シングルサインオン(このカテゴリのTOPに戻る)
シングルサインオンソリューションとは
情報セキュリティ対策は、セキュリティポリシーの策定の段階が終了し、運用の段階に入り始めています。その中で最も重要な認証強化においては、『パスワードは複雑な文字列かつ定期的な変更を行う』とされています。しかしながら、社内の認証はWindowsログオンだけでなく旅費清算システム、販売管理システム、グループウェア等の様々な認証が存在するため、ユーザはパスワードを覚えることが非常に困難になっています。これらのID/パスワードを一元的に記憶するシステムがシングルサインオンです。ひとつのID/パスワードで多数の認証が完了するため、バイオメトリクス認証やICカード認証を併用しセキュリティを確保します。
■ソリューションの種類
●プロキシー型(SiteMinderなど)
WEBサーバ等の認証を一旦プロキシサーバで中継し、プロキシサーバと各アプリケーションサーバで認証を行うタイプ。クライアントPCにはソフトウェアをインストールする必要がありません。しかし、プロシキサーバとアプリケーションサーバの認証の中継部を開発が必要です。
●クライアントエージェント型(PUPPY Suite 600 , PUPPY Suite 810)
クライアント端末に認証ソフトウェアがインストールされ、アプリケーションの認証画面に反応し、ID/パスワードを入力するとポップアップにより、そのアプリケーションに関連付けられたID/パスワードを保存します。登録後は指紋認証によりID/パスワードを代行入力することができます。PUPPY Suite 810は指紋認証トークンにそのデータを格納することができます。
●クライアントエージェント&サーバ型(PUPPY SC Plus , SecureSuiteXS)
前述のクライアントエージェント型では各種アプリケーションのID/パスワードはローカルのPCに記憶させますが、このソリューションはそれらの情報をサーバで一元管理することができます。また、格納したアプリケーションのパスワードを変更する機能を有しているため、管理者側でアプリケーションのパスワードを定期的に変更することが可能です。
■デバイスによる認証強化
シングルサインオンを実現することでユーザはひとつのID/パスワードを記憶するだけでよくなり、ユーザの負担は軽減されます。しかし、同時にそのパスワードが破られれば全てのシステムへの侵入が可能になります。情報セキュリティを考える上でこのリスクの増加に対する配慮を検討しなければなりません。パスワード認証の最大の弱点は目に見える被害が発生するまで盗まれたことがわからないことであり、そのため防止対策として定期的な変更が必要となります。リスクが高いため比較的短期に変更することが望ましいですが、これでは結局ユーザの負担軽減になりません。そこで、これらの解決にデバイス認証を用いられます。デバイス認証とは、ICカードやUSBトークン、バイオメトリクス認証装置を利用し、パスワードのような記憶による認証ではなく、ICカードやUSBトークンのように持っている者だけが利用できたり、バイオメトリクス認証のように本人のユニークな身体的特徴を利用して認証する方式があります。シングルサインオンを導入する際には、このようなデバイス認証を同時に取り組むことを強く推奨いたします。
■各製品の比較
| 製品 | PUPPY 810 | PUPPY SC Plus | SecureSuteXS |
|---|---|---|---|
| 保管場所 | ローカルデバイス | Oracle DB | ActiveDirectory |
| 認証 デバイス |
専用指紋USB トークン |
FeliCa、 FIU-600 |
ICカード、 バイオメトリクス 等多数 |
| その他の 特長 |
PKI対応 トークン内部で 鍵生成と格納 |
FeliCa内部に 指紋テンプレートを格納 |
Citrixをサポート |
*各製品の詳細は、こちらをご覧ください。
