ネットワーク、Active Directoryからアプリケーショ …Active Directoryの再整備 • ほぼ100％に近い企業でActive Directoryを利用 ‒ ただし、利用形態はさまざま

ネットワーク、Active Directoryからアプリケーションまで- 理想の認証統合環境とは -

株式会社ディー・ディー・エス戦略事業本部

Copyright 2008 DDS,Inc. All Rights Reserved.

はじめに

DDSは指紋認証技術をベースとしてITシステムの認証基盤と向き合ってきました。

お客様から学んだことは•指紋認証導入は単なるフロントエンドの問題ではなく、適用するITシステムとの連携が必要‒ ネットワーク‒ Windowsローカル‒ Active Directory‒ アプリケーションなど

•認証システムは認可システムと表裏一体

2


ここ1年お客様とお話して・・・エンタープライズ企業が直面している事

Active Directoryの再整備• ほぼ100％に近い企業でActive Directoryを利用‒ ただし、利用形態はさまざま

• クライアントOSのマジョリティは完全にWindows• ここ1年ほどで80%以上のエンタープライズ企業においてActive Directoryの再整備を行っている

アプリケーション認可認証基盤の整備• アプリケーションの乱立でID/パスワードの種類が膨大に• ID統合などによるプロビジョニング対策• SSOツールによるシングルサインオン環境の確立

3


JSOXで露呈した基盤の課題

• JSOX対策で真っ先に講じた対策‒ 莫大なコンサルティングへの投資‒ 業務フローの明確化‒ ガイドラインに沿った最低限のIT対策• 文書の電子化と管理• 不正操作防止‒ アクセスログの監視、監査

• ガバナンスの本質は認可・認証基盤に・・・‒ 対策を進めるにつれ露呈した根本的な課題 = 乱立‒ 認可基盤の統合、認証基盤の見直し

4


認証・認可基盤

認可基盤(リポジトリ)

認証基盤

アプリケーションネットワーク

Access Control List Access Control List

ID/パスワード ID/パスワード

Windowドメイン

Active Directory

ID/パスワード


JSOX対応で見えた既存基盤の限界

• ユーザ管理、コンピュータ管理基盤の乱立‒ ユーザ管理リポジトリの乱立

• 人事データベース• Active Directory• アプリケーションのACL• ネットワーク認証のACL

‒ Active Directoryの乱立

• リポジトリ間の整合性がとれない！‒ ゴーストユーザが続出‒ 人事異動に管理が追い付けない‒ 企業統合・事業統合などに追い付けない

• ID/パスワードの氾濫‒ ユーザビリティの低下‒ セキュリティレベルの低下‒ ユーザがメモに書く - ID/パスワード情報の漏えい

6


過去のシステム

NTドメインの乱立

7

NTドメイン NTドメイン NTドメイン NTドメイン

事業部A 事業部B 拠点A 拠点B

アプリケーションアプリケーションアプリケーションアプリケーション

• NTのSAM(Security Management)データベースの限界‒ 1ドメイン(DC) あたり40MB、現実的には1万ユーザ収容が限界と判断

• 拠点間レプリケーションの問題‒ ドメインコントローラのレプリケーションが常に行われるため帯域が狭かった当時の拠点間接続では支障があった

結果的にドメイン毎にアプリケーションを採⽤するなど、アプリケーションの乱⽴を招く事に


過去のシステム

Active Directoryへの移行

8

ドメインドメインドメインドメイン



• Active Directory環境の理想は？‒ 1フォレスト1ドメイン

• NT環境から引きづる構成‒ ドメインの再構成をせずにADへアップグレード

NT時代の乱⽴は解決せず、そのまま今⽇のAD環境に


リポジトリ乱立例

9

Active Directory

Windows統合認証

リポジトリの数 = IDパスワードの数 = 6Active Directory 1 アプリケーション 4 レガシーアプリケーション1

ADログオン

レガシーアプリケーション

アプリケーション


人事DB


現在の対策

プロビジョニング再構成

10



• Active Directory再構築‒ 1フォレスト1ドメイン

• 乱立したアプリケーションのプロビジョニング‒ ユーザID/パスワードの統一とシングルサインオン環境の構築

マスタリポジトリの設定とプロビジョニングの実施

1フォレスト1ドメインのAD環境再構築 (Windows統合認証の活用)

ID統合、SSO基盤の採用で認可基盤を統合 (ユーザプロビジョニング)


統合システムの例

11

クライアントPC管理基盤

(Active Directory)

アプリケーション管理基盤(LDAP等)

ID統合ユーザプロビジョニング

Window

s統合認証

リポジトリの数 = IDパスワードの数 = 3Active Directory 1 アプリケーション(SSO) 1 レガシーアプリケーション 1 レガシーアプリケーション


SSO

人事DB


理想の認証・認可基盤つくりのポイントその１ ‒ 認可システム

• できる限りリポジトリの数を減らす = ID/パスワードの数を減らす‒ ディレクトリの統合‒ アプリケーションの棚卸し

• どうせWindowsクライアントとADを導入しているなら使い倒す‒ Windows 統合認証の最大活用‒ Window CAは付いてくる

• ネットワーク認証はEAP-TLS (証明書) ベースで• スマートカードの利用も可能


リポジトリ統合の例

13

Active Directory

Window

s統合認証

リポジトリの数 = IDパスワードの数 = 2Active Directory 1 レガシーアプリケーション 1 レガシーアプリケーション


Windows統合認証対応SSO


Copyright 2008 DDS,Inc. All Rights Reserved. 14

認証システムと認可システム

Active Directory

アプリケーションACL

(Access Control List)認可システム

認証システム

クライアント

SSO/ワークフロー

社内リソースファイルサーバアプリケーションコンピュータプリンタ等

t_yamada● ● ● ● ●



誰が？

何を？

IDパスワード認証はデフォルトの認証システム


認証システムと認可システム

Active Directory

アプリケーションACL

(Access Control List)SSO/ワークフロー

ファイルサーバアプリケーションコンピュータプリンタ等

認証デバイスによるセキュリティ強化ユーザビリティの向上

DDS指紋認証

ICカード認証

管理・認証サーバ

指紋認証

管理・認証サーバ

認可システム

認証システム

社内リソース

誰が？

何を？


• 認証のユーザビリティとセキュリティレベルのバランス‒ 認証のユーザビリティを重んじればセキュリティレベルは下がる‒ 両方見たせばコストは上がる

→ 経営のポリシー次第• どのレイヤでセキュリティを重んじるか• 認証システムもできる限りリポジトリを減らす• 有事のリスクを考える‒ 有事の際に見直しができる拡張性や柔軟性‒ 間違えた基盤つくりをすると全リプレースの羽目に

• 認可統合できないレガシーアプリケーションは認証基盤で救う

認証⽅式の拡張性、認可システムとの統合性が重要

理想の認証・認可基盤つくりのポイントその2 ‒ 認証システム


事例に見る認証システムへのニーズ

• 入退室システムで利用しているICカードをITシステムに利用したい‒ ICカードにパスワード認証を組み合わせたい

• 全体的にICカード、特定の部門だけに指紋認証を導入したい• スマートカードを導入したがカードの貸し借りが不安


多要素認証統合プラットフォーム


EVE MAがご提供するメリット

• 認証システムの将来性、拡張性確保• 部門ごとで異なる認証方式での運用• Active Directoryの活用• 認証デバイスの組合せ認証でセキュリティレベル向上• アプリケーション, SSOツール(認可システム)ごとの認証方式の設定• PKI + 多要素認証の実現



認証システムの将来性確保部門ごとで異なる認証方式での運用


Active Directory SSO/ワークフローアプリケーション

ACL

EVE MA プラグインアーキテクチャ

認可システム

認証システムシステム連携プラグインプラットフォームシステム連携プラグインプラットフォーム

多要素対応プラグインプラットフォーム多要素対応プラグインプラットフォーム

将来導入されるアプリケーション

？将来導入される認証要素

？将来導入される認証要素

・・・

・・・

Plug-in Plug-in

Plug-in Plug-in Plug-in Plug-in

DDS指紋認証他社製バイオ認証 PC内蔵指紋認証 ICカード認証

Plug-in Plug-in Plug-in Plug-in

シームレス連携

クライアント


部門ごとに異なる認証方式乱立する認証システム

事業部A 事業部B

管理・認証サーバ管理・認証サーバ

Active Active DirectoryDirectory 業務システム業務システム

認可システム

指紋認証システムICカード認証システム

Before


部門ごとに異なる認証方式EVE MAの統合環境

Active Active DirectoryDirectory 業務システム業務システム

認可システム

事業部A 事業部B

１プラットフォームで部⾨ごとに異なる認証⽅式を⼀括管理

After


Active Directoryの活用


ADの運用を活かしたポリシー設定

ROOTドメイン全社

OU組織

全社への設定全社への設定

組織への設定組織への設定

ユーザ、コンピュータへの設定ユーザ、コンピュータへの設定

デフォルトは上位のルールを継承

デフォルトは上位のルールを継承

認証要素の組み合わせ設定

ドメイン、OU、ユーザ、コンピュータで個別の組み合わせ認証設定が可能


グループ設定による継承強度設定

グループA グループB

継承強度弱の設定継承強度強の設定

グループBの設定を優先

ADの運用を活かしたポリシー設定


PKIの採用 - Software Smart Card


PKIをベースにした多要素認証基盤の実現

SIDリレーション

クライアントの多要素認証

Active Directory

Windows CAWindows Server 2003

証明書発行

認証情報を暗号鍵とした証明書発行

PKI対応アプリケーション

PKIベースの多要素アプリケーションログオン

PKIベースの多要素ADログオン(Software Smart Card)

認証と複合


アプリケーションへの多要素認証の適用


アプリケーションへの多要素認証の適用


アプリケーションへの多要素認証適用

ID PW

アプリケーションAスキーマ

・・・

・・・

ID PW

SSOツールスキーマ

ID PW

アプリケーションCスキーマ

+

ID/PW情報

ID/PW情報

ID/PW情報

アプリケーションA SSOツール

アプリケーションC

柔軟な拡張性


ディレクトリ運用を中心にしたアプリケーション毎の認証ポリシー

ROOTドメイン全社

OU組織

+


SSO

Windows ログオン


ネットワーク認証への対応

33


ノートPCのモバイル利用への対応

34


シンクライアント環境への対応

35


EVE MAによる多要素認証統合

36


Window

s統合認証

IDパスワードの数 = 0レガシーアプリケーション


SSO

人事DB

Active Directory


まとめ

• リポジトリは可能な限り減らす• Active Directoryはフル活用• プロビジョニング、SSOの導入は認可システム統合だけでなく認証システムとの統合も考慮• 認証システムには拡張性が必要

認証基盤にはぜひEVE MAをご検討ください

37


Documents

ネットワーク、Active Directoryから アプリケーショ …Active Directoryの再整備 • ほぼ100％に近い企業でActive Directoryを利用 ‒ ただし、利用形態はさまざま

ネットワーク、Active Directoryからアプリケーショ …Active Directoryの再整備 • ほぼ100％に近い企業でActive Directoryを利用 ‒ ただし、利用形態はさまざま