簡素なパスワードは多くの認証ポリシーでウィークポイントになります
繰り返し使われる、推測しやすい Windows パスワードは侵入されるリスクがあり、使用している Windows アカウントを正確に監査する事も非常に困難になります。
強固な多要素認証はデバイス+パスワード、生体認証に入れ替える事により解決する事ができます。しかし強固な認証を実施する際、操作上の制限が生まれる事も考慮する必要があります。何千ものユーザーに導入、管理するために全てのユーザーの利用ケースを考慮する必要があります。
特別なユーザーの利用ケースも考慮する必要があります
販売店、もしくは支店にいる従業員は Windows ログオフ、ログオンせずにすぐに各ユーザー毎の環境に切替え、共通のキオスク PC を共有したいというニーズがあります。
医者は病院内を歩き回りますが、その医者が利用するすべての PC を一つのセッションで使い続けたいというニーズがあります。
トレーダー、もしくは制御室担当は一回の認証で複数の PC に対してロック、ロック解除、セッションオープン、セッションクローズをしたいというニーズがあります。
さらにロックされたセッションを完全に/部分的に、または恒久的に/一時的に他者へ委譲したいというニーズがあります。
Evidian Authentication Manager は様々なビジネス における利用ケースに対応し、ワークステーションやサーバーに対するユーザー認証強化の仕組みを提供します。
繰り返し使われる、または、推測しやすい Windows パスワードは第三者による「なりすまし(他人の ID・パスワードを悪用すること)」のリスクがあり、Windows アカウントの監査を大変困難なものとします。
Authentication Manager は、強固なパスワード ポリシーの適用や多要素認証の導入と日々の管理を簡素化し、ユーザー認証ログの監査精度向上にも貢献します。
Authentication Manager は、Active Directory など既存の LDAP ディレクトリ上で稼動するので、新規に認証サーバーを導入する必要がありません。
ヘルプ デスク業務の 30% を占めると言われているパスワードや IC カード忘れ等への対応業務。
Authentication Manager では以下の2 つのソリューションによりヘルプ デスク スタッフからパスワード忘れ対応の業務を開放しユーザー自身による対処を可能とします。
 |  |  |
| Windows パスワードを忘れた… | あらかじめ登録された質問へ回答… | 新しいパスワードでログオン |
質問に回答することにより、オフライン時でも一時的なアクセスを利用できます。
Authentication Manager は以下の様なビジネスにおける利用ケースに対し適切なユーザー認証機能を提供します。
 |
|
 |
|
 |
|
 |
|
誰が、どのアプリケーション。どの PC から、いつからいつまで、どの認証方式などのようなきめ細かいセキュリティ アクセス ポリシーを設定することが可能です。例:
|  |
全ての認証監査イベントは監査データベースに蓄えられます。レポートは管理コンソールからユーザー毎、アクセスポイント毎、スマートカード毎等を表示できます。
「ユーザー/アプリケーション/ PC /認証方法/利用時間帯」などの組み合わせによるアクセス制限を細かく設定することができます。たとえば、顧客情報へのアクセスは「権限のある限られたユーザーに/入退室管理が徹底された室内の PC で/指紋認証を行った場合/平日の営業時間内」のみ許可する等を設定できます。
監査データベースの情報から、グラフィカルで詳細な統計レポートを作成できます。
♦ 認証方式の種類別統計情報;認証時刻の統計情報;…
♦ 失敗した認証の統計情報
♦ シングルサインオンの統計情報 ; パスワード誤りの統計情報 ; パスワード収集の統計情報;等
 |  |
 |  |
→ 認証管理ソリューション ・ 全社向けビジネス ソフトウェア多要素認証管理 (パンフレット)(PDF)[+] ワークステーションやサーバに対してあらゆる状況で安全なアクセスを提供します。一人のユーザーが一台、もしくは複数の PC にアクセス、複数のユーザーが一台の PC を共有する等、あらゆる認証シナリオをカバーできます。 |  |
Evidian Authentication Manager は完全に一貫したアクセスセキュリティポリシーを実現します。さらに強力な認証や高精度なログ監査などにより SOX 法、PCI DSS などのコンプライアンスを強化することができます。
ビジネス ニーズと利用シナリオに応じて、適切なオプションを選択できます。
ワークステーションの利用あるいはセキュリティ レベルに応じて、異なる認証方式の適用が可能ですので、ニーズによって適切な認証方式の組み合わせを確立できます。
例えば営業部では社員証 (スマートカード) を利用、店舗では静脈認証を利用、ヘルプデスクは USB トークンを利用といった形で単一のシステムで認証方式を使い分けることができます。
♦ Store-On-PC モード
♦ Store-On-Card モード
♦ Store-On-Server モード
♦ Store-On-Server + Match-On-Server モード
→ 認証管理ソリューション ・ 全社向けビジネス ソフトウェア多要素認証管理 (パンフレット)(PDF)[+] ワークステーションやサーバに対してあらゆる状況で安全なアクセスを提供します。一人のユーザーが一台、もしくは複数の PC にアクセス、複数のユーザーが一台の PC を共有する等、あらゆる認証シナリオをカバーできます。 | |
Evidian Enterprise SSO との組み合わせで、コンピュータのログオンを多因子認証デバイスを使いセキュリティを強化して、ログオンからアプリケーション認証、リモート クライアント認証または Citrix 仮想環境への認証も含めてすべてのアクセスを管理者が制御することができるようになります。
ユーザーは初回のログオンだけを意識すれば、後の認証はそれぞれのユーザーに応じたポリシーに基づいて自動的に実行されますので、全てのユーザーがパスワード管理にかかる煩わしさから開放され、社内全体の業務効率が飛躍的に上昇します。
→ 認証管理ソリューション ・ 全社向けビジネス ソフトウェア多要素認証管理 (パンフレット)(PDF)[+] ワークステーションやサーバに対してあらゆる状況で安全なアクセスを提供します。一人のユーザーが一台、もしくは複数の PC にアクセス、複数のユーザーが一台の PC を共有する等、あらゆる認証シナリオをカバーできます。 | |
QRentry™ により、ユーザーが所有するスマートフォンを使ってQR コードをスキャンすることで Windows ログオンが可能になります。
QRentry はヘルプ デスク コストを大幅に削減できます。Windows パスワードを忘れてしまったユーザー、またはスマート カードや認証用トークンを紛失してしまったユーザーが所有しているスマートフォンを使って、自分自身でコンピュータのアクセスをロック解除できるようになります。また、システム運用技術者の Windows ローカル管理者アカウントの利用を QRentry で制御することにより、ローカル管理者アカウントのパスワード漏洩による セキュリティ ホールを閉塞し、コンプライアンスを順守することが可能になります。
QRentry は、社内の認証強化の展開促進や幅広い認証の利用ケースを カバーする Evidian Authentication Manager モジュールの一機能になります。スマートフォン用 QRentry アプリは Google Play または Apple Store からダウンロードが可能です。
パスワードを忘れた場合、またはスマート カードや認証トークンを紛失してしまった場合、ユーザーが所有するスマートフォンを使ってQR コードをスキャンすることでユーザー自身でコンピューター アクセスのロックが解除できます。
社内で認証強化スキームを展開した場合、ユーザーからヘルプ デスクに 「スマート カードを家に忘れた」 、 「指紋装置が動作しないので認証できない」 のようなコールがあります。QRentry ではこのようなケースに対応できます。
管理者のアクセスにもセキュリティ ポリシーを施行
システム運用技術者が PC のローカル管理者アカウントでアクセスするには、QR コードをスキャンする事が必要になります。この全てのアクセスはシステム運用技術者の名前を中央で監査でき、システム運用技術者に付与された管理者特権を即座に削除する事もできます。エンド・ユーザーは(管理者権限を取得するために)システム運用技術者の操作を真似ることはできません。
QRentry では、変更しにくく広く知れ渡ってしまうローカル管理者アカウントでよくある 「admin/admin」 パスワードを使用してしまうケースを防ぎます。ローカル管理者アカウントにもセキュリティ ポリシーのコンプライアンスを実施できるようになります。
→ 認証管理ソリューション ・ スマートフォンによるワーク ステーションへのセキュア アクセス (パンフレット)(PDF)[+] QRentry はヘルプ デスク コストを大幅に削減できます。Windows パスワードを忘れてしまったユーザー、またはスマート カードや認証用トークンを紛失してしまったユーザーが所有しているスマートフォンを使って、自分自身でコンピュータのアクセスをロック解除できるようになります。また、システム運用管理者の Windows ローカル管理者アカウントの利用を QRentry で制御することにより、ローカル セキュリティ ホールを閉塞され、法令・規則のコンプライアンスを実施することが可能になります。 |  |
User Access Client (ユーザー アクセス クライアント) | Evidian Authentication Manager 又は Evidian Enterprise SSO ソフトウェアがインストールされたユーザーのワークステーションです。 機能範囲 : 強化認証、シングル サインオン、管理ツール |
| User Access Controller(ユーザー アクセス コントローラ) | 管理操作を処理するサーバーです。監査データベース (SQL) をがインストールされています。 |
SSPR サーバー (セルフ・サービス・パスワード・リクエスト サーバー) | ユーザーからのパスワード リセットの要求を処理するサーバーです。 |
| User Access Directory(ユーザー アクセス ディレクトリ) | ユーザーの資格データ、管理設定データ等を保管する標準的な LDAP ディレクトリ サーバーです。既存の Active Directory を用いる場合はスキーマ拡張をして拡張領域にデータを保管します。 |
| |
|
サポート OS | 32 ビット版 | 64 ビット版 |
Windows 10 | 初回リリース版 | 初回リリース版 |
Windows 8 Pro / Windows 8 Enterprise | 8.0 (初回リリース版)、8.1 | 8.0 (初回リリース版)、8.1 |
Windows 7 | SP0 (初回リリース版)、SP1 | SP0 (初回リリース版)、SP1 |
Windows XP Home / Windows XP Professional | SP1、SP2、SP3 | SP2 |
Windows Server 2012 | 該当なし | 初回リリース版、R2 |
Windows Server 2008 | R2 (初回リリース版)、R2 SP2 | R2 (初回リリース版)、R2 SP1 |
Windows Server 2003 | SP0 (初回リリース版)、SP1、SP2、R1、R2 | R2 SP2
|
(CPU : 1GHz 以上を推奨 – メモリ : 512MB 以上を推奨)
Citrix / XenAPP 環境 | XenApp (Citrix Presentation Server) 4.5, 5.0, 6.0, 6.5, 7.5, 7.6 |
VMWare Horizon 環境 | VMWare Horizon client 4.1.0.1487 |
サポート OS | 32 ビット版 | 64 ビット版 |
| Windows Server 2012 | 該当なし | 初回リリース版、R2 |
| Windows Server 2008 | 初回リリース版、SP2 | R2 (初回リリース版)、 R2 SP1 |
(CPU : Intel Core 2 Duo 以上を推奨 – メモリ : 2GB 以上を推奨)
| サポート データベース |
|
LDAP ディレクトリ | サポート OS / サポート ディレクトリ |
Microsoft Active Directory |
|
Microsoft Active Directory Lightweight Directory Services (AD LDS) |
|
Oracle Directory Server |
|
389 Directory Server |
|
OpenLDAP |
|
Novell eDirectory |
|
→ 認証管理ソリューション ・ 全社向けビジネス ソフトウェア多要素認証管理 (パンフレット)(PDF)[+] ワークステーションやサーバに対してあらゆる状況で安全なアクセスを提供します。一人のユーザーが一台、もしくは複数の PC にアクセス、複数のユーザーが一台の PC を共有する等、あらゆる認証シナリオをカバーできます。 | |
Evidian Authentication Manager におけるスマートカード、バイオメトリクス、RFID などの異なる認証の管理方法について
Windows のパスワードを忘れた、アカウントがロックされた、またはスマートカードが破損した場合でも、業務をそのまま継続できます。このビデオでは、どんな状況でもアプリケーションへの緊急アクセスが可能になる Evidian のセルフ サービス パスワード リセット機能を紹介します。
病院、小売店、生産ラインでは、複数のユーザーが 1 台の PC を共有する必要があります。Evidian ソリューションでは自動ログインや、セッションを常時オープンにしておく必要はなく、ユーザーはシンプルな RFID 認証で Windows セッションを共有できます。すべてのアクセスはユーザー単位に分けられ、ユーザー名で監査されます。
病院では通常、部屋毎に置かれている複数の PC にログオンする必要があります。Evidian では、ローミング セッションによるシンプルな認証を用意しています。1 度開始したセッションは、RFID バッジを使用するだけで、どの PC からでもそのセッションにアクセスできるようになります。
証券取引所の立会場やオペレーション センターでは複数の PC に同時にアクセスする必要があります。Evidian では、一回の認証で複数台のワークステーションのセッションを開始する機能を提供します。
副 IT マネージャーの Herbert Stangl (ハーバート・シュタングル)氏 「Evidian Enterprise SSO によって、当病院の臨床スタッフは各自のデータに簡単かつ安全にアクセスできるようになり、また、トレーサビリティや可監査性に関する法的要件も確保されました。臨床アプリケーションの直接的で流動的なワークフローを、制限のない状態で実践できるようになりました」
IM&T 幹部の Tunde Ishola (ツンデ・イソラ)氏 「主要アプリケーションへのアクセスを簡易化したため、スタッフは必要な日常業務を一度のログインで実行でき、より多くの時間とリソースが患者様のケアに充てられるようになりました」
Barclays PLC (バークレイズ) は Evidian Authentication Manager および Evidian Enterprise SSO を 1,500 名のユーザー向けに選択しました。ユーザーごとに 1 枚のバイオメトリクス スマートカードが配られます。自分のスマートカードを挿入すると、ユーザーは指紋をスキャンすることで認証され、通常の PIN コードの代わりになります。シングル サインオン機能によって、ユーザーは透過的で安全にアプリケーションの認証を行うことができます。
Self Service Password Request オプションにより、スマートカードを忘れたユーザーの業務の継続性は、いくつかの質問に正解することで一時的なアクセスが付与されるという方法で保証されます。このソリューションでは、セキュリティ責任者はすべてのユーザー アクセスの監査およびレポートによってセキュリティ システムの準拠を確認できます。
