドラゴンクエスト10をするためにトークンを購入した。
ID/パスワードとともにワンタイムパスワードトークンに表示された乱数を入力することでログインができるようになる。
またこの方式は、グーグルやSNSなどでも利用できるようになっており、近い将来もっと標準的なものになる可能性がある。
今までのシステムでは本人だけが知っているべきパスワードが一般的に認証に使われている。
ただパスワードは文字の羅列だけで、それが何かを知っていれば本人でなくてもログインができる。
多要素認証はそれまでよく利用されているパスワード以外のその他の要素を組み合わせた認証方式のことである。
ワンタイムパスワードはインターネットサービスでよく見られる方式であるが、その他にもいろいろある。
目の瞳や指紋を元に認証する。銀行のATMで指紋認証をサポートしている。
IC(スマート)カードがある。たとえば部屋の入退出の管理などとも利用されることがある
USBポートにトークンを刺すことでアクセスが可能になる。
二要素認証で使われる一番目の要素はパスワードによる認証で、二番目の要素がこれらのデバイスを利用した認証になる。
なぜワンタイムパスワードがインターネットサービスで利用されるかについては、PCだけでなくスマホとかでも利用できるし何かデバイスをPCに接続することなく利用できるからだと考えられる。
エンタープライズでは機器の制約がコンシューマーと比較して低いのでワンタイムパスワードにこだわる必要がない。ワンタイムパスワードの欠点としてはいちいちワンタイムでパスワードを生成させ入力させるといった手間があるが、デバイスを接続する認証はそのような手間が必要がないのが特長である。
それぞれの認証方式は一長一短があり一概にどの方式がいいとは言えない。
