© Copyright 2017-2018 Hewlett Packard Enterprise Development LP

多要素認証が求められる背景とIceWall MFA概要

日本ヒューレット・パッカード株式会社IceWallソフトウェア本部

IceWall MFA 製品Webwww.hpe.com/jp/icewall-mfa

2018年4月更新 ver.1.6

© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 2

Agenda

多要素認証が求められる背景

IceWall MFAご紹介

まとめ

お問い合わせ

© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 3

多要素認証が求められる背景

© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 4

企業情報システムで今まさに起きている変化

企業でのクラウド資源の大幅活用

社内で使うシステムは社内LANの中

スマホ/タブレットも含めたマルチデバイスの利用

ほとんどのユーザー端末は基本的にWindows PC

働き方改革と在宅勤務の推進仕事をするのは会社の中

ビジネスチャンス獲得のための積極的かつ能動的な変化

コスト削減のための変化の抑制（いわゆる「塩漬け」）

無線LAN中心の社内ネットワーク

ケーブル中心の社内ネットワーク

これまで これから

© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 5

認証に求められるセキュリティの変化

これまで これから

あらゆる場所・あらゆる機器からあらゆるITリソースへ

社内にある会社支給PCのみITリソースにアクセス可能

実は「扉」「壁」「人の目」などの物理セキュリティに依存していた

ますます情報技術に基づく強固な認証セキュリティが要求される

パスワードだけの認証では十分に強固と言えなくなっている

© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 6

標的型攻撃によってパスワードが盗難された事例出展：IPA(独立行政法人情報処理推進機構) 「標的型攻撃メールの分析に関するレポート」より <https://www.ipa.go.jp/files/000024771.pdf>

①取引先になりすました偽メールが送られる

①メール添付のPDFを開くとPDF Viewerの脆弱性を突き、PCを乗っ取り

①キーボードの打鍵を記録するマルウェアが埋め込まれ、パスワードも含めた全てのキー入力が攻撃者に送信された

• メール経由の標的型攻撃によって送り込まれるマルウェアは、ウィルス対策ソフトでは探知されない場合も多く、実際のビジネスメールを巧妙に装っているため、感染防止が極めて難しい

• 標的型攻撃の他にも、総当り攻撃、辞書攻撃、ソーシャルエンジニアリング、フィッシングなどによって、比較的容易にパスワードが漏洩することが知られている

© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 7

旧来の多要素認証ソリューションとその課題

特定デバイスに強く依存し、タブレットやスマホなどのマルチデバイスに対応出来ない

認証方式が標準化されておらず一旦導入するとベンダロックされやすい

多要素認証の導入にはアプリなど既存システム側の改修が必要改修できないアプリは認証強化できない

アプリ種別やアクセス場所に応じた柔軟なポリシー設定が出来ない

課題

ICカードなどの鍵デバイスによる認証

ワンタイムパスワード

指紋などの生体認証

© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 8

これから求められる多要素認証ソリューション

スマホやタブレットなどマルチデバイスに対応した多要素認証

標準規格をベースに低コストで

ベンダロックされない多要素認証

アプリの改修が不要で広い範囲に適用できる

多要素認証

SaaSにも対応した多要素認証

状況に応じて複数の認証方式を使い分けたい

災害時のBCP対策として自宅PCなどでも仕える

多要素認証

これらのご要望にお応えするのがIceWall MFA

© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 9

IceWall MFAご紹介

© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 10

IceWall MFAとはIceWall MFAは、アプリケーションやクラウドサービスを改修せずに、多要素認証（Multi Factor Authentication）で認証を強化できるソリューションです。

認証・認可

Webアプリ

クラウドサービス

ID・パスワードで認証

IceWall MFAが認証・認可を代行

Office 365

ユーザー

＋

他の方式で認証

複数の方式で認証強化アプリ・クラウドの改修は不要

（多要素認証）

認証DB

IceWall

MFA

salesforce.com

Password:

© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 11

ID/パスワードだけでなく、様々な認証方式を低コストで利用可能

FIDO※準拠の認証デバイス「FIDO U2F セキュリティキー」等の標準デバイスが使用可能

ワンタイムパスワード標準規格（OATH）のHW/SWトークンが使用可能

ブラウザー トークン一度多要素認証を行った端末のブラウザーでは、２回目以降の多要素認証を省略

統合Windows認証

その他Windows Helloやマトリクス、指静脈、指紋、ICカード等にも対応可能

また認証プラグインモジュールの追加により、その他個別の認証方式にも対応可能

※ FIDO Alliance（Fast IDentity Online Alliance）は、生体認証などを利用した新しいオンライン認証技術の標準化を目指して発足した非営利の標準化団体、業界団体

Windows

© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 12

認証方式を各種条件によって動的に決定認証ポリシーの設定に従って、認証方式が動的に決定されます。複数の方式の中からユーザーが選択することも可能です。

・HTTPヘッダー情報・ブラウザークッキーの有無・ユーザー属性情報・他

アクセス元情報 アクセス先情報

・・・・・・・・・・・・・・・・・・・・・・・

認証ポリシー設定

認証方式を決定（複数可）

・コンテンツURLhttp://○○○http://△△△https://□□□

IceWall

MFA

Windows

✔

© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 13

ポリシー例：アクセス元に応じて認証方式を決定アクセス元（社内/社外）によって認証方式を変える事ができます。

Webアプリ

社内アクセス

＋

社内アクセスはID/パスワード 認証のみ

社外アクセスはID/パスワード ＋ OTP 認証

認証・認可

認証・認可

コンテンツ

社外アクセス

・・・・・・・・・・・・・・・・・・・・・・・

認証ポリシー設定

IceWall

MFA

© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 14

ポリシー例：アクセス先に応じて認証方式を決定アクセス先のコンテンツ（URL）によって認証方式を変える事ができます。

Webアプリ

＋

通常コンテンツ

機密コンテンツ

通常コンテンツはID・パスワード 認証のみ

機密コンテンツはID・パスワード ＋ FIDOデバイス 認証

認証・認可

認証・認可

ユーザー

・・・・・・・・・・・・・・・・・・・・・・・

認証ポリシー設定

IceWall

MFA

Webアプリ

© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 15

ポリシー例 ：特定コンテンツアクセス時に追加認証アクセス先のコンテンツに応じて異なる認証ポリシーを設定した場合、二段階目以降の認証が設定されたコンテンツにアクセスした際に追加の認証が求められます。

Webアプリ

通常コンテンツ

機密コンテンツ

ID・パスワード で認証

閲覧可能

閲覧要求

FIDOデバイスで追加認証

追加認証後に閲覧可能

ユーザー操作の流れ

認証・認可

認証・認可

・・・・・・・・・・・・・・・・・・・・・・・

認証ポリシー設定

IceWall

MFA

Blocked!

© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 16

Webアプリ・クラウドサービスの改修不要IceWall MFAがWebアプリやクラウドサービスへのログインを代行します。Webアプリやクラウドサービスの改修は不要なので、広い範囲のWebアプリやクラウドサービスを容易に多要素認証化することができます。

既存Webアプリ 既存クラウド 既存Webアプリ

Password:

既存クラウド

今お使いのWebアプリやクラウドサービスが・・・

IceWall MFA

を導入すると

Webアプリやクラウドサービスを改修することなく

それらの認証をIceWall MFAが代行します

Password: Password: Password:

© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 17

シングルサイオンシングルサインオン機能によって、１回のログインで複数のWebアプリやクラウドサービスにアクセスする事ができます。

認証・認可クラウドサービス

1回のログインで複数のアプリにアクセス可

認証DB

ログインは１回のみ

ユーザー

Webアプリ

IceWall

MFA

© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 18

システム構成IceWall MFAのシステムは、各サーバー/モジュールから構成されます。

ユーザー Webアプリ

クラウドサービス

認証DB IceWall認証サーバー

IceWallFederation

認証連携

IceWallMFAサーバー

代行認証/アクセス

MFAプロキシモジュール

MFAセルフサービスモジュール

IceWall MFAサーバー内 各モジュール

ユーザーWeb

アプリ

IceWall認証サーバー

U2FプラグインOTPプラグインブラウザートークンプラグイン統合Windows認証プラグインその他 3rd Party製も追加可能

MFAコントローラーモジュール

認証プラグイン

© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 19

種々の3rd Party 認証方式との容易な連携プラグイン仕様公開によるパートナーエコシステムテクノロジーパートナー各社が提供する様々な認証方式と、プラグインによって容易に連携可能

• テクノロジーパートナー各社が提供する

各種認証方式とIceWall MFAを連携させ

るための“プラグイン”仕様を公開します。

• テクノロジーパートナーは、公開された

仕様に基づいてプラグイン ソフトウェア

を開発すれば、自社の独自認証を

IceWall MFAの認証方式として利用可

能です。

• 種々の認証方式を統合可能な「認証プ

ラットフォーム」として利用可能です。

IceWall

MFA

指紋認証

マトリックス認証

4 7 5 2

1 6 ３ 9

4 ３ 1 2

0 8 7 5

9 7 8 2

7 6 ３ 9

4 8 9 7

6 2 1 5

その他認証方式

虹彩認証

© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 20

まとめ

© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 21

IceWall MFAの特長まとめ

“FIDO”, “OATH” と言った標準規格の認証デバイスから選択して利用可能

→ベンダロックを避けることができ、低コストの認証デバイスを利用可能

→タブレットやスマホなど、マルチデバイスに対応した認証方式も選択可能

アクセス先やアクセス元に応じて、認証方式や要素数を変更可能

→セキュリティを重視したり利便性を重視したり、利用シナリオによって柔軟な対応が可能

Webアプリケーションやクラウドを改修をすることなく、多要素認証化が可能

→改修コスト不要で、広い範囲に多要素認証を適用可能

3rd Party認証方式との容易な連携を可能にするプラグイン

→より幅広い認証方式を選択可能

© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 22

認証方式 (多様な方式に対応)

実装状況

No 認証方式IceWall MFA

IceWall SSOID識別認証 (*1) 追加認証 (*1)

実装済み

1 ID/パスワード ○ ○ ○

2 統合Windows認証 ○ － ○

3 OTP（OATH準拠） － ○ ○

4 メールOTP － ○ －

5 FIDO（U2F） － ○ －

6 マトリクス（PassLogic） － ○ －

7 ブラウザートークン(認証済み端末の登録) － ○ －

8 拡張機能（カスタムプラグイン開発環境） ○ ○ ○

開発中(＊2)

9 Windows Hello（FIDO2） ○ ○ －

10 指静脈 － ○ －

11 ICカード ○ － －

12 指紋 － ○ －

計画中(＊3)

13 FIDO（UAF） ○ － －

14 クライアント証明書 ○ － ○

15 リスクベース － ○ ○

*1：組み合せに制限が存在する場合あり（対応ブラウザ他）*2：提案可能 *3：個別対応可能

© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 23

IceWall MFA と IceWall SSO 10.0の比較

IceWall SSO 10.0 IceWall MFA4.0 備考

Reverse Proxy 標準or高速 高速

ポリシーベース認証制御

△* ○*dfwを分けることにより

一部可能。

ポリシーベースアクセス制御

○ ○* *階層管理可能

ログ 参照型 分析型* Big Data対応

通信プロトコル ICP(独自)TLS/JSON*

(クライアント証明書対応)Web API化

環境 オンプレミス ハイブリッド

目的利便性

アクセス管理開発生産性

認証強靭化働き方改革クラウド移行

© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 24

お問い合わせ

© Copyright 2017-2018 Hewlett Packard Enterprise Development LP 25

お問い合わせおよび周辺サービス

お電話でのお問い合わせ（日本ヒューレット・パッカード カスタマー・インフォメーションセンター）

0120-268-186 / 03-5749-8279 （携帯電話・PHSから）

受付時間 ： 月曜日～金曜日 9:00-19:00

（土、日、祝祭日、年末年始および5月1日を除く）

Webフォームからのお問い合わせ http://www.hpe.com/jp/iw-contact

最新/詳細情報

• IceWall MFA公式サイトhttp://www.hpe.com/jp/icewall-mfa

• 技術レポート（新規レポート随時公開中!!）http://www.hpe.com/jp/iw-report

• カタログhttp://www.hpe.com/jp/iw-catalog

• オンラインデモhttp://www.hpe.com/jp/icewall-demo

• 評価用マニュアルダウンロードhttp://www.hpe.com/jp/icewall-download

各種サービス

• 導入サービス

• コンサルティングサービス

• エンジニア様向け技術トレーニング

• 海外拠点への導入・コンサルティングサービス

IceWall MFA公式サイト

Thank you