多要素認証が求められる背景と IceWall MFA概要

多要素認証が求められる背景と

IceWall MFA概要

日本ヒューレット・パッカード株式会社

IceWallソフトウェア本部

Agenda

 多要素認証が求められる背景

 IceWall MFA ご紹介

 まとめ

多要素認証が

企業情報システムで今まさに起きている変化

企業でのクラウド資源の

大幅活用

社内で使うシステムは

社内LANの中

スマホ/タブレットも含めた

マルチデバイスの利用

ほとんどのユーザー端末は

基本的にWindows PC

働き方改革と在宅勤務の推進

仕事をするのは会社の中

ビジネスチャンス獲得のための

積極的かつ能動的な変化

コスト削減のための変化の抑制

（いわゆる「塩漬け」）

無線LAN中心の

社内ネットワーク

ケーブル中心の

社内ネットワーク

これまで

これから

認証に求められるセキュリティの変化

これまで

これから

あらゆる場所・あらゆる機器から

あらゆるITリソースへ

社内にある会社支給PCのみ

ITリソースにアクセス可能

実は「扉」「壁」「人の目」などの

物理セキュリティに依存していた

ますます情報技術に基づく強固な

認証セキュリティが要求される

標的型攻撃によってパスワードが盗難された事例

出展：IPA(独立行政法人 情報処理推進機構) 「標的型攻撃メールの分析に関するレポート」より <https://www.ipa.go.jp/files/000024771.pdf>

①取引先になりすました

偽メールが送られる

①メール添付のPDFを開くと

_{PDF Viewerの脆弱性を突き、}

PCを乗っ取り

①キーボードの打鍵を記録するマルウェア

が埋め込まれ、パスワードも含めた

全てのキー入力が攻撃者に送信された

• メール経由の標的型攻撃によって送り込まれるマルウェアは、

ウィルス対策ソフトでは探知されない場合も多く、

実際のビジネスメールを巧妙に装っているため、感染防止が極めて難しい

• 標的型攻撃の他にも、総当り攻撃、辞書攻撃、ソーシャルエンジニアリング、

フィッシングなどによって、比較的容易にパスワードが漏洩することが知られている

旧来の多要素認証ソリューションとその課題

 特定デバイスに強く依存し、

タブレットやスマホなどの

マルチデバイスに対応出来ない

 認証方式が標準化されておらず

一旦導入するとベンダロックされやすい

 多要素認証の導入には

アプリなど既存システム側の改修が必要

改修できないアプリは認証強化できない

 アプリ種別やアクセス場所に応じた

柔軟なポリシー設定が出来ない

課題

ICカードなどの

鍵デバイスによる認証

ワンタイムパスワード

指紋などの生体認証

これから求められる多要素認証ソリューション

スマホやタブレットなど

マルチデバイスに

対応した多要素認証

標準規格をベースに

低コストで

ベンダロックされない

多要素認証

アプリの改修が不要で

広い範囲に適用できる

多要素認証

SaaSにも対応した

多要素認証

_{複数の認証方式を}

状況に応じて

使い分けたい

災害時のBCP対策として

自宅PCなどでも仕える

多要素認証

これらのご要望にお応えするのがIceWall MFA

IceWall MFAとは

IceWall MFAは、アプリケーションやクラウドサービスを改修せずに、

多要素認証（Multi Factor Authentication）で認証を強化できるソリューションです。

認証・認可

Webアプリ

クラウドサービス

ID・パスワードで

認証

IceWall MFAが

認証・認可を代行

Office 365

ユーザー

＋

他の方式で

認証

複数の方式で認証強化

アプリ・クラウドの

_{改修は不要}

（多要素認証）

認証DB

IceWall

MFA

salesforce.com

Password:

ID/パスワードだけでなく、

様々な認証方式を低コストで利用可能

FIDO

※

準拠の認証デバイス

「FIDO U2F セキュリティキー」等の標準デバイスが使用可能

 ワンタイムパスワード

標準規格（OATH）のHW/SWトークンが使用可能

 ブラウザー トークン

一度多要素認証を行った端末のブラウザーでは、２回目以降の多要素認証を省略

 統合Windows認証

 その他

Windows Helloやマトリクス、指静脈、指紋、ICカード等にも対応可能

また認証プラグインモジュールの追加により、その他個別の認証方式にも対応可能

Windows

認証方式を各種条件によって動的に決定

認証ポリシーの設定に従って、認証方式が動的に決定されます。

複数の方式の中からユーザーが選択することも可能です。

・HTTPヘッダー情報

・ブラウザークッキーの有無

・ユーザー属性情報

・他

アクセス元情報

アクセス先情報

・・・・・・・

・・・・・・・・・

・・・・・・・

認証ポリシー設定

認証方式を決定（複数可）

・コンテンツURL

http://○○○

http://△△△

https://□□□

IceWall

MFA

Windows

✔

ポリシー例：アクセス元に応じて認証方式を決定

アクセス元（社内/社外）によって認証方式を変える事ができます。

Webアプリ

社内アクセス

＋

社内アクセスは

ID/パスワード

認証のみ

社外アクセスは

ID/パスワード ＋ OTP

認証

認証・認可

認証・認可

コンテンツ

・・・・・・・

・・・・・・・・・

・・・・・・・

認証ポリシー設定

IceWall

MFA

ポリシー例：アクセス先に応じて認証方式を決定

アクセス先のコンテンツ（URL）によって認証方式を変える事ができます。

Webアプリ

＋

通常コンテンツ

機密コンテンツ

通常コンテンツは

ID・パスワード

認証のみ

機密コンテンツは

ID・パスワード ＋ FIDOデバイス

認証

認証・認可

認証・認可

ユーザー

・・・・・・・

・・・・・・・・・

・・・・・・・

認証ポリシー設定

IceWall

MFA

Webアプリ

ポリシー例 ：特定コンテンツアクセス時に追加認証

アクセス先のコンテンツに応じて異なる認証ポリシーを設定した場合、

二段階目以降の認証が設定されたコンテンツにアクセスした際に追加の認証が求めら

れます。

Webアプリ

通常コンテンツ

ID・パスワード で認証

閲覧可能

閲覧要求

FIDOデバイスで

追加認証

追加認証後に

ユーザー操作の流れ

認証・認可

認証・認可

・・・・・・・

・・・・・・・・・

・・・・・・・

認証ポリシー設定

IceWall

MFA

Blocked!

Webアプリ・クラウドサービスの改修不要

IceWall MFAがWebアプリやクラウドサービスへのログインを代行します。

Webアプリやクラウドサービスの改修は不要なので、

広い範囲のWebアプリやクラウドサービスを容易に多要素認証化することができます。

既存Webアプリ

既存クラウド

既存Webアプリ

Password:

既存クラウド

今お使いのWebアプリや

クラウドサービスが・・・

IceWall MFA

を導入すると

Webアプリやクラウドサービスを

改修することなく

それらの認証をIceWall MFAが代行します

シングルサイオン

シングルサインオン機能によって、１回のログインで複数のWebアプリやクラウドサー

ビスにアクセスする事ができます。

認証・認可

クラウドサービス

1回のログインで

複数のアプリにアクセス可

認証DB

ログインは１回のみ

ユーザー

IceWall

MFA

システム構成

IceWall MFAのシステムは、各サーバー/モジュールから構成されます。

ユーザー

Webアプリ

クラウドサービス

認証DB

IceWall

認証サーバー

IceWall

Federation

認証連携

IceWall

MFAサーバー

代行認証/アクセス

MFAプロキシ

モジュール

MFAセルフサービス

モジュール

IceWall MFAサーバー内 各モジュール

ユーザー

Web

アプリ

IceWall

認証サーバー

U2Fプラグイン

OTPプラグイン

ブラウザートークンプラグイン

統合Windows認証プラグイン

MFAコントローラー

モジュール

認証

プラグイン

種々の3rd Party 認証方式との容易な連携

プラグイン仕様公開によるパートナーエコシステム

テクノロジーパートナー各社が提供する様々な認証方式と、プラグインによって容易に

連携可能

• テクノロジーパートナー各社が提供する

各種認証方式とIceWall MFAを連携させ

るための“プラグイン”仕様を公開します。

• テクノロジーパートナーは、公開された

仕様に基づいてプラグイン ソフトウェア

を開発すれば、自社の独自認証を

IceWall MFAの認証方式として利用可

能です。

• 種々の認証方式を統合可能な「認証プ

ラットフォーム」として利用可能です。

IceWall

MFA

指紋認証

マトリックス認証

その他認証方式

虹彩認証

IceWall MFA の特長まとめ

“FIDO”, “OATH” と言った標準規格の認証デバイスから選択して利用可能

→ベンダロックを避けることができ、低コストの認証デバイスを利用可能

→タブレットやスマホなど、マルチデバイスに対応した認証方式も選択可能

アクセス先やアクセス元に応じて、認証方式や要素数を変更可能

→セキュリティを重視したり利便性を重視したり、利用シナリオによって柔軟な対応が可能

Webアプリケーションやクラウドを改修をすることなく、多要素認証化が可能

→改修コスト不要で、広い範囲に多要素認証を適用可能

3

rd

_{Party認証方式との容易な連携を可能にするプラグイン}

→より幅広い認証方式を選択可能

認証方式

(多様な方式に対応)

実装

状況

No

認証方式

IceWall MFA

IceWall SSO

ID識別認証

(*1)

追加認証

(*1)

種別

実

装

済

み

1

ID/パスワード

○

○

IceWall製

○

2

統合Windows認証

○

－

IceWall製

○

3

OTP（OATH準拠）

－

○

3rd Party製

○

4

メールOTP

－

○

IceWall製

－

5

FIDO（U2F）

－

○

IceWall製

－

6

マトリクス（PassLogic）

－

○

3rd Party製

－

7

ブラウザートークン(認証済み端末の登録)

－

○

IceWall製

－

8

拡張機能（カスタムプラグイン開発環境）

○

○

3rd Party製

○

開

発

中

(＊2)

9

IceWall Hello (FIDO2)

○

○

IceWall製

_－

10

指静脈

－

○

3rd Party製

_－

11

ICカード

○

－

3rd Party製

－

12

指紋

－

○

3rd Party製

_－

計

画

13

クライアント証明書

○

－

－

○

リスクベース

－

○

－

_○

*1：組み合せに制限が存在する場合あり（対応ブラウザ他）

*2：提案可能

*3：個別対応可能

IceWallソフトウェア 検証環境 評価キットのご紹介

評価キット概要

お客様のメリット

評価キット内容

標準的な構成のIceWallソフトウェアが導入されたVMware仮想マシンを、

検証用としてディスクイメージファイルでお貸し出しいたします。仮想マシンを

お客様の検証環境で稼働いただくことにより、実際のアプリケーションと

IceWallソフトウェアを組み合わせた動作や操作方法、運用イメージの確認

を、リアルな環境で実施いただけます。

前提条件

 仮想マシンを稼働させるだけで検証開始

 お客様環境で実際のアプリケーションを使用した動作確認が可能

 運用イメージや、動作イメージを事前に把握し、本番導入後のスムースな展

開が可能

以下のいずれかをご選択ください

 VMware版メディア： 仮想マシンイメージ

（VMware Playerで実行可 *1）

 通常版メディア：

インストールパッケージ

(インストール作業が必要)

※ 製品マニュアルはどちらにも含まれています

 原則として、メディアのお貸し出しは1か月間以内、検証期間は3か月間以内とさせていただきます。

 検証環境はお客様にてご用意いただきます。

 お客様の検証環境で稼働させるために必要な設定等については、お客様にて実施いただくことを

想定しております。

 事前にご利用目的を確認させていただきます。場合によってはご希望に添えない事がございますの

IceWallソフトウェア

検証環境

（仮想マシン）

お客様アプリ

お貸し出し

お客様検証環境

*1 本評価版は、VMware Workstation Player 12.0.以降（Windows版）用

の仮想マシンイメージとなっておりますので、ESXServer等でご利用いただく際は、

VMware vCenter Converter等でコンバートいただく必要があります。

IceWallソフトウェア 検証環境 評価キットのご紹介

サンプルバックエンドサーバ

（リバースプロキシ方式）

サンプルサイト

（エージェント方式）

IceWall Identity Manager

IceWall SSO

パスワードリセットオプション

（リバースプロキシ方式）

IceWall SSO

パスワードリセットオプション

（リバースプロキシ方式）

サンプルCGI

（認証連携方式）

ご利用を希望の場合は

お問い合わせください。

IceWall SSOのマニュアル（評価用）は

ダウンロード版もご用意しています。

含まれるソフトウェア

 IceWall SSO 11.0

 IceWall SSO 11.0 Dynamic Menu Portal

 IceWall SSO 11.0 Agent Option

 IceWall MFA 4.0（メールOTPオプション、U2Fオプション）

 IceWall Identity Manager 5.0

 IceWall MCRP 4.0

 IceWall Federation 4.0

 IceWall Federation Agent 3.0

 IceWall SSO 10.0 Password Reset Option

 OpenLDAP 2.4（OSにバンドル）

 IceWall Management Suite 6.0

（Setup Manager、

Console for SSO、Console for Federation）

IceWall SSO

Dynamic Menu Portal

（リバースプロキシ方式）

ポータル画面イメージ

多要素認証機能

お問い合わせおよび周辺サービス

お電話でのお問い合わせ（日本ヒューレット・パッカード カスタマー・インフォメーションセンター）

0120-268-186 / 03-5749-8279

（携帯電話・PHSから）

受付時間 ： 月曜日～金曜日 9:00-19:00

（土、日、祝祭日、年末年始および5月1日を除く

）

Webフォームからのお問い合わせ

http://www.hpe.com/jp/iw-contact

最新/詳細情報

• IceWall MFA公式サイト

http://www.hpe.com/jp/icewall-mfa

• 技術レポート

（新規レポート随時公開中!!）

http://www.hpe.com/jp/iw-report

• カタログ

http://www.hpe.com/jp/iw-catalog

• オンラインデモ

http://www.hpe.com/jp/icewall-demo

• 評価用マニュアルダウンロード

http://www.hpe.com/jp/icewall-download

各種サービス

• 導入サービス

• コンサルティングサービス

• エンジニア様向け技術トレーニング

• 海外拠点への導入・コンサルティングサービス

IceWall MFA

公式サイト