簡素なパスワードは多くの認証ポリシーでウィークポイントになります
繰り返し使われる、推測しやすい Windows パスワードは侵入されるリスクがあり、使用している Windows アカウントを正確に監査する事も非常に困難になります。
強固な多要素認証はデバイス+パスワード、生体認証に入れ替える事により解決する事ができます。しかし強固な認証を実施する際、操作上の制限が生まれる事も考慮する必要があります。何千ものユーザーに導入、管理するために全てのユーザーの利用ケースを考慮する必要があります。
特別なユーザーの利用ケースも考慮する必要があります
販売店、もしくは支店にいる従業員は Windows ログオフ、ログオンせずにすぐに各ユーザー毎の環境に切替え、共通のキオスク PC を共有したいというニーズがあります。
医者は病院内を歩き回りますが、その医者が利用するすべての PC を一つのセッションで使い続けたいというニーズがあります。
トレーダー、もしくは制御室担当は一回の認証で複数の PC に対してロック、ロック解除、セッションオープン、セッションクローズをしたいというニーズがあります。
さらにロックされたセッションを完全に/部分的に、または恒久的に/一時的に他者へ委譲したいというニーズがあります。
Evidian Authentication Manager は様々なビジネス における利用ケースに対応し、ワークステーションやサーバーに対するユーザー認証強化の仕組みを提供します。
特長
強固なユーザー認証で「なりすまし」の防止
繰り返し使われる、または、推測しやすい Windows パスワードは第三者による「なりすまし(他人の ID・パスワードを悪用すること)」のリスクがあり、Windows アカウントの監査を大変困難なものとします。
Authentication Manager は、強固なパスワード ポリシーの適用や多要素認証の導入と日々の管理を簡素化し、ユーザー認証ログの監査精度向上にも貢献します。
既存 の LDAP インフラを有効利用
Authentication Manager は、Active Directory など既存の LDAP ディレクトリ上で稼動するので、新規に認証サーバーを導入する必要がありません。
機能
Evidian Authentication Manager は完全に一貫したアクセスセキュリティポリシーを実現します。さらに強力な認証や高精度なログ監査などにより SOX 法、PCI DSS などのコンプライアンスを強化することができます。
ベースとオプション機能
ビジネス ニーズと利用シナリオに応じて、適切なオプションを選択できます。
ヘルプデスクコストの削減
ヘルプ デスク業務の 30% を占めると言われているパスワードや IC カード忘れ等への対応業務。
Authentication Manager では以下の2 つのソリューションによりヘルプ デスク スタッフからパスワード忘れ対応の業務を開放しユーザー自身による対処を可能とします。
- セルフ サービス パスワード リクエスト (SSPR) 機能により、ロックされた PC の解除をヘルプ デスクに問い合わせずにユーザー自身で行う事ができ、PC にログオンできるようになります。
Windows パスワードを忘れた…
あらかじめ登録された質問へ回答…
新しいパスワードでログオン
質問に回答することにより、オフライン時でも一時的なアクセスを利用できます。
- ログオン画面に表示された QR コードをユーザー手持ちのスマートフォンの QRentry によりスキャンすることで、ロックされた PC の解除をユーザー自身で行う事ができ、 PC にログオンできるようになります。
様々な利用ケースへ対応
Authentication Manager は以下の様なビジネスにおける利用ケースに対し適切なユーザー認証機能を提供します。
接客応対の迅速化のために、共有 PC に対するユーザーID の切り替えを素早く行いたい
院内巡回の際、各診察室に設置された PC を同じセッション (同じ画面)で使い続けたい
トレーダーが自身の利用する複数の PC を一回の認証処理で同時に起動したい
外出先からアシスタント、または、同僚へ業務処理を依頼するために自分のアカウント権限を貸したい (自分のパスワードを伝えずにアカウントを委譲したい)
ユーザー/アプリケーション/ PC の組み合わせによるアクセスの許可と拒否を管理
誰が、どのアプリケーション。どの PC から、いつからいつまで、どの認証方式などのようなきめ細かいセキュリティアクセスポリシーを設定することが可能です。
例:
- 顧客データベースへのアクセスは、セキュリティルーム内に設置された PC からしかアクセスが出来ない。アクセス許可は平日の業務時間帯に制限され、DB へのアクセス時には再度のバイオメトリクスによる本人確認が必要
- 研究開発部員は、平日に研究所内の指定された端末から、バイオメトリクスによる認証をした場合に限り、研究開発アプリケーションへアクセスを許可
全てのアクセス、管理操作を監査
全ての認証監査イベントは監査データベースに蓄えられます。レポートは管理コンソールからユーザー毎、アクセスポイント毎、スマートカード毎等を表示できます。
「ユーザー/アプリケーション/PC /認証方法/利用時間帯」などの組み合わせによるアクセス制限を細かく設定することができます。たとえば、顧客情報へのアクセスは「権限のある限られたユーザーに/入退室管理が徹底された室内の PC で/指紋認証を行った場合/平日の営業時間内」のみ許可する等を設定できます。
様々なレポートを作成可能
監査データベースの情報から、グラフィカルで詳細な統計レポートを作成できます。
- 認証方式の種類別統計情報;認証時刻の統計情報;…
- 失敗した認証の統計情報
- シングルサインオンの統計情報 ; パスワード誤りの統計情報 ; パスワード収集の統計情報;等
様々な多因子認証方式を利用可能
ワークステーションの利用あるいはセキュリティ レベルに応じて、異なる認証方式の適用が可能ですので、ニーズによって適切な認証方式の組み合わせを確立できます。
例えば営業部では社員証 (スマートカード) を利用、店舗では静脈認証を利用、ヘルプデスクは USB トークンを利用といった形で単一のシステムで認証方式を使い分けることができます。
- RFID/HID デバイス : Mifare、FeliCa
- スマートカード
- USB トークン (Safenet 等)
- PKA (X.509 証明書)
-
バイオメトリクス:指紋、静脈認証(以下のモードを選択・設定可能)
- Store-On-PC モード
- Store-On-Card モード
- Store-On-Server モード
- Store-On-Server + Match-On-Server モード
- ワン・タイム・パスワード(OTP): RSA SecurID
- スマートフォン (QR コード)
- SMS
- 質問と回答ウィザード ベース認証方式
User Access 構成
|
User Access Client (ユーザー アクセス クライアント) |
Evidian Authentication Manager 又は Evidian Enterprise SSO ソフトウェアがインストールされたユーザーのワークステーションです。 機能範囲 : 強化認証、シングル サインオン、管理ツール |
| User Access Controller
(ユーザー アクセス コントローラ) |
管理操作を処理するサーバーです。監査データベース (SQL)をがインストールされています。 |
|
SSPR サーバー (セルフ・サービス・パスワード・リクエスト サーバー) |
ユーザーからのパスワード リセットの要求を処理するサーバーです。 |
|
User Access Directory (ユーザー アクセス ディレクトリ) |
ユーザーの資格データ、管理設定データ等を保管する標準な LDAP ディレクトリ サーバーです。既存のActive Directoryを用いる場合はスキーマ拡張をして拡張領域にデータを保管します。 |
認証管理ソリューション ・ 全社向けビジネス ソフトウェア多要素認証管理 (パンフレット)
ワークステーションやサーバに対してあらゆる状況で安全なアクセスを提供します。一人のユーザーが一台、もしくは複数の PC にアクセス、複数のユーザーが一台の PC を共有する等、あらゆる認証シナリオをカバーできます。
構成
完全な統合認証ソリューション
Evidian Enterprise SSO との組み合わせで、コンピュータのログオンを多因子認証デバイスを使いセキュリティを強化して、ログオンからアプリケーション認証、リモート クライアント認証または Citrix 仮想環境への認証も含めてすべてのアクセスを管理者が制御することができるようになります。
ユーザーは初回のログオンだけを意識すれば、後の認証はそれぞれのユーザーに応じたポリシーに基づいて自動的に実行されますので、全てのユーザーがパスワード管理にかかる煩わしさから開放され、社内全体の業務効率が飛躍的に上昇します。
QR コードですべての Windows アクセスを制御
QRentry™ により、ユーザーが所有するスマートフォンを使ってQR コードをスキャンすることで Windows ログオンが可能になります。
QRentry はヘルプ デスク コストを大幅に削減できます。Windows パスワードを忘れてしまったユーザー、またはスマート カードや認証用トークンを紛失してしまったユーザーが所有しているスマートフォンを使って、自分自身でコンピュータのアクセスをロック解除できるようになります。また、システム運用技術者の Windows ローカル管理者アカウントの利用を QRentry で制御することにより、ローカル管理者アカウントのパスワード漏洩による セキュリティ ホールを閉塞し、コンプライアンスを順守することが可能になります。
QRentry は、社内の認証強化の展開促進や幅広い認証の利用ケースを カバーする Evidian Authentication Manager モジュールの一機能になります。スマートフォン用 QRentry アプリは Google Play または Apple Store からダウンロードが可能です。
常に利用可能なエンド・ユーザー向けアクセス
パスワードを忘れた場合、またはスマート カードや認証トークンを紛失してしまった場合、ユーザーが所有するスマートフォンを使ってQR コードをスキャンすることでユーザー自身でコンピューター アクセスのロックが解除できます。
社内で認証強化スキームを展開した場合、ユーザーからヘルプ デスクに 「スマート カードを家に忘れた」 、 「指紋装置が動作しないので認証できない」 のようなコールがあります。QRentry ではこのようなケースに対応できます。
- ヘルプ デスクへのコール量を大幅に削減できます。
- ユーザーがヘルプ デスクに連絡できない状況でも、ユーザー自身でコンピューター アクセスのロックを解除できます。(緊急アクセス)
管理者のアクセスにもセキュリティ ポリシーを施行
システム運用技術者が PC のローカル管理者アカウントでアクセスするには、QR コードをスキャンする事が必要になります。この全てのアクセスはシステム運用技術者の名前を中央で監査でき、システム運用技術者に付与された管理者特権を即座に削除する事もできます。エンド・ユーザーは(管理者権限を取得するために)システム運用技術者の操作を真似ることはできません。
QRentry では、変更しにくく広く知れ渡ってしまうローカル管理者アカウントでよくある 「admin/admin」 パスワードを使用してしまうケースを防ぎます。ローカル管理者アカウントにもセキュリティ ポリシーのコンプライアンスを実施できるようになります。
- ネットワークに接続できない場合でも、マウス、USB ポートや強化認証デバイスが壊れた場合でも利用可能です。
- リモートによるトラブル対応の場合でも利用可能です。
スモール フット プリントの展開
- 追加ハードウェアやソフトウェアが不要です。
- ユーザー自身で自分のスマートフォンを登録できます。
- PC のネットワーク接続が不要、スマートフォン側のネットワーク接続も不要です。
セキュリティと機密性
- 一回限り有効なアクセス コードを使用する仕組みです。
- アクセスは全て制御でき、中央に監査されます。
- 特定アプリケーションにアクセス制限を実施できます。
ユーザーに親和性の高いソリューション
- QR コードの利用方法は広く知れ渡っております。
- 米国のモバイル ユーザーの 55% 以上はスマートフォンを所有しています。 (Nielsen 2012)
- 会社のイノベーション イメージが上がる効果があります。
認証管理ソリューション ・ スマートフォンによるワーク ステーションへのセキュア アクセス (パンフレット)
QRentry はヘルプ デスク コストを大幅に削減できます。Windows パスワードを忘れてしまったユーザー、またはスマート カードや認証用トークンを紛失してしまったユーザーが所有しているスマートフォンを使って、自分自身でコンピュータのアクセスをロック解除できるようになります。また、システム運用管理者の Windows ローカル管理者アカウントの利用を QRentry で制御することにより、ローカル セキュリティ ホールを閉塞され、法令・規則のコンプライアンスを実施することが可能になります。
認証管理 ・ ビデオ
Evidian Authentication Manager におけるスマートカード、バイオメトリクス、RFID などの異なる認証の管理方法について。
Windows のパスワードを忘れた、アカウントがロックされた、またはスマートカードが破損した場合でも、業務をそのまま継続できます。このビデオでは、どんな状況でもアプリケーションへの緊急アクセスが可能になる Evidian のセルフ サービス パスワード リセット機能を紹介します。
病院、小売店、生産ラインでは、複数のユーザーが 1 台の PC を共有する必要があります。Evidian ソリューションでは自動ログインや、セッションを常時オープンにしておく必要はなく、ユーザーはシンプルな RFID 認証で Windows セッションを共有できます。すべてのアクセスはユーザー単位に分けられ、ユーザー名で監査されます。
