「認証」の課題

システムにログインしてきたユーザが本人かどうかを確かめる 「認証」。
システムを守る砦となる認証だからこそ、その導入/運用にあたって解決しなければいけない課題が存在します。

セキュリティの確保
 ・ 共通IDの使用
 ・ 退職者のアカウント残存
 ・ ユーザが同じパスワードを使い続ける
 ・ 安易なパスワードを設定する
 ・ ユーザがパスワードを教えて代理ログオンさせている

管理コストの増大
 ・ 多様なシステムへの定期的な登録、変更、削除作業
 ・ パスワード紛失に伴うリセット作業

ユーザ利便性の低下
 ・ 定期的なパスワード変更
 ・ システムごとに発生するログオン作業

こういった課題の解決を目的としたソリューションをご紹介します。

ID統合管理

認証に関連した課題の多くは、大量のID/パスワードが存在することに起因します。
そこで、管理しなければいけないユーザあたりのID/パスワード数を減らすために統合管理を行います。

最も理想的な統合管理方法としては、各システムからID/パスワードのデータベースと認証機能を切り出し、単一のLDAPサーバ(Active Directoryを含む)にその機能を集約させることです。
各システムやアプリケーションをケルベロス認証に対応させ、Active Directoryを共通の認証基盤として利用します。この方法であれば、ユーザはクライアントPCへのログオンのみで各種アプリケーションの認証を省略できるようになります。

しかし、現実的にはアプリケーションをケルベロス認証に対応させる改修には多大なコストがかかるため、断念するケースも少なくありません。このような場合、LDAPサーバと各アプリケーション間で別のID管理ツールを使ってID/パスワードの同期をとることで、統合管理を行うことができます。

ID統合管理

ID管理ツールの主な機能
  ・ 人事システムからID情報を取得し、ユーザ情報をアカウントとしてデータベース化する
  ・ 入社、退職、異動などの発生で各システムのアカウントの発行、削除、変更を自動的に行う。
  ・ パスワードを一つ変更すれば全てのシステムのパスワードが変更される。
  ・ ユーザが記憶するパスワードは一つでよい

シングルサインオン (Single Sign-On = SSO)

単一のID/パスワードの入力だけで、複数のアプリケーションの利用を可能にし、都度のログオンにかかる手間を省くのがシングルサインオンソリューションです。

Webアプリケーションのみに対応したWeb型シングルサインオンと、クライアントサーバ型アプリケーションにも対応したクライアント型シングルサインオンに大きく分かれます。さらにWeb型においても、リバースプロキシ型とエージェント型に分かれます。

Web型シングルサインオン

Web シングルサインオン : リバースプロキシ型
ユーザからの認証要求やアクセスを認証サーバが一括して受け、バックエンドのサーバに中継します。
導入にあたってネットワーク構成の変更が必要となりますが、Webアプリケーションサーバ側にソフトウェアの追加がいらないメリットがあります。ただし、認証サーバにかかる負荷を考慮する必要があります。

Web シングルサインオン : エージェント型
ユーザからの認証要求やアクセスをWebサーバ自身が受け、Webサーバに搭載されたエージェントモジュールが認証サーバへの問合せを行います。
導入にあたってネットワーク構成の変更が必要ありませんが、各Webアプリケーションサーバにソフトウェアの搭載が必要です。エージェントソフトが対応しているプラットフォームを確認する必要があります。

クライアントシングルサインオン
クライアントPCにインストールするソフトウェアが、アプリケーションの認証画面にID・パスワードを自動入力します。
クライアント-サーバ型アプリケーションにも対応し、ネットワーク構成の変更やアプリケーションサーバ側へのソフトウェアの追加が必要ありません。ただし、アプリケーション認証画面が認識できない場合は利用できません。

ID管理ツールによるID統合管理とSSOの違い
ID管理ツールは、各システムのアカウント情報をシングルID/シングルパスワードにする仕組みであってログオン自体はアプリケーション毎に必要です。 シングルサインオンは、1回のログオンにより複数のシステムへのログオンを省略できる仕組みを提供するものです。

成りすましを防ぐマルチファクタ認証

ID統合によりIDとパスワードを一つにしたり、シングルサインオンによって認証を一回で済ませたりすることは、管理効率や利用者の効率が向上していることであり、認証が強固になったわけでありません。平文のままパスワードをネットワークに流すアプリケーションもあるため、これらのシステムの導入によりリスクが高まったと考えることもできます。これらの対策としてマルチファクタ認証を導入することでなりすましによる被害を未然に防ぐことが重要となります。

詳しくはこちら!
 Button 固定パスワードは脆弱?
 Button 認証方式いろいろ

本人認証と端末認証

ネットワークの世界で「認証」を行う際、「本人認証」だけでなく、「端末認証」も重要となります。
認証システムの導入にあたっては、目的に応じた使い分けを考慮する必要があります。

「本人認証」とは、パスワード、ICカード、ワンタイムパスワード、生体認証などによって利用者本人であることをシステムに証明します。
一方、「端末認証」とは、利用者がアクセスに使っているその端末(=パソコン)はネットワークにつないでよいもの、あるいはつないでよい状態なのかを判別し、個人所有や管理外のパソコンがネットワークに接続されるのを排除することを目的としています。

端末認証を行うソリューションとしては、正規端末のMACアドレスリストと照合することで判断するものや、OSのアップデート状況やウイルス対策の有無まで確認し、正規端末であっても汚染されていたり、ポリシーに準拠していないものは排除する検疫ネットワークシステムなども提供されています。

▲一番上へ戻る

MENU

 
概要
・ SecureSuiteV (SSV) とは
ユースケース
・ 指紋認証
・ ICカード認証
・ ワンタイムパスワード認証
・ シンクライアントでの利用
・ Windows 7 環境での利用
特長/機能
・ シンクライアント対応
・ SSO(シングルサインオン)
・ 多要素認証
・ Active Directoryとの連携
・ SDK
・ 機能一覧
動作環境
・ ソフトウェア要件
・ 対応デバイス一覧
導入事例
・ 教育機関
・ サービス業
コラム
・ 「認証」の課題
・ 認証方式いろいろ
・ 固定パスワードは脆弱?
・ 指紋認証解説
・ Windows 7 移行への課題
・ Windows 7 BitLocker
・ シンクライアントと認証
・ Active Directoryのススメ

Englishサイトマップセキュリティポリシーお問合せ