アイデンティティパワード セキュリティのご紹介 ネットアイキュー株式会社 / ノベル株式会社 テクニカルセールス本部 斉藤 松作
アイデンティティパワードセキュリティとは 弊社では、IDを基礎としてセキュリティの強化を図る方法をアイデンティティパワードセキュリティと呼んでおります。 アイデンティティパワードセキュリティでは、以下の3つの管理機能を1サイクルとして、このサイクルを繰り返し行うことでセキュリティの強化を行うことを推奨しております。 ①ID/アクセス権限管理・統制 サイクルの入り口としては①となります。 ①ID/アクセス権限管理・統制 ここでは、ID/アクセス管理機能が該当し、システム利用に必要となるIDとアクセス権限を、必要最低限の権限となる様管理を行います。 ②アクセス制御 ここでは、シングルサインオン機能を代表とする各種アクセス制御機能を①の情報を元に行い、アクセスの適正化を行います。 ③監視・監査 ここでは、①と②が適正であるか監視や監査を行います。 ③の結果を踏まえて、再び①からサイクルを継続することで、セキュリティの強化を継続して行います。 ③監視・監査 ②アクセス制御
アイデンティティパワードセキュリティ 3つの管理機能に該当する弊社製品 ①ID/アクセス権限管理・統制 ②アクセス制御 ③監視・監査 ・情報資産への適切なアクセス権限管理 ・不正操作防止のため特権IDのアクセス権管理 認証を制御しクラウド、モバイル、オンプレミス環境を保護 攻撃防止に向けたIDと操作内容を組み合わせたセキュリティ監視・監査 Access Governance Suite Access Review Identity Manager Directory and Resource Administrator Group Policy Administrator Self Service Password Reset Privileged Account Manager Access Manager CloudAccess SocialAccess SecureLogin Advanced Authentication Framework Sentinel Enterprise / Sentinel for Log Management Secure Configuration Manager Identity Tracking for Identity Manager Change Guardian 先ほどご説明した3つの機能に該当する製品が、こちらに記載された製品となります。 ①統合ID管理製品や特権ID管理製品が該当します。 ②シングルサインオン製品や多要素認証製品が該当します。 ③統合ログ管理製品や変更検知製品が該当します。 なお、本日ご紹介する製品としては、赤字で記載された製品となります。 本日ご紹介する製品
シングルサインオン製品に 求められる機能 ここで、最近の市場傾向として、シングルサインオンを中心としたご相談が増えてきているため、 シングルサインオンに関するご説明を行います。 シングルサインオン製品に 求められる機能
これまでにシングルサインオン製品に 求められていた機能 社内環境 クライアント シングルサインオン Webアプリケーション 今まではシングルサインオン製品に求められる機能は、社内にある複数のWebアプリケーションへのシングルサインオンを行うことを目的とされているケースがほとんどでした。 社内環境のWebアプリケーションのみシングルサインオンが出来ていればよかった。
今現在シングルサインオン製品に 求められている機能 国内・海外パートナー シングルサインオン Webアプリケーション 社内環境 モバイル 今現在シングルサインオン製品に求められる機能は、社外との認証連携です。 クラウドアプリケーションは、既に実際に利用されるケースが増え、社内と同様にクラウドアプリケーションもシングルサインオンが行える様、シングルサインオン製品に機能を求められるケースが増えています。 また、国内や海外パートナーともシステムの共通利用が増え、企業間でも連携が行える様、シングルサインオン製品に機能が求められています。 他にも、モバイルからの利用も増える傾向にあり、モバイル対応もシングルサインオンに求められる機能のひとつなってきています。 クライアント シングルサインオン Webアプリケーション クラウド系アプリケーションに加えて、国内・海外パートナーとのシングルサインオン (認証連携)が必要となってきます。 また、モバイルからのアクセスも重要視されてきております。
NetIQ製品による解決方法 Access Manager 国内・海外パートナー Access Manager Webアプリケーション 社内環境 モバイル 市場のニーズに対応するため、シングルサインオン製品を利用されることとなりますが、弊社では、Access Managerが該当する製品となります。 Access Managerの特長としては、認証連携を考慮したアーキテクチャーを採用しており、ゲートウェイといった認証連携を行うために別の仕組みを構築せず、直接通信させることが可能です。 このため、シンプルな構成が取れ、容易に環境構築を行って頂くことが可能です。 また、海外パートナーからの利用に際しても、製品標準で多言語対応が行われているため、問題なくご使用いただくことが可能です。 モバイル対応に関しても、最新バージョンで対応が行われたため、市場のニーズへと対応することが可能です。 クライアント Access Manager Webアプリケーション Access Managerは、認証連携を考慮したアーキテクチャーの採用、多言語対応、モバイル対応が行われており、市場で求められている機能に製品標準で対応することが可能です。 このため、クラウドアプリケーションや国内・海外パートナーとの認証連携をシンプル、かつ、容易に実現させることが可能です。
NetIQ製品による解決方法 Access Manager 他にも 製品標準でリスクベース認証機能が利用可能です。 このため、追加コンポーネントや他社製品との組み合わせを行うことなくセキュリティを向上させることが可能です。 自社で提供している多要素認証機能(Advanced Authentication Framework)と組み合わせて認証機能を強化することが可能です。 自社製品のため、親和性の高いセキュリティの強化が可能です。 ユーザライセンスのため、冗長構成やステージング環境(開発、検証、本番)を構築しても追加費用は必要ありません。 Access Managerライセンスにて、Self Service Password Reset機能が無償利用可能です。 モバイル専用アプリケーションを使い、シングルサインオン機能をモバイル端末でも無償で利用が可能です。 この他にも、こちらに挙げておるような機能の利用が可能です。 1.製品標準でリスクベース認証機能が利用可能です。 他社製品では、リスクベース認証が他社製品を利用しなければならないケースがあり、コストの増加につながることとなります。 2.自社で提供している多要素認証機能が利用可能です。 自社製品のため、親和性の高い利用が可能です。 3.ライセンスの考え方としてユーザライセンスを採用しております。 このため、環境面で冗長構成やステージング環境として開発・検証・本番環境を構築しても追加でコストが発生することはありません。 4.Access Managerをご購入いただくとSelf Service Password Resetが無償利用頂けます。 Self Service Password Resetに関しては、後ほどご説明いたします。 5.先ほどもご説明しました通り最新バージョンでモバイル対応が行われております。
次に、シングルサインオン機能で不足する機能に関してご説明を行います。 シングルサインオン機能だけで十分?
シングルサインオン機能だけで十分? シングルサインオン機能だけでは、アイデンティティパワードセキュリティで提唱しているセキュリティ強化サイクルの一部分しか管理機能を実現させることができません。 セキュリティ強化のためには、更なる管理機能の強化が必要です。 ①ID/アクセス権限管理・統制 シングルサインオン製品では、アクセス制御と認証連携に関する機能を提供します。 このためアイデンティティパワードセキュリティでご説明した、①と③に関しては機能が不足することとなります。 ③監視・監査 ②アクセス制御 Access Manager
NetIQ製品による解決方法 Identity Manager, Sentinel for Log Management 弊社関連製品と組み合わせることで、アイデンティティパワードセキュリティで提唱しているセキュリティ強化サイクルの実現が可能です。 統合ID管理 : Identity Manager 統合ログ管理 : Sentinel for Log Management ①ID/アクセス権限管理・統制 Identity Manager 不足する①と③に関しては、統合ID管理製品である「Identity Manager」と統合ログ管理製品である「Sentinel for Log Management」で機能を提供することとなります。 これら3製品を組み合わせご使用いただくことで、アイデンティティパワードセキュリティで提唱したサイクルが構成でき、セキュリティの強化を図っていただくことが可能となります。 ③監視・監査 ②アクセス制御 Sentinel for Log Management Access Manager
NetIQ製品による解決方法 統合認証基盤 シングルサインオン機能に、統合ID管理と統合ログ管理を組み合わせて実現する機能を、 一般には統合認証基盤と呼ばれています。 弊社では、統合認証基盤に必要な各種製品をご提供しているため、ワンストップ、かつ、 親和性の高いソリューションを実現することが可能です。 国内・海外パートナー Access Manager Webアプリケーション 社内システム Webアプリケーション 前のページでご説明した3製品の組み合わせに関しては、一般的には統合認証基盤と呼ばれております。 但し、統合認証基盤という説明はなされているものの、実際的には異なるベンダーから提供されているシングルサインオン製品、統合ID管理製品、統合ログ管理製品を 組み合わせて使用しているケースが多く見受けられます。 当然ながら、メーカが異なることで統一した製品コンセプトは無く、使い勝手も異なることとなります。 弊社では、これら3製品をご提供しておりますので、統一した製品コンセプトのもと、使い勝手や製品間の連携も考慮された作りとなっているため、親和性の高いソリューションをご利用頂くことが可能です。 Active Directory等の 各種連携システム 人事システム Access Manager Identity Manager Sentinel for Log Management
NetIQ製品による解決方法 統合認証基盤 他にも、以下に代表する多くの機能が利用可能です。 Identity Manager 即時連携によるセキュリティリスクの低減 並列処理によるパフォーマンスの高速化 高カスタマイズ機能による高い柔軟性 ロール機能による柔軟性の高い管理 ワークフロー申請・承認(ID生成・削除やアクセス権限付与・剥奪) 権限変更管理(割当先変更、リソースの付け替え) 職務分掌管理(競合時画面警告・競合承認・承認者への競合割り当て実態調査・レポート監査) 多言語対応 Sentinel for Log Management ソフトウェアアプライアンス(Open Virtualization Format対応)による導入容易性の向上 コスト効率の高いデータストレージ(SAN/CIFS/NFS)の利用が可能 ドリルダウン対応で直観的操作が可能なGUI ライセンス切替によるSentinel Enterprise(SIEM)機能の利用が可能 前のページでご説明した、Identity ManagerやSentinel for Log Managementでは、こちらに挙げておりますような多くの機能をご提供しております。 Identity Manager 即時連携は、不正アクセス等のセキュリティリスクを下げるためにも即時連携は重要となります。 並列処理は、4月や9月の大規模人事異動時の大量データを処理する際に、催促処理させるためにも重要となります。 高カスタマイズ機能は、各社で異なる機能要件に対応するためにも柔軟にカスタマイズが行える機能が重要となります。 ロール機能は、ロールをベースとして、職務分掌、ワークフロー申請・承認、権限の付け替え時に重要となります。 多言語対応は、海外パートナー利用に際して重要となります。 次に、Sentinel for Log Managementですが、Sentinel Enterpriseからリアルタイム分析機能を外したログ管理に特化した製品となっています。 このため、導入面や管理面を中心した、使い勝手面を考慮した作りとなっています。 例えば、ソフトウェアアプライアンスにより導入容易性を高めていますし、 管理面ではコストの安いデータストレージを使用できるようにしています。また、操作面では直観的に操作ができるようGUIにも配慮した作りとなっています。 加えて、導入当初はログ管理機能に特化して導入した場合でも、後々リアルタイム分析が必要となった場合に、ライセンスで容易に切り替えられるよう考慮した作りとなっています。
パスワード管理に良くある課題 ここまで、市場の傾向を踏まえシングルサインオン製品を中心としたご説明を行ってきましたが、 これより先は、ドアノッカーとしてご使用いただけるシンプルな製品をご説明いたします。 パスワード管理に良くある課題
パスワード管理に良くある課題 ヘルプデスク パスワード忘れに伴うパスワードリセット作業の業務負荷が高い ⇒重要な問い合わせが後回しになることも ヘルプデスク パスワードポリシーを強化したいが、パスワード忘れによるヘルプデスクの 業務負荷の増加が心配 ⇒シンプルなパスワードのまま、長期間パスワードが維持されることも 情報システム こちらが、一般的にパスワード管理に良くある課題となります。 ・パスワードを忘れた場合に、ヘルプデスク業務時間外では対応してもらえない ⇒海外パートナーでは、時差の関係でサポート時間が短くなることも ・パスワードを忘れた場合の申請作業が多く、作業完了までの待ち時間が長い ⇒海外パートナーでは、言語の違いで待ち時間が長くなることも ユーザ
NetIQ製品による解決方法 Self Service Password Reset パスワード管理の課題である、パスワードを忘れた場合のヘルプデスクや ユーザへの影響を最小限に抑えるため、Self Service Password Resetにより 以下の機能をご提供します。 本人しかわからない秘密の質問と回答機能を、企業向けに提供します。 この機能により、ユーザ自身でパスワードリセットを行うことが可能となります。 ユーザ自身でパスワードリセットが行われるため、パスワードリセット作業の業務負荷が下がる ⇒重要項目もタイムリーに処理できる ヘルプデスク パスワードポリシーを強化してパスワード忘れが増加しても、ユーザ自身でパスワードリセットが行えるため、ヘルプデスク業務負荷が増加しない ⇒パスワードのセキュリティが向上する 情報システム 前のページでご説明した課題を解決するための製品として、Self Service Password Resetをご使用いただくことが可能です。 Self Service Password Resetは、 本人しかわからない秘密の質問と回答機能を、企業向けに提供します。 この機能により、ユーザ自身でパスワードリセットを行うことが可能となります。 Self Service Password Resetにより、 ・ヘルプデスク業務時間外でもパスワードリセットが可能 ・申請/承認/確認作業が無く、パスワードリセット完了までの待ち時間が短い ⇒時差や言語の違いもシステムが吸収するため考慮不要 ユーザ
NetIQ製品による解決方法 Self Service Password Resetシステムイメージ クライアント Client Login Extension Self Service Password Reset Apache Tomcat 7/8 ディレクトリ Active Directory eDirectory Oracle Directory 最少1台でシステム構成が可能 Self Service Password Resetは、Webアプリケーションとして提供されるため、最小1台でシステムを構築することが可能です。 システム稼働要件を満たせば、既存サーバへ導入することも可能です。 Windowsログオン前のパスワードリセットが可能 Client Login Extensionを使用することで、Windowsにログオンできない状況でもパスワードリセットが可能です。 マルチディレクトリ対応 ディレクトリは、3種類に対応しています。Active Directoryでは、スキーマを拡張せずにRDB(Microsoft SQL ServerまたはOracle)を利用することも可能です。 次に、Self Service Password Resetのシステムイメージをご説明します。 システムとしては、最小1台で構成できます。 また、Windowsが使えない場合には、どうするのといったお話が出ますが、 Self Service Password ResetとClient Login Extensionを組み合わせてご使用いただくことで、 この図のようにログイン前にSelf Service Password Resetへとアクセスできるよう Windowsログオン画面にリンクを追加し、リンククリック時には簡易ブラウザが起動されSelf Service Password Reset機能を使用できるよう配慮されています。 なお、パスワードリセットを行う対象としては、3つのディレクトリが利用可能です。 一般的には、ADを対象とされるケースが多いですが、ADの場合には、 スキーマ拡張が推奨されていないため、RDBを使いスキーマ拡張の 代わりにご使用いただくことが可能です。
次に、本日お時間の都合でご説明できなかった製品に関して簡単にご説明いたします。 更なるセキュリティ強化に向けて
更なるセキュリティ強化に向けて ガバナンス強化 SIEM クラウド用SSO コンプライアンス強化 コンプライアンス強化 ソーシャルログイン ①ID/アクセス権限管理・統制 ②アクセス制御 ③監視・監査 情報資産への適切なアクセス権限管理 不正操作防止のため特権IDのアクセス権管理 認証を制御しクラウド、モバイル、オンプレミス環境を保護 攻撃防止に向けたIDと操作内容を組み合わせたセキュリティ監視 Access Governance Suite Access Review Identity Manager Directory and Resource Administrator Group Policy Administrator Self Service Password Reset Privileged Account Manager Access Manager CloudAccess SocialAccess SecureLogin Advanced Authentication Framework Sentinel Enterprise / Sentinel for Log Management Secure Configuration Manager Identity Tracking for Identity Manager Change Guardian ガバナンス強化 SIEM クラウド用SSO コンプライアンス強化 コンプライアンス強化 ソーシャルログイン AD管理機能強化 IDM-Sentinel連携強化 ①に関しては、IDやアクセス権限管理・統制のための製品として、 ②に関しては、アクセス制御のための製品として、 ③に関しては、監視・監査のための製品として、 SIEMは、日本語でセキュリティ情報およびイベント管理 C/S用SSO 変更検知 特権ID管理機能強化 本日ご紹介できなかった製品
本日のまとめ シングルサインオン製品(認証連携機能) 統合認証基盤 パスワード管理 更なるセキュリティ強化に向けて Access Managerを使うことで、市場で求められているクラウドアプリケーションや国内・海外パートナーとの認証連携をシンプル、かつ、容易に実現させることが可能です。 また、追加費用無く多くの機能が利用可能なため、有名競合製品と比較して安価に機能を実現させることが可能です。 統合認証基盤 弊社では、統合認証基盤に必要な各種製品をご提供しているため、ワンストップ、高機能、かつ、親和性の高いソリューションを実現することが可能です。 パスワード管理 Self Service Password Resetを使うことで、パスワードリセットに伴うヘルプデスクの負荷軽減、パスワードにまつわるセキュリティの強化、ユーザの利便性の改善をシンプル、かつ、容易に実現させることが可能です。 更なるセキュリティ強化に向けて 弊社では、ID管理を基礎とした多くの関連製品をご提供しております。 これら関連製品と組み合わせることで、より高度なセキュリティ強化の実現が可能です。