パスワードポリシーを守ったパスワード管理とはなんだろう?

パスワードは常に盗まれる可能性があることは「あなたの重要なパスワードはなぜ盗まれるか?そしてどうすればいいのかを考える。」で説明した。

インターネットが普及する前からスーパーコンピュータを利用する場合のアクセスでもログインするためにはパスワードが必要だった。たびたびパスワードが盗まれて悪用されていたことから、いかにパスワードが盗まれないか?について語られてきている。

ここではパスワードが盗まれないようにするためのルールとして昔から言われているパスワードポリシーについて説明したい。 “パスワードポリシーを守ったパスワード管理とはなんだろう?” の続きを読む

シングルサインオンの仕組みについて(代理入力方式編)

シングルサインオンの仕組みについては今まで何回かに分けて説明をしてきたが今回はユーザーの代わりにIDとパスワードを入力する方式について説明をしたい。

現在、ユーザーの代わりにログイン情報はWebに対応しているリバースプロキシー型web SSOとWeb以外にも対応しているエンタープライズシングルサインオン(ESSO)がある。どちらも一長一短があるため、それについて説明を行う。 “シングルサインオンの仕組みについて(代理入力方式編)” の続きを読む

シングルサインオン導入のメリット

今までシングルサインオンについての周辺情報を整理して書いてきたが、そもそもなぜシングルサインオンを導入するのか整理してみたい。

いままでのいくつかの記事で指摘したとおり、エンドユーザーにとっては覚えて運用することが難しいパスワードをユーザーの代わりに覚えてくれるか、または覚えるパスワードを少なくするのがシングルサインオン導入のメリットであると説明をしてきたが、(リンク)それだけであればコンシューマーで利用されているパスワード管理ソフトを導入すればいいが、運用上いくつかの課題があるため規模が大きい組織ほどそのような製品は導入されないと考えられる。

ここでは企業でシングルサインオンを導入するメリットについて説明してみたい。 “シングルサインオン導入のメリット” の続きを読む

企業向けにパスワード管理ソフトが必要ならエンタープライズシングルサインオン!

コンシューマーでも最近パスワード管理ソフトを利用したり、ブラウザーについているパスワード管理ツールを使っている人が多いのではないだろうか?

そのようなツールを利用しない場合、ある一つだけのパスワードを使いまわすのが普通に行われていると思うが、それだとセキュリティーリスクが高くなることは以前書いた「あなたの重要なパスワードはなぜ盗まれるか?そしてどうすればいいのかを考える。」を参照していただきたい。

プライベートで使用している端末ではパスワード管理ソフトなどを入れることが可能であるが、企業ユースでパスワード管理ソフトウェアの代わりになるのがエンタープライズシングルサインオン(ESSO)である。

弊社では「AccessMatrix™ Universal Sign-On (USO) 」がエンタープライズシングルサインオン製品にあたる。 “企業向けにパスワード管理ソフトが必要ならエンタープライズシングルサインオン!” の続きを読む

シングルサインオンの仕組みについて (websso編)

弊社が扱っているUSOではWebポータルやWebSSOシステムを使うために使用される認証をマスターにして利用することが可能である。

AccessMatrix™ Universal Sign-On (USO) WebSSO/ ポータルとの統合ログイン

ただUSO自体はwebssoの機能が持たないのであるが、上のページではwebssoをキーワードにして訪問される方も結構いらっしゃるようなのでこちらのほうで非常に簡単ではあるが説明してみたいと思う。 “シングルサインオンの仕組みについて (websso編)” の続きを読む

シングルサインオンの仕組みについて (基本編)

シングルサインオンといっても手法がさまざまあるので一口に言ってもわかりにくいと思うのでこれを機会に説明を行いたいと思う。

シングルサインオンはかなり歴史がある分野なのであるが、その分さまざまな手法があり一概にシングルサインオンといっても多くの人に理解されていないのではないだろうかと考えている。

弊社ではシングルサインオンの製品を結構前からあつかっており、いくつかの事例がある。

弊社の長年の経験から申し上げれば、弊社で扱っているAccessMatrix™ Universal Sign-On (USO)が採用している代行入力型シングルサインオン製品の導入を推薦する。

理由は、既存の環境を全く変えることなく導入ができ導入コストが他の方式と比較して大幅に安価であるからだ。

以下にシングルサインオン製品のの基本的な考え方について説明する。

シングルサインオンはなぜ必要か?

そもそもシングルサインオンはなぜ必要なのだろうか

“シングルサインオンの仕組みについて (基本編)” の続きを読む

パスワード管理とシングルサインオンについて

弊社ではシングルサインオンを始めパスワードや認証関係の製品を取り扱っている。

これらの製品を扱っていてよく感じるのは、パスワード管理とかシングルサインオンというが、いろいろなテクノロジーがあるため一概にどの製品がいいとは言えないところだ。

コンシューマーはある程度集約する

とはいえ、コンシューマーがログインをするようなサービスはほとんど全部と言っていいくらいwebに限定されている。

今まではひとつのサイトで一組のID/パスワードを覚えることが普通であったが、ここ最近だとあるサイトのIDを持っているとそのIDで他のサイトを利用するようなことができるようになる。

SAML/ OAuth/ OpenIDなどの技術を使って実装されており、時間とともに普及していくだろう。

パスワードの管理は大変

IMAG0299

そうはいってもすべてのパスワードはなくならないので、複数のパスワードを覚えるのが大変でパスワードをメモしていることはそれほど珍しいことではないと思う。

  • 複数のサイトで同じパスワードの使い回し
  • パスワードの変更時もできるだけ同じパスワードを使う
  • 辞書に載っている言葉と数字の組み合わせ

そのようにしている人も多いのではないだろうか?

安易なパスワードの使いまわしはトラブルのもと

同じパスワードを違うサイトでも使いまわしていると、あるサイトがハッキングされて盗まれた時に違うサイトがそのパスワードを使って攻撃されることがある。そのためにはパスワードをサイトごとに変えたり、パスワードを記憶する必要がある。

最近のWebブラウザーの場合、IDとパスワードを記憶することができるのが普通になっている。また「パスワード管理」で調べてみるとブラウザーとは別のソフトもある。

企業向けの製品は?

ここまで例に上げた製品はコンシューマーに特化した製品である。企業ユースでは管理者がエンドユーザーを管理する必要があるため、これらの製品では対応できない。

弊社であつかっているAccessMatrix USOはユーザーの代わりにパスワードを入力するだけでなく、パスワードの変更も行えるようになっている。

この製品は一般的にエンタープライズシングルサインオン(Enterprise single sign on)と呼ばれている。ユーザーの代わりにIDとパスワードをクライアントが入れる仕組みになっている。コンシューマの製品との一番の違いは、サーバーがあることでユーザーがどのような作業をしたかあとから確認できることである。

ある程度の歴史のある企業だと全てのアプリがWebになっているわけではない。たとえWebベースであっても変更を必要とする可能性があるWebSSOやプロビジョニング製品よりも簡単に導入ができるシングルサインオンとして考えてもらえるのがいいと思う。

もちろんWebSSOやプロビジョニング製品との連携をすることでよりよい環境が構築できる。実際に連携した実績も豊富である。

関連リンク

エンタープライズシングルサインオン AccessMatrix™ Universal Sign-On (USO) 概要

AccessMatrix™ Universal Sign-On (USO) Microsoft Active Directory とログイン統合

AccessMatrix™ Universal Sign-On (USO) WebSSO/ ポータルとの統合ログイン

【情報セキュリティセミナー】IDアクセス管理とドキュメント保護の重要性について

TDIコンサルティング・ソリューションズ株式会社、アイディネットワークス株式会社共催による 「情報セキュリティセミナー」を下記の通り、開催します。 

今回は、i-Sprint社から、Mah Kah Hoe氏を講師としてお迎えし、   「IDとパスワードは少ない方がいい! 」について講演して頂きます。

i-Sprint社は、シンガポールに本社がある、資格証明管理や認証ソリューションの開発会社で、シンガポール政府をはじめ、グローバルな金融機関や調査会社などからも、認証に関するエキスパートとして認知されています。

【日時】  2010年6月4日(金) 14:00~17:00 (受付開始: 13:30)

【場所】 情報技術開発株式会社 会議室

     〒163-6013 東京都新宿区西新宿 6-8-1 住友不動産新宿オークタワー13F 大会議室

     地図

【内容】

  • 14:00~14:05 ご挨拶 
  • 14:05~14:55 基調講演 「IDとパスワードは少ない方がいい!」 ~セキュリティ? それとも生産性?~
  • 14:55~15:05 休憩
  • 15:05~15:25  シングルサインオンソリューションのご紹介
  • 15:25~15:50 AccessMatrix USO のデモ
  • 15:50~16:00 質疑応答
  • 16:00~16:20 IRMによる知的財産・重要情報の保護
  • 16:20~16:50 IRM (Information Rights Management) のデモ,   IRM 画像ビューア or AutoCAD製品のキャンペーンのご紹介
  • 16:50~17:00 質疑応答

 【申込方法】 seminar@idnetworks.co.jp 宛てに、貴社名、部署名、役職、お名前、電話番号とeメールアドレスを記載の上、セミナー出席の旨、ご連絡ください。

【USO】AccessMatrixUSOによるシングルサインオン

i-Sprint Access Matrix USO でログインの動画を作成しました。

この動画では

  1. AccessMatrix USOへのログイン
  2. AccessMatrix USOから代理ID/パスワード入力によるアプリケーションへのログイン
  3. Webアプリケーションのパスワード変更画面への対応(手動入力)

を録画しています。

AccessMatrix USOは学習された画面に対して(参照)、USOクライアントが必要に応じてID/パスワード場合によっては他の値をユーザーに代わり入力させる代理入力型のシングルサインオン製品です。

動画を見ていていただければわかるとおりユーザーはUSOにログインするときだけID/パスワードを入力するだけで、そのほかのシステムを入力するときはUSOクライアントがユーザーの代わりに反応して代理入力します。

そのため、ユーザーはUSOにログインするための一組のID/パスワードをしっかり管理することでそれ以外のパスワードの管理がユーザーの代わりに行えるようになっています。

最近システムの強度が問われる業務に使われているアプリケーションの場合、定期的なパスワードの管理を求められることが多いと思いますが、人間は一度に複数のパスワードを管理することが難しい場合このようなシングルサインオン製品が有用です。

もちろん一口にシングルサインオンシステムといってもWebシングルサインオンやアプリケーションをディレクトリーに対応させることでシングルサインオンは実現できます。しかしながら、さまざまな条件で実装が難しいときがあります。

そのような場合、この動画にあるような代理入力型のシングルサインオン(エンタープライズ・シングルサインオンともいいます。)が有用です。

【USO】AccessMatrix USOの動画をYouTubeにてアップロード

i-Sprint社のAccessMatrix USOについてよく知っていただくために、YouTubeにて動画を公開することにしました。

USOトレーナーを使用してWebアプリケーションをどのように学習するかを保存しています。

画面学習について

通常のパスワード管理製品であればログイン画面だけを認識するものが多いですが、USOではログイン画面以外にさまざまな画面を登録することができます。

たとえばログイン失敗したときはログイン情報を繰り返し入力するとアカウントロックをするためログイン失敗した後は代理入力を行わない様に動作がすることが望ましいためログイン失敗やパスワード変更失敗などの画面を学習できれば複雑な画面遷移のアプリケーションにも対応できるようになります。

そのためAccessMatrix USOでは以下の画面を学習するようになっています。

  • ログイン画面
  • ログイン成功/失敗画面
  • パスワード変更画面
  • パスワード変更成功/失敗画面

などの画面を学習することができるようになっております。

そのほかの動画について

AccessMatrix USOでの、ログインの様子やそのほかの設定方法などについても引き続き動画を用意して準備が出来次第アップロードする予定です。また、現在日本市場で販売を準備しているAccessMatrix UCM/ UASなどについても将来このような動画による紹介ができるように準備しております。