IceWall SSO
ワンタイムパスワードソリューション
のご紹介
日本ヒューレット・パッカード株式会社
テクノロジーコンサルティング事業統括
IceWallソフトウェア本部
2017年5月更新 ver.3.1•
ワンタイムパスワード(OTP)概要
•
ワンタイムパスワード(OTP)の新たな潮流:”OATH”
•
IceWall SSO ワンタイムパスワードソリューション
-
OATH対応のリーズナブルなワンタイムパスワードソリューション-•
ユースケース
目次
ワンタイムパスワード
(OTP)概要
ハードウェアトークン例 ソフトウェアウェアトークン例
ワンタイムパスワード(OTP)とは?
ワンタイムパスワード(OTP)とは、端末からネットワークを通じてサーバーを利用する際に、正規 のユーザーかどうかを検証する認証技術のひとつで「使い捨てパスワード」とも呼ばれます。 IDとパスワードに加え、別の要素を追加して認証を行う「二要素認証」の手段としても使われ、 OTPを表示するための専用の機器を「ハードウェアトークン」と呼び、同じ機能を持たせたソフト ウェア (スマートフォン等のブラウザーで表示)を「ソフトウェアトークン」と呼びます。 ID パスワード ワンタイムパスワード OK! OK! OK! ユーザー ID パスワード ワンタイムパスワード OK! OK! NG! ワンタイムパスワードは “使い捨て”のため、 第3者には無効 認証サーバー 認証サーバー OTPを使用したセキュリティ強化 passcode:7082 6883
7082 6883 PC スマートフォン【Tips】 ワンタイムパスワードの主な方式
ワンタイムパスワードを正しく生成するために使われる方式としては、代表的なものとして「タイ ムスタンプ方式(時刻同期方式)」と「チャレンジ & レスポンス方式」があります。 チャレンジ&レスポンス方式は、利用者からサーバーに「認証して 欲しい」というリクエストがまず送られます。 それを受けたサーバーは、ユーザーに対して、「チャレンジ」として ランダムな文字列を返します。ユーザーはそのレスポンスに基づき、 あらかじめ決められている計算式により、実際に使用するパスワー ドを計算して「レスポンス」として入力します。サーバー側では、チャ レンジから計算したレスポンスが、ユーザーが入力したレスポンス と一致していれば、認証します。 身近なところでは、インターネットバンキングでの乱数表を使った認 証もチャレンジ&レスポンス方式の一種です。 (サーバ側から何行何列目を入力と指示がでて、ユーザは予め配 タイムスタンプ方式では、パスワード生成のための「種」(Seed 情報(共通鍵))として、現在の時刻を使います。あらかじめ サーバーとトークンで、時刻に基づいてパスワードを算出する 共通の計算式を記憶しておきます。(時刻で同期するため、 トークンとサーバは直接通信することはありません) トークン側では、ボタンが押されると、その時刻に合わせて その時に有効なパスワードを表示します。(30秒間同じパス ワードを表示等) サーバー側では、入力されたパスワードと現在有効な パスワードを照らし合わせ、正しければ認証します。 リクエストを受け付けたら ランダムな文字列を 「チャレンジ」として送信 認証リクエスト チャレンジ レスポンス チャレンジから算出される レスポンスと入力されたレスポン スが合致していれば認証する チャレンジ & レスポンス方式 認証サーバー xxxxxx 送信 トークン ユーザーID、あらかじめ決めた パスワード、トークンに表示された ワンタイムパスワードを入力 トークンと認証サーバーの両方に 時刻を元にしたパスワード計算式 をあらかじめ登録 両方一致した場合ログインが可能 ボタンを押した時刻を元にして ワンタイムパスワードを表示 タイムスタンプ方式 チャレンジ 文字列 認証サーバー レスポンスを計算して入力する認証強化ソリューションとして改めて注目されるワンタイムパスワード
ID/パスワード のみ 電子証明書 ワンタイムパスワード (ハードウェア トークン) 生体認証 マトリックス 認証 導入コスト ◎ △ (証明書) × (トークン+ユー ザーライセンス) × (認証デバイス+ ユーザーライセン ス) △ (ユーザーライセン ス) サポートコスト ○ △ (運用が手間) ○ △ (運用が手間) ○ ユーザーの 利便性 ◎ △ (環境依存) ○ (トークンの所持) ○ ○ なりすまし 強度 △ ◎ ◎ ◎ (非標準)○ 適合ソリュー ション 汎用的 BtoB/イントラネット リモートアクセス/ 出金認証 イントラネット リモートアクセス 欠点 セキュリティ弱 運用が煩雑 コストが割高 運用が煩雑 非標準方式 適用規模 制約なし 中規模 小規模 中規模 小・中規模導入コストの問題が解決すれば
ワンタイムパスワードは有力な認証強化ソリューションに
従来のワンタイムパスワードの難点
コストやベンダーロックがネックとなり
中・大規模環境には導入しづらい側面も
Webアプリ SSL-VPN Remote Access OTP用認証サーバー 認証DB RADIUS認証 ユーザーライセンス +サーバーライセンスが必要… 別途、認証の 仕組みが必要… 数台規模の対応が限界… OTPをユーザーID/ パスワードと共に画面に手入力1サ イト1トークン 全ユーザーに対して トークンの配布が必要。 かつベンダーロックされる懸念も…ワンタイムパスワード
(OTP)の
ワンタイムパスワードをPC上に入力して送信 OATHに準拠したソフトウェアトークン ワンタイムパスワード 認証システム OATHに準拠した サーバーモジュール ワンタイムパスワードをスマートフォンから送信 ワンタイムパスワードをPC上に入力して送信 OATHに準拠したハードウェアトークン • 複数ベンダーからトークン調達が可能 • トークンベンダーに縛られないサーバー モジュールの選択が可能 • Webサイト毎のトークンの使い分けが不要 ⇒ より低コストでの導入が可能に ◆OATH=Open AuTHentication: 主にワンタイムパスワード (OTP)で 利用される オープンな認証仕様。 従来のOTPソリューション/トークンは各ベンダー特有のアルゴリ ズムに依存するケースが多かったが、OATH対応のトークンは多 様なベンダーから選択が可能。 ワンタイムパスワードソリューションの新たな潮流
多様なトークンに対応可能な標準仕様
”OATH”
従来のOTPソリューションとOATH仕様との比較
従来の 一般的な ハードウェアトークン OATH仕様の ハードウェア トークン OATH仕様の ソフトウェア トークン 備考 導入コスト × (トークン+ユーザー ライセンス) ○ (トークン) *複数ベンダーから調達可 能 ◎ (スマートフォンアプリ) *アプリの配布のみ OATH仕様の場合、ベンダーに 依存せず、複数ベンダーから調 達可能。ソフトウェアトークンは デバイスへのアプリケーション の配布のみ。 セキュリティ △ ○ 〇 従来のOTPでは、セキュリティ 強度はベンダーによる保証。 OATH仕様ではオープンな仕様 内で担保される。 ユーザーの 利便性 ○ (トークンの所持) ○ (トークンの所持) ◎ (スマートフォンアプリ) なりすまし 強度 ◎ ◎ ◎ 利点 過去の実績が多い。 オープンな仕様。 複数ベンダーから調達 可能。 オープンな仕様。 配布が容易なため、 大規模サイトや複数 サイトの対応が容易。 注意点 コストが割高 トークンベンダーの 変更不可 コストが 比較的安価 (トークン代、配送料) ユーザーは スマートフォン 所持が前提 ハードウェアトークンはトークン 代 および配布コストも必要。 但しOATH 仕様トークンの場 合、複数ベンダーから調達する ことで比較的安価に 抑えるこ とが可能。 適用規模 小規模 小・中規模 大規模OATH仕様のトークン例
■OATHに準拠した ハードウェア トークン
Ezio Lava(ジェムアルト株式会社)
Ezio Pico(ジェムアルト株式会社)
OTP C200 (飛天ジャパン株式会社)
OTP C300 (飛天ジャパン株式会社)等
■OATHに準拠した ソフトウェアトークン
Google Authenticator(Google, Inc.)
IceWall SSO Smart OTP 等
Google Authenticator
飛天
ジェムアルト
【Tips】 OATH仕様のOTPのユースケース
ソリューション 目的 クライアント側 具体例 ① OTP本人認証 (PC、スマホ) ・二要素認証 (従来のOTP市場) ・OATH対応のHW/SWトークン ・IceWall SSO Smart OTP ・Google Authenticator・保険会社
・PKIからの置き換え
② OTP本人認証(スマホ限定)
・二要素認証 ・Quick & Secure Login
(モバイル認証)
・IceWall SSO Smart OTP ・製造業
・タブレットからの迅速なログイン ③ トランザクション 署名 (SWYS※1) ・否認防止 ・取引改ざん防止 (新しいOTP市場) OCRA※2対応テンキー付 トークン(Max 64桁) ・金融機関 ・MITB※3対策 ④ チャレンジレスポンス認証 ・二要素認証 ・出金認証強化 ・否認防止 OCRA※2対応テンキー付 トークン(Max 8桁) ・金融機関 ・フィッシング対策 ⑤ 双方向認証 ・正規サイトの確認 ・OATH対応のHW/SWトークン ・ホストリターンコードによる相互 認証 ・偽サイト ※1: SWYS=Sign What You See
※2: OCRA=OATH Challenge-Response Algorithms Specification RFC 6287
OATHをベースにしたチャレンジレスポンス仕様。海外の金融機関でフィッシング対策やMITB(Man In The Browser)対策に使用されること が増えている。テンキー付のトークン等を利用し、出金認証強化、否認防止/取引改ざん防止(トランザクション署名)として利用される。 ※3: MITB =Man In The Browser
取引内容に紐づくか 否かの違い
IceWall SSO
ワンタイムパスワード
ソリューション
- OATH対応のリーズナブルな
ワンタイムパスワードソリューション-IceWall SSOワンタイムパスワードソリューションの強み
コストを抑えながら認証強化
• OATH準拠の多様なトークンを選択可能。特定のベンダーに縛られず、トークンの 調達が可能。 • ハードウェアトークン、ソフトウェアトークンの併用可能。 • トークンの数に依存しないサーバーライセンス体系※1。モバイルデバイスもOTPで認証強化
• 専用のスマートフォンアプリ版※2のトークンを使用すれば、スマートフォンでOTP の自動生成、自動送信が可能※3。 • クライアント証明書を使用できない一部のタブレット等もOTPで認証強化。シングルサインオン環境をOTPでも利用可能
• IceWall SSOが提供する、利便性の高い高性能なシングルサインオン環境を OTPでも利用可能。従来のID/パスワードによるログインや他の認証方式との併 用も可能。クライアント証明書からのスムーズな移行が可能
• クライアント証明書認証からOTP 認証へ、ユーザーが任意のタイミングで移行可 能。 ※1:ハードウェアトークンを使用する場合は、別途トークン代が必要。IceWall SSO ワンタイムパスワードソリューション
- OATHに準拠したフレキシブルかつリーズナブルなソリューション-OTPを表示、ログイン画面に入力、送信 OTPを生成、ID/パスワードと共に自動送信 IceWall サーバー 認証サーバー / 認証DB IceWall SSO SWトークン(Windows PC クライアント) HWトークン スマートフォンアプリ SWトークン(スマートフォンアプリ)IceWall SSO Smart OTP
IceWall SSO Smart OTP Windows※ IceWall SSO Smart OTP
O A T H 準 拠 複数ベンダーの多様な製品 OATH準拠 ※ PCのブラウザー版のSWトークンもご用意しています。 Webアプリ OneTime 認証連携ツール for IceWall OTP連携 オプション
ハードウェアトークン上に 表示されたOTPを PCへ入力 ケース1
OATHに準拠したハードウェア トークンを利用
LOGIN ID PW OTP 1. PC上で対象のWebサイトにアクセスし、ログイン画面を表示。 2. ハードウェアトークン上に表示されたワンタイムパスワード(OTP)をPC上の ログイン画面に入力。IceWall SSO Smart OTP使用例 別途ハードウェアトークンを準備、携帯する必要はありません。
スマートフォンのソフトウェアトークンを利用
ケース21.
2.
3.
4.
1. Smart OTPを起動、ログインアカウントを選択 2. 「OTPを表示」ボタンをタップ。Smart OTPがOTPを生成・表示 3. PC上でブラウザのログイン画面に、 表示されたOTPと共にユーザーID/パスワードを入力、送信 4. ログイン完了スマートフォンのアプリでOTPを生成、直接送信
ケース3IceWall SSO Smart OTP使用例
ユーザーはID/パスワード、OTPの入力をスキップでき※、迅速でセキュアな ログインが行えま す。
1.
2.
3.
4.
1. Smart OTPを起動、ログインアカウントを選択 2. 「ログイン」ボタンをタップ 3. Smart OTPがOTPを自動生成、ユーザーID/パスワード※と共に自動送信 ※パスワードのみはSmart OTP上に保存せず、毎回手入力することも可能です。 4. ログイン完了 ログイン後は標準ブラウザを使用して対象のWebサイトへアクセスが可能です。スマートフォンのアプリでOTPを生成、直接送信
<IceWall SSO Smart OTP の仕組み>
ケース3 ID OTP ③ OTP検証 ユーザー サイト パスワード user01 ・・・ 098f6bcd4621d373cade4e832 user02 ・・・ ad0234829205b9033196ba81 認証DBのユーザー情報テーブル OTPのseed(共通鍵)は ユーザーIDの属性情報として、認証DBへ 登録。 ② OTP送信 seed (共通鍵) スマートフォンでOTPを生成し、自動送信。 利 便性の維持とセキュリティ向上の両立。 Smart OTP は各ストアから無料配布※1。 OneTime 認証連携ツール for IceWall 098f6bcd4621d373cade4e832 ① OTP生成 seed (共通鍵) ④ 結果を送信 ※1:汎用版。カスタマイズが必要な場合は別途有償でのご対応となります。 拒否 許可
Windows(PC)上でソフトウェアトークンを利用
ケース4
1. Smart OTP Windowsを起動、ログインアカウントを選択して「OTPを表示」ボタンをタップ。
2. Smart OTP WindowsがOTPを生成・表示したOTPをクリップボードにコピー。
3. PC上でブラウザのログイン画面に、表示されたOTPと共にユーザーID/パスワードを入力、送信
4. ログイン完了
1.
2.
3.
4.
IceWall SSO Smart OTP Windows使用例
IceWall SSO Smart OTP Windowsをソフトウェアトークンとして利用します。 Windows PC用クライアント用アプリケーションのインストールが必要です。 ※PCのブラウザー版のSWトークンもご用意しています。 LOGIN ID PW OTP
「OneTime認証連携ツール for IceWall」について
本製品は株式会社エスシーシーの開発によるサーバー製品です。
IceWall SSOと組み合わせてWebアプリーケーションの前段に配置することで、OATH規格のワン タイムパスワード認証を実現します。
ライセンス体系: サーバーライセンス
Enterprise EditionとStandard Editionをご用意しています。
OneTime認証連携ツール for IceWallを動作させるサーバー毎に1ライセンス必要です。 また別途、IceWall SSO OTP連携オプション(サイトライセンス)が必要です。
本ライセンスとあわせて保守のご購入が必要です。
動作環境
※◆サーバー
OS:Red Hat Enterprise Linux 6.1以降(x86_64)、Red Hat Enterprise Linux 7.1以降 (x86_64)
認証システム:IceWall SSO 10.0、IceWall MFA 4.0
APサーバー:Tomcat 6.0 (OSバンドル版)、Tomcat 7.0 (OSバンドル版) Java:Open JDK 7.0 (OSバンドル版)、 Open JDK 8.0 (OSバンドル版)
データベース: Oracle 12c、Oracle 11g、 MySQL 5.6、MySQL 5.1、 OpenLDAP 2.4、
Windows Server 2016 Active Directory
◆トークン
ソフトウェアトークン:IceWall SSO Smart OTP他、OATH規格のソフトウェアトークン ハードウェアトークン:OATH規格のハードウェアトークン
「OneTime認証連携ツール for IceWall
Management オプション」 について
本オプションはOATH規格のSW/HWトークンの発行・登録管理機能を実現する製品です。
ユーザは、メール通知されるURLのWebページに表示される案内に従って、容易にSW
トークンへのアカウント登録・トークンのアクティベート(有効化)を行うことが可能になりま
す。管理者によるトークン管理機能(失効・再発行・削除)機能も備えています。
OneTime 認証連携ツール for IceWall Managementオプション トークン情報DB ユーザー 管理者 ② SWトークンアプリへの アカウント登録・トークンの アクティベート用ページ URLの通知 登録・更新・削除 OATH規格の HWトークン OATH規格の SWトークン (IceWall SSO SmartOTP 等) アカウント登録用ページに表示さ れるQRコードをアプリでスキャン することでかんたんにアカウント 登録が可能です。※( IceWall SSO SmartOTP、 Google Authenticator利用時) 認証DB ① ・SWトークンの発行/ユーザーへの割り当て ・HWトークンの登録/ユーザーへの割り当て ・トークンの失効/再発行/削除 トークンのアクティベートを完了すると ワンタイムパスワードによるSSO認証 が可能となります ※イメージは次ページ参照 OneTime 認証連携ツール for IceWall ③ トークンの アクティベート (有効化)
SWトークンのアカウント登録・アクティベートの流れ
ロ グ イ ン 端 末 ワンタイムパスワード用の鍵を発行しました。 下記URLにアクセスし、登録処理を行ってくだ さい。 http://sample.icewall.local:8080/otammt/D260F 538BFC08CEA20817AE047BC16D023F2C783 CDBF563DCD0073FF89B27932458E4B34C72 59F4B/token/activate---OTAM Management Tool
(TID20170420195934037019-otammt) 登 録 対 象 S W ト ー ク ン アプリを起動し、 QRコード読み取りをタップします スマートフォンを ユーザー端末ブラウザ上の QRコードにかざします 登録情報が自動表示されますので 登録をタップします (SWトークンへのアカウント登録完了) 登録したアカウントの画面で OTP表示をタップします ※30秒毎にワンタイムパスワードが 更新表示されます トークン発行の通知メールに記載の URLにアクセスします ID/PWログイン後、SWトークンへの アカウント登録用QRコードが表示されます SWトークン画面に表示される 連続した2回分のワンタイムパスワードを 入力してアクティベートします (トークンのアクティベート完了) SWトークンへのアカウント登録完了後に 「アクティベートへ」をクリックします IceWall SSO Smart OTP (SWトークンアプリ) をインストール しておきます ワンタイムパスワード を入力 QRコードを 読み込み
②パスワード+ワンタイムパスワードでログイン
「OneTime認証連携ツール for IceWall
VDI オプション」 について
本オプションは、「OneTime認証連携ツール for IceWall」を使用してVDI製品(※)の
認証強化を実現する製品です。
VDI製品のパスワード認証にIceWall SSOワンタイムパスワードソリューションを組み合
わせることにより、 VDIの利点である「Any Device:あらゆるデバイスで利用できること」
と強固な認証を両立し、かつコスト的にも低く抑えられる理想的な認証セキュリティの実
装が可能となります。
ユーザー VDIシステムサーバ 仮想デスクトップ OneTime 認証連携ツール for IceWall VDIオプション OneTime 認証連携ツール for IceWall Active Directory OATH規格の SWトークン (IceWall SSO SmartOTP 等) OTP照合 RADIUS認証 AD認証 ①ワンタイムパスワードを表示 123456Webアプリ Webアプリ Webアプリ IceWall サーバー 認証サーバー / 認証DB IceWall SSO OATH準拠
IceWall SSO ワンタイムパスワードソリューションのアドバンテージ
OATH対応により多様なトークンの 選択が可能 ハードウェアトークンおよびソフトウェア トークンの併用や、ベンダーに依存しない トークンの選択が可能。 POINT 1 サーバーライセンスのみ ユーザーライセンス不要で、サーバー ライセンスのみ※のため、コストを 抑えながら認証強化を行うことが可能。 POINT 2 ※ハードウェアトークンを使用する場合は、別途 トークン代が必要です。 モバイルデバイスでの使用にも最適専用アプリケーション(IceWall SSO Smart OTP)を 使用すれば、ユーザーID/パスワード、ワンタイムパス ワードはバックグラウンドで送信し、パスコードのみで のログイン可能なため、セキュリティの確保と利便性 を両立した認証強化を実現。 POINT 3 端末識別をクライアント証明書よりも 楽に運用可能 クライアント証明書の場合、ブラウザーが 変更されると証明書の再インストールが必 要となり運用が煩雑だが、本方式では予 め端末とシード情報を紐づけし、生成され るパスワードで認証するため、ブラウザー に依存せず端末識別が可能。 POINT 4
IceWall SSO Smart OTP
OTP連携 オプション
OneTime 認証連携ツール for IceWall
IceWall SSO ワンタイムパスワードソリューションは
こんなニーズにおすすめ
※1: 専用スマートフォンアプリは無償。HWトークンを使用する場合は、別途トークン代が必要。 ※2:インストール手順などがブラウザーのバージョンに依存しません。ニーズ
IceWall SSOの
ワンタイムパスワードソリューションなら
OTPのコストを圧縮したい
・OTPトークンの数に依存しないサーバーライセンス体系※1。 ・標準仕様「OATH」対応でトークンの選択肢が拡大。ベンダー フリー、かつHWトークン・SWトークンの併用も可能。・IceWall SSO Smart OTPを使用すれば、HWデバイスの調
達・配布や管理を軽減。
クライアント証明書よりも楽に
モバイル環境を運用したい
・ブラウザーに依存しない運用が可能※2。 ・クライアント証明書を使用できない一部のタブレット等もOTP で認証強化。モバイルデバイスの認証強化
をしたい
・IceWall SSO Smart OTPを使用すれば、スマートフォン上で
OTPの自動生成、自動送信が可能※3。
社外からのアクセスに対し
二要素認証を行いたい
・ PC版ソフトウェアトークンIceWall SSO Smart OTP Windowsを使用すれば、PC上でOTP生成が可能。
・IceWall SSO Smart OTPのソフトウェアトークンモードを使用 すれば、スマートフォンにOTPを表示、PCブラウザに入力する 方法も可能。
利用ケース A社
クライアント証明書よりも楽にモバイル環境を運用したい
課題
決められた端末からのみのアクセスを許可するためにクライアント証明書を検討したが、 ブラウザーが変更されると新たに証明書を再インストールする必要があり、リテラシー の低いユーザにとっては難しく、ユーザーサポートも含めた運用が難しい。 スマートフォンやタブレット端末からのアクセスも増えてきており、利便性が高く、セキュ アなアクセスを楽に運用したい。IceWall SSO Smart OTPが解決
専用のアプリを使って端末内に鍵をインストールし管理します。鍵をイン ストールした端末からのみアクセス可能です。ブラウザーや端末の種類 に依存せずに使用でき、管理者の運用も楽にできます。 タブレット、スマートフォンのアプリが、内部でOTPを生成しID/パスワー ドと共にサーバーへ自動送信して認証します。ユーザー情報の入力を 省略することができ、迅速でセキュアな ログインが可能です。
利用ケース B社
社外からのアクセスに対し二要素認証を行いたい
課題
社外からのアクセスに対して二要素認証を実施したい。 全社員数は数万人。 アクセスする対象のWebアプリケーションはPC向け。 社内からのアクセスには、ユーザーIDとパスワードで認証。 社外からのアクセスには、ユーザーID/パスワードにOTPを加えた 二要素認証を実施したい。IceWall SSO Smart OTP Windows 、 および IceWall SSO Smart OTPが解決
IceWall SSO Smart OTP Windowsにより、PC上でOTPを生成します。
IceWall SSO Smart OTPのソフトウェアトークンモードを使えば、スマー
