認証管理
Evidian Authentication Manager
簡素なパスワードは多くの認証ポリシーでウィークポイントになります
繰り返し使われる、推測しやすい Windows パスワードは侵入されるリスクがあり、使用している Windows アカウントを正確に監査する事も非常に困難になります。
強固な多要素認証はデバイス+パスワード、生体認証に入れ替える事により解決する事ができます。しかし強固な認証を実施する際、操作上の制限が生まれる事も考慮する必要があります。何千ものユーザーに導入、管理するために全てのユーザーの利用ケースを考慮する必要があります。
特別なユーザーの利用ケースも考慮する必要があります
販売店、もしくは支店にいる従業員は Windows ログオフ、ログオンせずにすぐに各ユーザー毎の環境に切替え、共通のキオスク PC を共有したいというニーズがあります。
医者は病院内を歩き回りますが、その医者が利用するすべての PC を一つのセッションで使い続けたいというニーズがあります。
トレーダー、もしくは制御室担当は一回の認証で複数の PC に対してロック、ロック解除、セッションオープン、セッションクローズをしたいというニーズがあります。
さらにロックされたセッションを完全に/部分的に、または恒久的に/一時的に他者へ委譲したいというニーズがあります。
Evidian Authentication Manager は様々なビジネス における利用ケースに対応し、ワークステーションやサーバーに対するユーザー認証強化の仕組みを提供します。
◆強固なユーザー認証で「なりすまし」の防止
繰り返し使われる、または、推測しやすい Windows パスワードは第三者による「なりすまし(他人の ID・パスワードを悪用すること)」のリスクがあり、Windows アカウントの監査を大変困難なものとします。
Authentication Manager は、強固なパスワード ポリシーの適用や多要素認証の導入と日々の管理を簡素化し、ユーザー認証ログの監査精度向上にも貢献します。
◆既存 の LDAP インフラを有効利用
Authentication Manager は、Active Directory など既存の LDAP ディレクトリ上で稼動するので、新規に認証サーバーを導入する必要がありません。
◆ヘルプデスクコストの削減
ヘルプ デスク業務の 30% を占めると言われているパスワードや IC カード忘れ等への対応業務。
Authentication Manager では以下の2 つのソリューションによりヘルプ デスク スタッフからパスワード忘れ対応の業務を開放しユーザー自身による対処を可能とします。
- セルフ サービス パスワード リクエスト (SSPR) 機能により、ロックされた PC の解除をヘルプ デスクに問い合わせずにユーザー自身で行う事ができ、PC にログオンできるようになります。
Windows パスワードを忘れた… | あらかじめ登録された質問へ回答… | 新しいパスワードでログオン |
質問に回答することにより、オフライン時でも一時的なアクセスを利用できます。
- ログオン画面に表示された QR コードをユーザー手持ちのスマートフォンの QRentry によりスキャンすることで、ロックされた PC の解除をユーザー自身で行う事ができ、 PC にログオンできるようになります。
◆様々な利用ケースへ対応
Authentication Manager は以下の様なビジネスにおける利用ケースに対し適切なユーザー認証機能を提供します。
|
|
|
|
|
|
|
◆ユーザー/アプリケーション/ PC の組み合わせによるアクセスの許可と拒否を管理
◆全てのアクセス、管理操作を監査
全ての認証監査イベントは監査データベースに蓄えられます。レポートは管理コンソールからユーザー毎、アクセスポイント毎、スマートカード毎等を表示できます。
「ユーザー/アプリケーション/ PC /認証方法/利用時間帯」などの組み合わせによるアクセス制限を細かく設定することができます。たとえば、顧客情報へのアクセスは「権限のある限られたユーザーに/入退室管理が徹底された室内の PC で/指紋認証を行った場合/平日の営業時間内」のみ許可する等を設定できます。
◆様々なレポートを作成可能
監査データベースの情報から、グラフィカルで詳細な統計レポートを作成できます。
♦ 認証方式の種類別統計情報;認証時刻の統計情報;…
♦ 失敗した認証の統計情報
♦ シングルサインオンの統計情報 ; パスワード誤りの統計情報 ; パスワード収集の統計情報;等
|
|
|
|
→ 認証管理ソリューション ・ 全社向けビジネス ソフトウェア多要素認証管理 (パンフレット)(PDF)[+] ワークステーションやサーバに対してあらゆる状況で安全なアクセスを提供します。一人のユーザーが一台、もしくは複数の PC にアクセス、複数のユーザーが一台の PC を共有する等、あらゆる認証シナリオをカバーできます。 |
Evidian Authentication Manager は完全に一貫したアクセスセキュリティポリシーを実現します。さらに強力な認証や高精度なログ監査などにより SOX 法、PCI DSS などのコンプライアンスを強化することができます。
◆ベースとオプション機能
ビジネス ニーズと利用シナリオに応じて、適切なオプションを選択できます。
◆様々な多因子認証方式を利用可能
ワークステーションの利用あるいはセキュリティ レベルに応じて、異なる認証方式の適用が可能ですので、ニーズによって適切な認証方式の組み合わせを確立できます。
例えば営業部では社員証 (スマートカード) を利用、店舗では静脈認証を利用、ヘルプデスクは USB トークンを利用といった形で単一のシステムで認証方式を使い分けることができます。
- RFID/HID デバイス : Mifare、FeliCa
- スマートカード
- USB トークン (Safenet 等)
- PKA (X.509 証明書)
- バイオメトリクス:指紋、静脈認証(以下のモードを選択・設定可能)
♦ Store-On-PC モード
♦ Store-On-Card モード
♦ Store-On-Server モード
♦ Store-On-Server + Match-On-Server モード
- ワン・タイム・パスワード(OTP): RSA SecurID
- スマートフォン (QR コード)
- SMS
- 質問と回答ウィザード ベース認証方式
→ 認証管理ソリューション ・ 全社向けビジネス ソフトウェア多要素認証管理 (パンフレット)(PDF)[+] ワークステーションやサーバに対してあらゆる状況で安全なアクセスを提供します。一人のユーザーが一台、もしくは複数の PC にアクセス、複数のユーザーが一台の PC を共有する等、あらゆる認証シナリオをカバーできます。 |
◆完全な統合認証ソリューション
Evidian Enterprise SSO との組み合わせで、コンピュータのログオンを多因子認証デバイスを使いセキュリティを強化して、ログオンからアプリケーション認証、リモート クライアント認証または Citrix 仮想環境への認証も含めてすべてのアクセスを管理者が制御することができるようになります。
ユーザーは初回のログオンだけを意識すれば、後の認証はそれぞれのユーザーに応じたポリシーに基づいて自動的に実行されますので、全てのユーザーがパスワード管理にかかる煩わしさから開放され、社内全体の業務効率が飛躍的に上昇します。
→ 認証管理ソリューション ・ 全社向けビジネス ソフトウェア多要素認証管理 (パンフレット)(PDF)[+] ワークステーションやサーバに対してあらゆる状況で安全なアクセスを提供します。一人のユーザーが一台、もしくは複数の PC にアクセス、複数のユーザーが一台の PC を共有する等、あらゆる認証シナリオをカバーできます。 |
QR コードですべての Windows アクセスを制御
QRentry™ により、ユーザーが所有するスマートフォンを使ってQR コードをスキャンすることで Windows ログオンが可能になります。
QRentry はヘルプ デスク コストを大幅に削減できます。Windows パスワードを忘れてしまったユーザー、またはスマート カードや認証用トークンを紛失してしまったユーザーが所有しているスマートフォンを使って、自分自身でコンピュータのアクセスをロック解除できるようになります。また、システム運用技術者の Windows ローカル管理者アカウントの利用を QRentry で制御することにより、ローカル管理者アカウントのパスワード漏洩による セキュリティ ホールを閉塞し、コンプライアンスを順守することが可能になります。
QRentry は、社内の認証強化の展開促進や幅広い認証の利用ケースを カバーする Evidian Authentication Manager モジュールの一機能になります。スマートフォン用 QRentry アプリは Google Play または Apple Store からダウンロードが可能です。
QRentry の利用ケースのビデオを視聴:
常に利用可能なエンド・ユーザー向けアクセス
パスワードを忘れた場合、またはスマート カードや認証トークンを紛失してしまった場合、ユーザーが所有するスマートフォンを使ってQR コードをスキャンすることでユーザー自身でコンピューター アクセスのロックが解除できます。
社内で認証強化スキームを展開した場合、ユーザーからヘルプ デスクに 「スマート カードを家に忘れた」 、 「指紋装置が動作しないので認証できない」 のようなコールがあります。QRentry ではこのようなケースに対応できます。
- ヘルプ デスクへのコール量を大幅に削減できます。
- ユーザーがヘルプ デスクに連絡できない状況でも、ユーザー自身でコンピューター アクセスのロックを解除できます。(緊急アクセス)
管理者のアクセスにもセキュリティ ポリシーを施行
システム運用技術者が PC のローカル管理者アカウントでアクセスするには、QR コードをスキャンする事が必要になります。この全てのアクセスはシステム運用技術者の名前を中央で監査でき、システム運用技術者に付与された管理者特権を即座に削除する事もできます。エンド・ユーザーは(管理者権限を取得するために)システム運用技術者の操作を真似ることはできません。
QRentry では、変更しにくく広く知れ渡ってしまうローカル管理者アカウントでよくある 「admin/admin」 パスワードを使用してしまうケースを防ぎます。ローカル管理者アカウントにもセキュリティ ポリシーのコンプライアンスを実施できるようになります。
- ネットワークに接続できない場合でも、マウス、USB ポートや強化認証デバイスが壊れた場合でも利用可能です。
- リモートによるトラブル対応の場合でも利用可能です。
機能概要
スモール フット プリントの展開
- 追加ハードウェアやソフトウェアが不要です。
- ユーザー自身で自分のスマートフォンを登録できます。
- PC のネットワーク接続が不要、スマートフォン側のネットワーク接続も不要です。
セキュリティと機密性
- 一回限り有効なアクセス コードを使用する仕組みです。
- アクセスは全て制御でき、中央に監査されます。
- 特定アプリケーションにアクセス制限を実施できます。
ユーザーに親和性の高いソリューション
- QR コードの利用方法は広く知れ渡っております。
- 米国のモバイル ユーザーの 55% 以上はスマートフォンを所有しています。 (Nielsen 2012)
- 会社のイノベーション イメージが上がる効果があります。
→ 認証管理ソリューション ・ スマートフォンによるワーク ステーションへのセキュア アクセス (パンフレット)(PDF)[+] QRentry はヘルプ デスク コストを大幅に削減できます。Windows パスワードを忘れてしまったユーザー、またはスマート カードや認証用トークンを紛失してしまったユーザーが所有しているスマートフォンを使って、自分自身でコンピュータのアクセスをロック解除できるようになります。また、システム運用管理者の Windows ローカル管理者アカウントの利用を QRentry で制御することにより、ローカル セキュリティ ホールを閉塞され、法令・規則のコンプライアンスを実施することが可能になります。 |
♦ User Access 構成
User Access Client (ユーザー アクセス クライアント) |
Evidian Authentication Manager 又は Evidian Enterprise SSO ソフトウェアがインストールされたユーザーのワークステーションです。 機能範囲 : 強化認証、シングル サインオン、管理ツール |
User Access Controller(ユーザー アクセス コントローラ) | 管理操作を処理するサーバーです。監査データベース (SQL) をがインストールされています。 |
SSPR サーバー (セルフ・サービス・パスワード・リクエスト サーバー) |
ユーザーからのパスワード リセットの要求を処理するサーバーです。 |
User Access Directory(ユーザー アクセス ディレクトリ) |
ユーザーの資格データ、管理設定データ等を保管する標準的な LDAP ディレクトリ サーバーです。既存の Active Directory を用いる場合はスキーマ拡張をして拡張領域にデータを保管します。 |
♦ User Access Client (ユーザー アクセス クライアント) の動作環境
サポート OS |
32 ビット版 |
64 ビット版 |
Windows 10 |
初回リリース版 |
初回リリース版 |
Windows 8 Pro / Windows 8 Enterprise |
8.0 (初回リリース版)、8.1 |
8.0 (初回リリース版)、8.1 |
Windows 7 |
SP0 (初回リリース版)、SP1 |
SP0 (初回リリース版)、SP1 |
Windows XP Home / Windows XP Professional |
SP1、SP2、SP3 |
SP2 |
Windows Server 2012 |
該当なし |
初回リリース版、R2 |
Windows Server 2008 |
R2 (初回リリース版)、R2 SP2 |
R2 (初回リリース版)、R2 SP1 |
Windows Server 2003 |
SP0 (初回リリース版)、SP1、SP2、R1、R2 |
R2 SP2
|
(CPU : 1GHz 以上を推奨 - メモリ : 512MB 以上を推奨)
Citrix / XenAPP 環境 |
XenApp (Citrix Presentation Server) 4.5, 5.0, 6.0, 6.5, 7.5, 7.6 |
VMWare Horizon 環境 |
VMWare Horizon client 4.1.0.1487 |
♦ User Access Controller (ユーザー アクセス コントローラ) / SSPR サーバーの動作環境
サポート OS |
32 ビット版 |
64 ビット版 |
Windows Server 2012 | 該当なし | 初回リリース版、R2 |
Windows Server 2008 | 初回リリース版、SP2 | R2 (初回リリース版)、 R2 SP1 |
(CPU : Intel Core 2 Duo 以上を推奨 - メモリ : 2GB 以上を推奨)
サポート データベース |
|
♦ User Access Directory (ユーザー アクセス ディレクトリ) の動作環境
LDAP ディレクトリ |
サポート OS / サポート ディレクトリ |
Microsoft Active Directory |
|
Microsoft Active Directory Lightweight Directory Services (AD LDS) |
|
Oracle Directory Server |
|
389 Directory Server |
|
OpenLDAP |
|
Novell eDirectory |
|
→ 認証管理ソリューション ・ 全社向けビジネス ソフトウェア多要素認証管理 (パンフレット)(PDF)[+] ワークステーションやサーバに対してあらゆる状況で安全なアクセスを提供します。一人のユーザーが一台、もしくは複数の PC にアクセス、複数のユーザーが一台の PC を共有する等、あらゆる認証シナリオをカバーできます。 |
認証管理 ・ ビデオ
Evidian Authentication Manager におけるスマートカード、バイオメトリクス、RFID などの異なる認証の管理方法について
Windows のパスワードを忘れた、アカウントがロックされた、またはスマートカードが破損した場合でも、業務をそのまま継続できます。このビデオでは、どんな状況でもアプリケーションへの緊急アクセスが可能になる Evidian のセルフ サービス パスワード リセット機能を紹介します。
病院、小売店、生産ラインでは、複数のユーザーが 1 台の PC を共有する必要があります。Evidian ソリューションでは自動ログインや、セッションを常時オープンにしておく必要はなく、ユーザーはシンプルな RFID 認証で Windows セッションを共有できます。すべてのアクセスはユーザー単位に分けられ、ユーザー名で監査されます。
病院では通常、部屋毎に置かれている複数の PC にログオンする必要があります。Evidian では、ローミング セッションによるシンプルな認証を用意しています。1 度開始したセッションは、RFID バッジを使用するだけで、どの PC からでもそのセッションにアクセスできるようになります。
証券取引所の立会場やオペレーション センターでは複数の PC に同時にアクセスする必要があります。Evidian では、一回の認証で複数台のワークステーションのセッションを開始する機能を提供します。
認証管理 ・ 導入事例
副 IT マネージャーの Herbert Stangl (ハーバート・シュタングル)氏 「Evidian Enterprise SSO によって、当病院の臨床スタッフは各自のデータに簡単かつ安全にアクセスできるようになり、また、トレーサビリティや可監査性に関する法的要件も確保されました。臨床アプリケーションの直接的で流動的なワークフローを、制限のない状態で実践できるようになりました」
IM&T 幹部の Tunde Ishola (ツンデ・イソラ)氏 「主要アプリケーションへのアクセスを簡易化したため、スタッフは必要な日常業務を一度のログインで実行でき、より多くの時間とリソースが患者様のケアに充てられるようになりました」
- Barclays (フランス)
Barclays PLC (バークレイズ) は Evidian Authentication Manager および Evidian Enterprise SSO を 1,500 名のユーザー向けに選択しました。ユーザーごとに 1 枚のバイオメトリクス スマートカードが配られます。自分のスマートカードを挿入すると、ユーザーは指紋をスキャンすることで認証され、通常の PIN コードの代わりになります。シングル サインオン機能によって、ユーザーは透過的で安全にアプリケーションの認証を行うことができます。
Self Service Password Request オプションにより、スマートカードを忘れたユーザーの業務の継続性は、いくつかの質問に正解することで一時的なアクセスが付与されるという方法で保証されます。このソリューションでは、セキュリティ責任者はすべてのユーザー アクセスの監査およびレポートによってセキュリティ システムの準拠を確認できます。