Embed Size (px)
Citation preview
USB鍵を用いた二要素認証『簡単・安全・安心』のWindowsログイン
2
なぜ二要素認証が必要なのか?ログイン認証と言えば、ログインIDとパスワードの組み合わせ利用が一般的ですが、人の記憶で扱う情報な為、使い易い反面、最も漏えいしやすい情報です。しかし、二要素認証であれば、人の記憶で扱う情報が漏えいしたとしても、もう一つの情報が揃わなければ認証に成功しません。
ID:000Pass:XXX
+ Why?
3
人の記憶 所持しているもの
Yubi Plusとは
Yubi Plusは、パソコンのログインにUSB鍵(YubiKey)を使用
した二要素認証ログインを行うソフトウェアです。
ログインID/
パスワードUSB鍵 二要素認証
4
Yubi Plusの使い方
パソコンにUSB鍵を挿入し、いつものログインパスワードを入力し
たらUSB鍵のセンサーにタッチするだけ!
【1回目】vvnuivchtbbugvenntgggucbeblinfgbldbbibhtftir【2回目】vvnuivchtbbujfudvgbefibdhunhkjjkdcherluhjhtd【3回目】vvnuivchtbbueuerhhubjigcvvdilvtcrlgetfbeccud
センサーにタッチすると以下のようなワンタイムパスワードが発行される。
※先頭12桁はUSB鍵の個体識別ID
簡単!
これだけ!
ドライバ不要!
5
Yubi Plusの使い方
**** **********************
固定パスワード 44桁のワンタイムパスワード
Windowsのパスワードを入力
USBポートに接続しセンサー部分にタッチ
44桁のワンタイムパスワードが出力されます
ログイン完了STEP 1 STEP 2 STEP 3 STEP 4
6
USB鍵(YubiKey)についてUSB鍵(YubiKey)は、非常に小さなパソコンログイン用の認証鍵です。USB鍵の中央にあるセンサーにタッチすることで、毎回異なる44桁のワンタイムパスワードを発行します。
15mm
38mm
重さ:3g
ここがセンサー
社員証
ID氏名
: XXXXXX: 狭山 太郎
持ち運びに便利!
人の静電気で反応!
USB鍵は、USBキーボードとして認識されるため、資産管理ソフト等の「USB使用禁止」時でも問題なく使用できます。
USB鍵には、データ保存用のストレージ領域はありません。このためUSB鍵紛失が情報漏えいとなることはありません。
7
ワンタイムパスワードの有効性
ワンタイムパスワードは、1回しか使えない使い捨てのパスワード
です。1度認証に成功したパスワードを再度使用しても認証に成功することはありません。
▼1回目 ▼2回目
Paste
1回目に認証に成功したワンタイムパスワードを
2回目に使用
コピー & ペースト
8
Yubi Plus認証の有効性銀行でお金を引き出す際に使用しているATMでも、二要素認証が使われています(暗証番号とキャッシュカード2つの要素) 。Yubi Plusも、ATM同様に、人の記憶(ログインID/パスワード)と、所持しているもの(USB鍵)から発行されるワンタイムパスワードによる二要素認証を行います。
所持しているもの(キャッシュカード)人の記憶
所持しているもの(USB鍵)
▼銀行ATMでお金を引き下ろす際の認証 ▼Yubi Plusでログインする際の認証
暗証番号
人の記憶
ログインID/パスワード
9
Yubi Plusの有効性
簡単にセキュリティを強化したい
パスワードを複雑にする
憶えられない
USB鍵で複雑なワンタイムパスワードを発行
付箋にメモ
生体認証導入
本人認証において、生体認証を越える認証方法は存在しません。しかし、導入コストが高いのはもちろんYubi Plusのように軽量なものは少なく、据え置きや取り付けのものが多いため、「簡単に」というわけにはいきません。
「パスワード」をメモする。誰もがやったことがあるこの行為こそが情報漏えいの第一歩です。
10
Yubi Plusの有効性
簡単!わかりやすい!お手軽!利用者の負荷を可能な限り軽減します。
低コストで導入が可能!同様のセキュリティ商材と比べても安価に導入が可能です。
Windowsログオン以外にも利用可能(※API連携時)
自社システムなどにも手軽に二要素認証を導入できます。
11
Yubi Plusを導入すると
パソコンにログインするためには、パスワードとUSB鍵が必要に
なります。
A BアカウントパスワードYubiKey
:A:999:AさんのUSB鍵
アカウントパスワードYubiKey
:A(なりすまし):999:BさんのUSB鍵
登録されていないUSB鍵でログインすることはできません。
12
ユーザーとUSB鍵の紐付け
管理者
ユーザーA
ユーザーB
管理者
ユーザーA
ユーザーB
マスター鍵
一般鍵
一般鍵
ログインするユーザーに対して、USB鍵を紐付けます。紐付けイメージ ログイン結果
13
USB鍵を失くしてしまったら?
ご自宅の合鍵のように、予備のUSB鍵をあらかじめ登録しておくこ
とでUSB鍵を紛失/持って来るのを忘れたというケースで「パソコンにログインできない」という問題は回避できます。
紛失したUSB鍵のデータは削除すれば
安心!
不安な方は予備のUSB鍵をご用意ください。
ログインできない…
14
Yubi Plusの機能/特徴
認証サーバー不要(スタンドアロン版) USB鍵を抜くことで、スクリーンセーバーロック ログの出力(ログオン成功/失敗) ログアウト時にフォルダを暗号化 Active Directory連携(認証サーバーが別途必要) リモート接続サービス(別途VPNサービスのご契約が必要) ネットワーク切り替え
※ スタンドアロン版は自PC内に、認証サーバー版は認証サーバーにログが蓄積されます
※ 暗号化対象フォルダはマイドキュメント直下に固定フォルダが指定されます
※ リモート接続、ネットワーク切り替え機能については、は2018年リリース予定
15
Active Directory連携(オプション)
Active Directoryに、登録されているユーザ情報を、Yubi Plus認証
サーバと連携させることで、USB鍵を一元管理をすることができま
す。年次更新時のユーザ移行が簡単に行えます。※Active Directory環境下でも認証サーバを使わず
スタンドアローンで動かすことも可能です。
管理するパソコンの台数が多いと、USB鍵も個別に管理するのは大変です。
Active DirectoryとYubi Plus認証サーバを連携することでUSB鍵の管理が容易に行なえるようになります。
の範囲が、 Active Directory連携版Yubi Plusを導入する際の
影響範囲です。それ以外は、標準のWindows認証となり、既存のActive Directory環境に影響を及ぼすことはありません。
1616
Active Directory連携(オプション)
YubiKeyWindows 7以降
仮想サーバ(Linux)
Yubi Plus DBSQLite
Windows Server
① YubiKey発行のワンタイムパスワード認証(HTTPS)
② OK/NG
③ 標準Windows認証(ユーザー名/パスワード)
④ OK/NG
Yubi Plus
Yubi Plusの認証が成功しない限り、その先のWindows認証は行なえません。
Active Directory連携(オプション)
17
Yubi Plus認証サーバ仕様本連携は、Active Directoryサーバのスキーマ拡張型ではありません。Active Directoryに登録済みのユーザ情報をCSVでエクスポートし、ユーザーのログインIDと、USB鍵情報を紐付けし、Yubi Plus認証サーバに格納して運用します。
新規導入時もCSVの編集/取り込みで作業が完了するため、短期間での導入を実現します。(マスター鍵(合鍵)をご用意することを推奨)
ユーザー追加などの更新時も同様に、Active Directory側でユーザーの異動が終了した後、同作業を行うことで更新作業が完了となります。
Yubi Plus認証サーバは仮想イメージ、専用アプライアンスサーバー、クラウド版でご提供が可能です。詳細な構成については、別途ご相談ください。
複数拠点にActive Directoryサーバが設置されている構成(マルチドメイン)及び、データセンターなどで一元管理されている環境でも、Yubi Plus認証サーバ1台で対応が可能です。
18
Yubi Plus Switch(オプション提供)
19
Yubi Plus Switch概要
Yubi Plus Switchは、IPアドレスベースでの接続制限がクライアントパソコン単体で行うことが可能なツールです。通常はインターネット利用可能だが、社内利用のグループウェアへの接続は不可とするというようなアクセス制御が可能となります。
※ネットワーク切り替え一例
通常時 切り替え時
グループウェア グループウェア
20
Yubi Plus Switch概要
IPアドレス、ポート番号、TCP/UDPで指定可能です
クライアントのWindowsファイアウォールは摘要されます
21
Yubi Plus Switch利用例
クライアントアプリ起動
ログイン画面
ネットワーク切り替え処理
グループウェア
22
二要素認証アプリ(オプション提供)
23
二要素認証アプリ概要
既存システムの改修をすることなく、二要素認証ログインを実現するアプリケーションです。
アプリ ログイン画面
グループウェアログイン画面
グループウェア
改修不要
改修不要
従来フロー 導入後フロー
グループウェア
グループウェア
24
二要素認証アプリ特徴
既存システムの改修をする必要がない※シングルサインオン等の機能がある場合のみ。
ネットワーク切り替えのタイミングとしても利用可能
25
Yubi Plus Remote(オプション提供)
26
Yubi Plus Remote概要
自宅または外出先から、自身のオフィスパソコンにリモートアクセスします。画面転送のみでアクセスするため、情報漏えいの心配はありません。
Internet
自宅/出先 オフィス
VPN
27
Yubi Plus Remote特徴
VPN接続、リモートデスクトップにてリモートアクセスします。
リモートアプリ以外(Windows標準リモートデスクトップ機能等)からのリモートアクセスはできません。
他システムとの連携
28
API連携他システム連携実績及び、連携を前提とした開発協業は複数メーカと進めております。(ご希望のシステム名をお知らせください)
基本的なログイン方法としては、Windowsログイン同様、システムログイン用ユーザIDとパスワード、これにUSB鍵から発行されるワンタイムパスワード(44桁)を連携させてログインを実現しています。
※シングル・サインオン(SSO)をご希望の場合、別途ご相談で対応は可能ですが、パスワード+USB鍵から発行されるワンタイムパスワードのご利用を推奨しております。
29
Yubi Plus連携製品
株式会社 内田洋行
校務支援システム
30
Yubi Plus連携製品
株式会社文溪堂
校務支援システム (ティー・コンパス)
31
Yubi Plus連携製品
拡張子・ファイル容量で格納可能なファイルを瞬時に判断ディスクを圧迫するデータや、容量が大きいファイルをコピーさせません。拡張子を偽装しても判別が可能です。
サーバ側で運用に合わせた設定が可能大切なデータはサーバにコピーできるよう、ご利用形態合わせた設定が可能です。
コンピュータエデュケーションシステム株式会社
文教向けファイルサーバ
