IDとアクセスの管理101

IAM 101エリアでは、セキュリティ、IDとアクセスの管理、シングルサインオン、多要素認証、プロビジョニングなど、企業が必要なアプリケーションやシステムへの安全なアクセスをユーザーに提供するうえで役立つテクノロジーに関連するさまざまなトピックに関する情報が無料で提供されています。IAM 101エリアは定期的に更新され新コンテンツが追加されるため、ぜひこのページはブックマークに登録してください。

すべてのトピック

「ゼロトラストセキュリティに到達する方法」

ゼロトラストセキュリティという考え方は、2010 年に Forrester により紹介されました。しかし、それはセキュリティ産業の人達が期待したほどは、広く採用されていません。ただし、変わって行くかも知れません。サイバー犯罪者からの脅威が、ビジネスへの違反のコストと合わせて年々高まるにつれ、ますます多くの組織がゼロトラストモデルの実装を達成しようとしています。それを自社のビジネスに実装するために必要な、核となる情報は以下の通りです。 ### 4 つの原則 ゼロトラストは、どんなテクノロジーよりも、発想の転換に関わっています。発想を転換したら、ゼロトラストを実装するためのテクニカルソリューションを評価することができます。会社、—そして、特にその会社の IT 組織—が採択する必要がある 4 つの原則は以下の通りです。 #### 脅威は外部からと同時に内部から発生する このことは、おそらく、最も大きい発想の転換です。従来から、IT 部門は組織の外周に重点を置いて、侵入の防止を図ってきました。これは、組織内部の人間は、概して安全であるという考え方です。そのため、ファイヤーウォール内側の問題の検証、または検知には、あまり力を入れません。これは、セキュリティに対する「城と堀」型アプローチと呼ばれることがあります。 今は、この考え方を変えるときです。ゼロトラスト環境では、脅威は、外部と同様に内部からも発生するということを前提とします。それは、犯罪者が、すでに自社の組織に潜入しているかも知れないからです。それとも、悪人がいるかも知れません。いずれにしても、組織の内部で発生することに焦点を合わせ、内部からの攻撃を防止することは、外部からの攻撃と同様に重要です。 #### マイクロセグメンテーションを使用します このことは、2 番目の原則、すなわちマイクロセグメンテーションを導きます。このアプローチでは、組織のファイヤーウォール内側のエリアさえも壁で遮るか、または他から分断します。たとえば、マーケッティング部門は自分たちが使用するツールやデータ、すなわち顧客情報や Salesforce のようなアプリなどへのアクセスが得られます。しかし、彼らは財務データや経理部門が使用するツールにはアクセスできません。また、製品 IP や開発チームが使用するソフトウェアにもアクセスできません。 #### 最小権限アクセス マイクロセグメンテーションに縛られるということは、最小権原アクセスの考え方です。すなわち、たとえ部門内でも、ユーザーを必要最小限の情報とアクセスに限定します。それは、単に財務に従事する社員が、顧客や自社のすべての財務データにアクセスする必要があるわけではないからです。ユーザーの役割に応じて、彼女または彼は、顧客のデータのセットを選択するためにアクセスする必要があるだけかも知れません—または顧客の財務情報にはまったくアクセスしないかも知れません。 アクセスを、必要のあるものだけに制限することにより、ハッカーが、なんとか、あるユーザーの ID になりすましたとしても、相手は限られた量の被害しか及ぼすことができません。 #### 決して信用しない、必ず検証する このことをすべて実行するために、組織はモデルを転換し、ゼロトラストアプローチと呼ばれる方法を適用する必要があります。ユーザーを、決して文字通りには信頼しません。そうではなく、必ずユーザーの ID とアクセスレベルを検証します。決して信頼せず、必ず検証することは、自社の組織に潜入した犯罪者やプログラムを、機密情報へのアクセスを得たり、被害を及ぼす前に阻止するチャンスを広げます。 ### ゼロトラストセキュリティ用ツール ゼロトラスト原則を専門的な目で見れば、実際の実装にはいくつかの変更があることに気付くかも知れません。たとえば、セキュリティには決して信頼しない/必ず検証するというアプローチが求められる中で、検証を続けることはユーザーにとって比較的面倒ではないという錯覚があります。城の比喩に戻るなら、鍵を使って解錠する必要がある門があちこちにあるとすれば、人々の日々の生産性は本当に影響を受けます。 同じように、役割というものは、完全に明快ではないことは誰にも分かっています。一部のユーザーは、その役割に基づくデフォルト設定では割り当てられないアプリケーションまたはデータに、アクセスする必要があるようになります。すなわち、アプリに、「必要に応じて」の原則でユーザーをプロビジョニングまたはプロビジョニング解除する、高速な方法が必要です。 そのため、ゼロトラストセキュリティには、以下の中核的な 4 つのツールがあります。 - SSO—シングルサインオン (SSO) は、ユーザーに、単純なパスワードを始めとする信用情報を使用して一度サインインすれば、使用するすべての Web アプリへのアクセスが得られる機能をもたらします。適切なツールを使用すれば、SSO はオンプレミスのレガシーアプリケーションへのアクセスにも、シングルサインオンを可能にします。SSO はパスワードを排除することによりセキュリティを強化し、一方使いやすさとユーザーの満足度を高めます。 - MFA—多要素認証 (MFA) はすべての組織が使用すべき重要なツールです。MFA は、ユーザーがログインしようとする際に、追加の要素を要求します。たとえば、ユーザーは、ユーザー名やパスワードの入力に加えて、モバイルアプリからの PIN または認証を入力することを要求される場合があります。 実際、セキュリティにはパスワードだけでは十分ではありません。MFA が必要です。ただし、MFA は SSO と組み合わせる必要があります。さもなければ、ユーザーがログインするためにより多くの手順が追加されますが、一方ユーザーは依然として 1 日に何回もログインすることも求められます。 - 高速プロビジョニングシステム—ゼロトラストに移行すると、アプリケーションに、ユーザーを素早くプロビジョニングおよびプロビジョニング解除できるシステムが必要になります。ユーザーは、定期的に例外とする必要があることを除いて、最小限のアクセス権限しか与えられないからです。そのため、現行のプロビジョニングシステムが時間がかかると、ゼロトラストに移行した場合に事態は悪化するばかりです。 - デバイス保護—ユーザーがログインに使用するデバイスは、防御の最前線であり、攻撃の焦点、すなわちエンドポイントです。そのため、危険をソースで相殺する、デバイスを保護し、監視するツールを求めます。 以上です。これらが、ゼロトラストに移行する場合に、最初に考慮する 4 つの原則と 4 つのツールです。

詳しい情報

SAML SSO ソリューション:セキュリティの高いログイン、迅速なロールアウト

SAML についてお聞きになったことがあるかもしれません。それは、Security Assertion Markup Language (セキュリティアサーションマークアップ言語) の略号です。SAML は、Web ブラウザーが、セキュアトークンを介したシングルサインオン (SSO) を可能にするために使用する標準プロトコルです。SAML の特長とは?パスワードの必要を完全になくします。このことは、標準暗号法とデジタル署名を使用し、セキュリティの高いサインイントークンを ID プロバイダーから SaaS アプリケーションに受け渡すことによって行われます。 SAML は XML ベースのオープンスタンダードです。それは、OASIS セキュリティサービス技術委員会の製品です。Salesforce、Google、Microsoft など、ほとんどの一般的 SaaS ベンダーが、既に SAML をサポートしています。他のベンダーを使用する SAML 有効化アプリは、年間料金が何十万ドルもかかる場合もありますが、OneLogin コミュニティの一部として無料です。 ### セキュリティの高いパスワード不要のログイン SAML は、デジタル署名されたセキュリティトークンと、認証および認可データによる暗号化メッセージを使用します。たとえば、あるユーザーの電子メールと会社の役割です。このようなトークンは、ID プロバイダーからクラウドアプリケーションに、確立された信頼関係を使用して受け渡されます。SAML のスタンダードベースの性質により、ID プロバイダーの間にまたがるインターオペラビリティと、アプリが信頼できる情報に基づいて信用情報を管理することなくユーザーにサインインする、共通の方法がもたらされます。 ### SAML はどのように役に立つのでしょう? お客様がもし IT 管理者であるなら、パスワードをセキュアになくし、アプリケーションをもっと迅速に展開するために、SAML を役立てることができます。お客様がもしアプリのベンダーであるなら、お客様のアプリケーションのセキュリティを高め、開発コストを低減し、より広範に、より速く採用されるために、SAML を役立てることができます。IT 部門には、SAML はユーザーのログインをよりセキュアにし、アプリケーションのアクセスをより迅速でよりセキュアにロールアウトします。 ### フィッシング防止 SAML はパスワードをなくすことにより、セキュリティの役に立ちます。アプリのパスワードがなければ、騙されて、偽のログインページにログインすることはあり得ません。 また、ユーザーをもっと満足させます。それは、ポータルまたはインターネットからの合理的なワンクリックアクセス、深いリンク、パスワード排除、そしてセッションの自動更新を提供するからです。ブラウザーを 1 回リダイレクトするだけで、ユーザーはセキュアにアプリケーションにログインすることができます。 ### SAML は IT 部門にどのように役に立つのでしょう? SAML は、認証を一元化し、より高い可視性をもたらし、ディレクトリ統合をもっと容易にすることにより、IT 部門の作業をシンプルにします。これらは、SAML が企業で愛用される理由の、ほんの一部でしかありません。そして、お客様がもし B2B クラウドベンダーであるなら、やはり SAML に対応してください。それは、事業所で愛用されているからです。 ### OneLogin と SAML SSO OneLogin は、SAML を介して、Web アプリのシングルサインオンを提供します。SAML ベースのアプリケーションは、OneLogin の Zero-Config Active Directory Connector と完璧に連携し、ユーザーが Windows の信用情報を使用してアプリケーションにサインインすることを可能にします。 その上、SAML は、OneLogon のオープンソースの 1 つであるSAML Toolkitsを使用して、内部またはカスタム Web アプリを僅か 2~3 時間で有効にします。 もちろん、多要素認証 (MFA) を追加すること、また 1 つの SSO パスワードを保護することも、いつでも良い考えです。MFA は、ログインのための追加因子を付加します。そのため、たとえハッカーがユーザーの信用情報へのアクセスが得られたとしても、犯罪者にはその別の因子がないため、アクセスを得ることはできません。SSO と MFA が一緒になって、強力なチームが生まれます。 .inline-wrapped { max-width: 2em; margin: 0 1em 0 0; }

詳しい情報

お客様の会社のエンタープライズパスワードマネージャーは適格ですか?

エンタープライズパスワードマネージャー、またはパスワードボルトは、企業がパスワードに関して議論し、社員にとっての使い易さを確保しながらセキュリティの高いものにしようとする際に、しばしば最初のステップとなります。しかし、エンタープライズパスワードマネージャーが、すべて同じものであるわけではありません。以下は、このようなツールならどれでも備えている特徴、そして一部のツールにしかない、お客様のビジネスに必要であるかもしれない、追加の特長です。 ### 基本的なエンタープライズパスワードマネージャー 市場にある、どの主要なエンタープライズパスワードマネージャーも、ユーザーパスワードを大抵はクラウドにある、セキュリティの高いパスワードデータベースに保存するという基本タスクを行います。高品質なパスワードマネージャーは、AES-256 のような暗号を使用して、データをセキュアに暗号化します。このようなツールのほとんどは、内蔵ランダムパスワードジェネレーターを備え、セキュリティの高いパスワードの作成を容易にします。 ビジネスパスワードボルトを選定する場合、デバイス間にまたがる社員のアクセス、それにそれらをまたがる同期をサポートするツールを確実に選択することを、お客様は望むでしょう。それは、社員は一般的に電話、それに業務用機器を使用し、そして個人のノート PC も使用するかもしれないからです。優れたエンタープライズパスワードマネージャーは、すべての一般的ブラウザーやモバイルオペレーティングシステムをサポートします。 それでは、追加機能です。 ### エンタープライズパスワードマネージャー:追加セキュリティオプション パスワードマネージャーに求められる 2 つのことは、自動パスワードリセットと、ツールを通してパスワードルールを強要する機能です。両方ともセキュリティに役立ちますが、一方で IT 部門や社内のヘルプデスクの負担も軽くします。 セキュリティには、エンタープライズパスワードマネージャーが 2 要素、または多要素認証をサポートすることが重要です。パスワードマネージャーは、パスワードのセキュリティを改善する、適切な最初のステップです。しかし、それだけで十分であることは稀です。パスワードマネージャーはハッキングに遭ってきましたが、さまざまなタイプの攻撃は、今でも入力されるパスワードを傍受し、捕捉することが可能です。エンタープライズパスワードボルトが、確実に MFA ソリューションと協調し (または MFA を含み)、ユーザーがログインする際に、ユーザーが、電話アプリからの暗証番号、指紋、顔認識などの追加認証要素を提示することを要求するようにしてください。 ### エンタープライズパスワードマネージャー:使い易さのための追加機能 エンタープライズパスワードマネージャーが機能するためには、社員がそれを使う必要があります。社員が使うには、簡単でなければなりません。次のような機能を見てみましょう。 - **Web フォームの記入**—ほとんどのエンタープライズパスワードマネージャーは、Web サイトを検出し、自動的にフェッチし、そのためのログインダイアログに記入する機能を含んでいます。ただし、どれもが正しく機能し、すべてのサイトを等しく検出するわけではありません。 - **アプリパスワード**—Web サイトだけは十分ではありません。社員は、Web サイトとアプリを区別しません—それらは仕事を片付けるためのツールに過ぎません。すべてのパスワードマネージャーが、アプリをサポートするわけではありません。それができる製品を探してください。そのことは、社員の不満を低減し、使われる機会を大きくします。 - **オンプレミスアプリケーションサポート**—オンプレミスアプリケーションをサポートするエンタープライズパスワードマネージャーはもっと少ないです。しかし、やはり、ユーザーは Web とオンプレミスシステムを大して区別しません。迅速にログインし、仕事を片付けたいだけです。オンプレミスアプリをサポートしないパスワードマネージャーは、パスワード問題の部分的ソリューションでしかありません。 ### エンタープライズパスワードマネージャーから、おそらく見いだせないこと エンタープライズパスワードマネージャーは、いくつかの基本レポートを提供するかもしれませんが、PCI や SOX のような基準へのコンプライアンスのために必要な監査ツールの類を提供することは稀です。それらは、また、攻撃の試みを識別するために必要な情報ももたらしません。 エンタープライズパスワードマネージャーは、Active Directory などのディレクトリとの基本同期しか提供しません。ロール、ロケーションなどに基づき、きめ細かいパーミッションによるセキュリティポリシーの実装を求める場合は、パスワードマネージャーではなく、真のシングルサインオン (SSO) システムが必要です。同様に、Active Directory、Workday、または他のディレクトリ—または、多くの組織に見られる複数のディレクトリ—を通してオンボードやオフボードをする場合、パスワードマネージャーではほぼ手に負えないことが明らかになり、単なるメンテナンスが必要なだけのシステムになってしまいます。 適切なエンタープライズパスワードマネージャーは、お客様の会社のセキュリティを高める、適切な最初のステップとなることができます。しかし、パスワードのセキュリティを維持し、社員を満足させるには、おそらくは SSO ソリューションへの移行が望ましいです。そのことにより、ユーザーは、1 回だけログインし、後は作業するすべての Web サイトやアプリ—クラウドベースでもオンプレミスでも—に、再ログインする必要なく簡単にアクセスできます。すなわち、純粋に 1 つのパスワードのみを使用します。そして、SSO ソリューションは、ご使用のディレクトリと統合され、そもそも Active Directory のようなディレクトリを使用する目的である、きめ細かいパーミッションと管理を提供します。 ですから、エンタープライズパスワードマネージャーは、より高いセキュリティのための道筋の第 1 ステップと考えてください。ただし、それが最終となることは期待できません。

詳しい情報

6つのタイプのパスワード攻撃とそれらを阻止する方法

6つのタイプの代表的なパスワード攻撃と、それらを阻止し、攻撃される可能性を抑えるために実行できる手順を次に示します。 ### 辞書攻撃 ユーザーが一般的な単語と短いパスワードを使用する傾向があるという事実を利用する攻撃。ハッカーは一般的な単語のリスト(辞書)を使用して、多くの場合、単語の前後に数字を付けて、企業のアカウントに対してユーザー名ごとにそれらの攻撃を試みます。(ユーザー名は一般的に社員の名前に基づいているため、判別するのは非常に簡単です。) ### 総当たり攻撃 プログラムを使用して、ありそうなパスワードまたはランダムな文字セットを生成します。この攻撃は、Password123のようなわかりやすい脆弱なパスワードから始まり、被害はそこから広まります。このような攻撃を実行するプログラムは、通常、大文字と小文字のバリエーションも含めて試みます。 ### トラフィック妨害 この攻撃では、サイバー犯はパケットスニファなどのソフトウェアを使用して、ネットワークトラフィックを監視し、通過したパスワードをキャプチャします。電話回線の盗聴や傍受と同様に、ソフトウェアで重要な情報を監視およびキャプチャします。パスワードなどの情報が暗号化されていない場合、このタスクが簡単になるのは明らかです。ただし、使用する暗号化方式の強度によっては、暗号化された情報であっても解読できる場合があります。 ###中間者攻撃 この攻撃では、ハッカーのプログラムは、渡される情報を監視するだけでなく、通常はWebサイトまたはアプリになりすまして、通信している両者の間に積極的に割り込みます。これにより、プログラムはユーザーの信用情報や口座番号、社会保障番号といった機密情報を取得できるようになります。中間者(MITM)攻撃は、ユーザーを偽のサイトに誘導するソーシャルエンジニアリング攻撃によってしばしば悪用されます。 ###キーロガー攻撃 サイバー犯は、ユーザーのキーストロークを追跡するソフトウェアをインストールして、アカウントのユーザー名やパスワードだけでなく、ユーザーが認証情報でログインしていたWebサイトまたはアプリを正確に収集できるようにします。このタイプの攻撃では通常、最初に悪意のあるキーロガーソフトウェアをユーザーのマシンにインストールさせる別の攻撃の餌食になります。 ###ソーシャルエンジニアリング攻撃 ソーシャルエンジニアリング攻撃とは、ユーザーから情報を取得するための幅広い方法を指します。使用される戦術には次のものがあります。 - **フィッシング** –信用情報の提供、悪意のあるソフトウェアをインストールするためのリンクのクリック、または偽のWebサイトへのアクセスをユーザーに促すメールやテキストなど。 - **スピアフィッシング** -フィッシングに似ていますが、ユーザーについて既に収集された情報に依存する、より巧みに作成された、カスタマイズされたメール/テキストを使用します。たとえば、ハッカーは、ユーザーが特定の種類の保険口座を持っていることを把握してそれをメールで参照したり、企業のロゴやレイアウトを使用して正当なメールを装います。 - **ベイティング**-攻撃者は、感染したUSBまたはその他のデバイスを、社員が拾って使用するよう、公共または雇用主の場所に置きます。 - **Quid pro quo** -サイバー犯は、ヘルプデスクの社員などになりすまし、ユーザーから情報を取得する必要がある方法でユーザーと通信します。 ###パスワード攻撃の阻止 パスワード攻撃に対する防御策として、まず強力なパスワードを設定します。最新のNISTガイドラインでは、覚えやすい/推測しにくいパスワードを推奨しています。大文字と小文字、数字、特殊文字の適切な組み合わせが役立ちます。できれば、一般的な単語や一般的なフレーズの使用は避けてください。サイト固有の単語(パスワードでログインしているアプリの名前など)は絶対に避けてください。また、NISTでは、お使いのパスワードが、既知の脆弱なパスワードの辞書に含まれていないか、パスワードをチェックすることを推奨しています。 社員の教育も重要です。ソーシャルエンジニアリングの戦術に対する最善の防御策の1つは、ハッカーが使用する技術とその認識方法をユーザーに伝えることです。 最近では強力なパスワードや教育だけでは十分ではありません。サイバー犯は、コンピューティング能力を使用することで、高度なプログラムを実行し、膨大な数の信用情報を取得または試行することができます。そのため、NISTはパスワードのみに頼らないよう推奨しています。具体的には、企業はシングルサインオン(SSO)や多要素認証(MFA)などのツール(2要素認証とも呼ばれる)を採用する必要があります。 SSOは、従業員が1組の信用情報ですべてのアプリとサイトにログインできるようにすることで、パスワードを排除します。ユーザーに必要なことは、強力なパスワードを1つ覚えるだけです。MFAでは、OneLogin Protectなどのアプリケーションによって生成されたPINや指紋認証など、ユーザーがログインするときに追加の情報が必要です。この追加情報により、サイバー犯がユーザーになりすますことは、はるかに困難になります。

詳しい情報

クラウドパスワードマネージャーのビジネスでの使用

パスワードマネージャー、パスワードボルト、シングルサインオン–これらの用語はいずれも、安全なパスワードを作成/管理する方法として聞き覚えのある用語でしょう。これらの用語はどのような意味ですか?また、どのような違いがありますか? ### パスワードマネージャーとパスワードボルト パスワードマネージャーと

詳しい情報

2 要素認証 (2FA) とは何でしょう?

サイバー攻撃者は容赦しません。彼らは、特権ユーザーを含めた誰にでも、侵害、フィッシング、詐欺、そしてソーシャルエンジニアリングを行い、その組織に侵入します。侵入した後は、特権や適切なリソースを格上げする機会を探します。どんなアプリも脆弱です。クラウドやオンプレミスのアプリケーションへのアクセスを管理しなければ、組織はセキュリティ違反のリスクに曝されます。 2 要素認証は、攻撃を阻止し、企業データを保護するために役に立ちます。 ### 2 要素認証とは何でしょう? 2 要素認証 (2FA) は、ユーザーがアプリにログインする際に、セキュリティのための追加レイヤを付加します。追加認証がなければ、ユーザーは、電子メールアドレスとパスワードのような簡単な資格情報を提示して、その身元を証明するよう要求されます。2FA を使用すれば、ユーザーは第 2 要素 (2F) を要求されます。それには、通常、物理的トークン (すなわちカード)、または当事者しか回答を知らないセキュリティの質問 を介して情報を提示するように、プロンプトが表示されます。 米国連邦規則集は、次の認証要素オプションを認めています。 ### 2FA はどのようにして企業のセキュリティをもっと高くするのでしょうか? 追加認証要素を備えることにより、何者かが、ユーザーアカウントにサインインすることを、たとえユーザーのパスワードを知っていても防止します。パスワードは、それ自体安全なものではないので、別の要素が必要です。パスワードは、数々の方法で侵害できます。 - ほとんどの人は覚えやすいパスワードを選びますが、それだとハッキングもしやすくなります。たとえば、人々は見破りやすい情報、たとえばペットの名前、出身地、または記念日などの大事な日付を使用します。 - ほとんどの人は、同じパスワードを複数のアプリケーションで再使用します。そのため、一度サイバー犯罪者がパスワードを取得すると、相手は複数のアプリケーションにアクセスできます。 - サイバー犯罪者自身は、多くの、異なるますます洗練されたテクニックを使って [ログイン資格情報を侵害](/learn/what-is-cyber-security) します。 そのため、多要素が役に立ちます。もし、認証にパスワードと、たとえばデジタル証明書が入った USB トークンの両方が要求されれば、犯罪者はユーザーアカウントにサインインするために、ユーザーの信用情報を知っていて、USB トークンを持っていなければなりません。その両方がなければ、どんな不正アクセスも失敗し、セキュリティイベントがトリガーされ、管理者に疑わしいログインが試されたことを知らせます。 認証は、追加要素を組み合わせて [多要素認証](/learn/what-is-mfa) (MFA) を達成することにより、さらに強化できます。多要素認証は、ユーザーブラウザに PKI 証明書などの要素を追加すること、または認証用にモバイルアプリを要求することを可能にします。そして、OneLogin Desktop のような製品は、信頼できるデバイスの形で 2 番目の認証要素をもたらす、ノート PC 上の証明を介してセキュリティを高めます。 ### 強力な認証要素 2FA がアプリケーションアクセスのセキュリティを高めるために使用できる第 2 認証要素はいくつもあります。以下にいくつかの例を挙げます。 - ワンタイムパスワード (OTP) – 一度しか使用できない一意のパスワードです。これは、通常、USB トークンやスマートフォンなどの物理デバイスに保存された秘密に基づいて生成される、短い数字列です。認証されると、ワンタイムパスワードは、クラウド上の OTP ベンダーのサービスに対して検証されます。たとえ、何者かがなんとかパスワードを盗んだとしても、OTP がなければ正常なログインには使用できません。 - 時間ベース PIN –数字の並びで、通常 30 秒から 60 秒の短い時間帯以内で入力する必要があります。PIN はソフトウェアアプリケーション、または非常に精密なクロックを使用するハードウェアデバイスにより生成することができます。セキュリティは、PIN が短い時間しか有効でないという事実に依存します。 - デジタル (PKI) 証明書 – デジタル証明書が、信頼できる認証局により発行され、デバイスまたはユーザーのブラウザにインストールされます。ID プロバイダーは、有効な証明書の存在をチェックすることができ、またいつでも取り消すことができます。有効な証明書があるブラウザのみが、サインインを許可されます。 .diagram.desktop { display: block; }

詳しい情報

パスワードレス認証の原理

パスワードレス認証は、セキュアな認証の新しい専門用語です。正当な理由があります。消費者や、顧客および企業のデータを保護するユーザーにとって、[パスワードの脆弱性](/learn/5-reasons-passwords-disaster)は未解決です。実際、侵害の81%は、脆弱なパスワードまたは盗まれたパスワードに関係しています。また、パスワードはサイバー犯の最大の標的です。 IT部門にとって、パスワードはさまざまな面で負担になっています。まず、パスワードを安全に保存する必要があります。これを怠ると、侵害の危険性が生じ、その結果、収益や共有価値、組織の評判に大きな影響を及ぼす可能性があります。さらに、パスワードの管理者には、それらをサポートする責務も課せられています。これは、ヘルプデスクで[パスワードリセットの処理](/learn/help-desk-password-reset-best-practices)が大量に生じることを意味します。 そのため、組織がパスワードを廃止し、パスワードレス認証に移行することには十分な理由があります。 ### パスワードレス認証はどのような仕組みなのでしょう? パスワードレス認証は、[多要素認証](/learn/what-is-mfa) (MFA)の一種ですが、パスワードの代わりに指紋またはPINなどの安全性の高い認証要素を使用します。MFAでは、ログイン時の検証に2つ以上の要素が必要です。 パスワードレス認証は、デジタル証明書(秘密鍵と公開鍵を含む暗号化キーのペア)と同じ原理です。いずれもキーと呼ばれますが、公開キーは南京錠、秘密キーはその南京錠のロックを解除する実際の鍵と考えてください。南京錠用の鍵と、鍵用の南京錠はいずれも、それぞれ1つのみです。 セキュリティで保護されたアカウントの作成を希望するユーザーは、ツール(モバイルアプリ、ブラウザの拡張機能など)を使用して、公開キーと秘密キーのペアを生成します。秘密鍵はユーザーのローカルデバイスに保存され、指紋、PIN、音声認識などの認証要素に関連付けられています。また、秘密鍵はこのようなジェスチャーでのみアクセスすることができます。公開鍵は、ユーザーがアカウントを必要とするWebサイトやアプリケーション、ブラウザなどのオンラインシステムに提供されます。 ### パスワードレス認証で自由とセキュリティを実現 今日のパスワードレス認証では、FIDO2標準 (WebAuthnとCTAP標準を含む)が採用されています。このような標準でパスワードレス認証を使用することで、IT部門はパスワードを保護する負担から解放されます。なぜでしょうか?サービスプロバイダーとして、ユーザーの公開鍵を保存することはできますが、公開鍵は公開されている情報に過ぎません。南京錠のように、ハッカーが公開鍵を取得しても、ロックを解除する秘密鍵がなければ意味がありません。秘密鍵は、エンドユーザーまたは組織の社員が管理しています。 パスワードレス認証のもう1つの利点として、キーの作成と認証に使用するツールをユーザーが選択できる点があります。たとえば、OneLogin Protectのようなモバイルアプリがあります。また、YubiKeyなどの生体認証デバイスや物理デバイスも使用できます。ユーザーが認証しているアプリまたはWebサイトは不明です。キーペアを作成して認証する方法は関係ありません。 実際、パスワードレス認証ではこの方法を採用しています。たとえば、パスワードレス認証を実装するブラウザには、JavaScriptが使用されており、ページにアクセスしたときにダウンロードされ、マシンで実行される場合がありますが、そのスクリプトはWebサイトの一部であり、重要な情報が保存されることはありません。さらに、Webサイトはお客様の秘密鍵で信頼されていないため、サイバー犯にとって有益な攻撃対象ではありません。 多要素認証の方法として、パスワードレス認証は今後も進化し続けます。ほとんどの組織では、主な認証方法として、従来のパスワードが使用されています。しかし、パスワードに関して広く知られている問題により、ビジネスにおいて、MFAやパスワードレス認証が主流になっていくことが予想されます。

詳しい情報

バイオメトリック認証:良い、悪い、困る

バイオメトリックはどこにでもありそうです。すなわち指紋、顔認識、音声認識、などです。しかし、バイオメトリックは、セキュリティの高い認証の助けになるでしょうか?すべての技術と同様に、これにも長所と短所があります。このトピックでは、認証のためのバイオメトリックの良い面、悪い面、困った面を検証します。 ### セキュリティに関するバイオメトリックの良い部分 バイオメトリックが徐々に一般的になってきたことには理由があります。それは偽造が難しいことです。認証は進化しました。それは、たとえば、みなさんご存知のユーザー名とパスワードから始まりました。しかし、簡単に盗まれ、または人々は簡単に騙されて情報を知らせてしまいます。そのため、認証技術はみなさんが持っているもの、すなわち手元の携帯電話、またはカードキーに移って行きました。このことは、みなさんが知っているものと組み合わされて、ユーザーのセキュリティをもっと高くしました。 しかし、セキュリティは十分高くはありませんでした。サイバー犯罪者は、まだ、ユーザーが持っているデバイスを略取したり、偽造できました。現在は、バイオメトリックによって明示されたように、認証の次の段階になっています。そして、真実として、誰かの声、指紋、虹彩などを偽造することは、もっと難しいです。 それに加えて、バイオメトリック認証は、大抵はユーザーにとって簡単です。どこへ行こうと自分自身の一部ですから。指先をキーパッドに当てたり、アイスキャナーを見つめることは難しいことではありません。一部の、顔認識のようなシステムでは、ユーザーが意識的な身振りをすることさえなく認証できます。単に部屋に入るだけで、またはコンピューターの前に座るだけで、ユーザーは、たとえば顔認識によって認証されます。最も都合が良いことは、自分の指紋や眼は、パスワードや物理キーと違って、忘れようがないということです。バイオメトリックなら、パスワードリセット伝票が、ヘルプデスクに積み上げられることはなくなるでしょう。 ### 認証に関するバイオメトリックの悪い部分 それでは、欠点は何でしょう?最初に、バイオメトリックは一般的にセキュリティがより高いですが、フールプルーフではありません。たとえば、スマートフォンの指紋スキャナーは部分一致に依存しており、研究者は、大量のユーザーアカウントへのアクセスをもたらすのために、十分に部分一致する「マスター指紋」の作成が可能であることを突き止めました。 また、研究者は、後に残った質の良い指紋から、偽指紋を作成する可能性も実証しました。他にも、写真や 3D 印刷を使用して虹彩スキャナー、または顔認識システムを騙す方法も見つかっています。時として問題になることは、システムに有効なユーザーの認識の失敗があまりに多く、その限りにおいてシステムのハッキングが可能であることです。すなわち、誰かが違う化粧をしたり、新しい眼鏡をかけたり、または病気や、目覚めたばかりのユーザーの声などです。 ですから、高品質なバイオメトリックソリューションが高コストであることは、驚くことではありません。実際、IT プロフェッショナルの 67% は、バイオメトリック認証を採用しない最大の理由にコストを挙げています。また、隠れたコストもあります。このような調査の 47% が、バイオメトリックへの移行に対応するためにシステムのアップグレードが必要であると報告しています。 このことが、バイオメトリックの採用を検討している会社の多くが、[多要素認証] (/learn/what-is-mfa) (MFA) の、単に 1 つのコンポーネントとして使用することに焦点を合わせている理由です。MFA はバイオメトリック要素と、他のバイオメトリックでない要素を要求することができます。1 つの認証要素がハッキングされても、ユーザーのアカウントは、まだ別の要素によりセキュリティが保たれます。そして、リスクベース認証のようなツールでは、サイバー犯罪の可能性が高い場合はユーザーに厳しくし、低い場合はエントリーの障壁を低くするために、MFA を採用することができます。 ### バイオメトリックの困った面 バイオメトリックの開発に携わったとすれば、バイオメトリックの多くの形の周辺にある、倫理的な問題に気付くことでしょう。その 1 つはバイアスにかかわることです。顔認識システムは、有色人種、または非シスジェンダーの人達を、正確に認識しない場合があります。そして、バイオメトリック用のラーニングシステムは、基本的に白人、または白人男性の写真に基づくことが多過ぎたため、明らかなバイアスを発生させ、より幅広い人口の人達の認識を困難にする結果となっています。 その上、バイオメトリックデータが使用される方法には不安があります。顔認識、指紋、音声パターンに使用された画像には、誰がアクセスしたでしょう?企業が、そのバイオメトリックデータを他者、たとえば法執行機関、出入国管理機関、または抑圧的な外国政府に売却または提供することは受け入れられますか? ビジネスとして、バイオメトリックのもう 1 つ困った面は、保存の問題です。バイオメトリックデータが保存される場合、安全に保存される必要があります。それは、もしハッキングされたら取り返しがつかないからです—誰も自分の指紋や虹彩を変えることはできません。すなわち、バイオメトリックデータを紛失すると、残りの人生に永久的なハッキングのリクスを負う結果がもたらされます。 社員、または顧客のバイオメトリックデータを保管することを選択する会社は、重大な財務的および倫理的な責任を負います。このことは、デバイスでの保存、すなわちバイオメトリックデータの、ユーザーを認証するデバイス、たとえばユーザーのスマートフォンやコンピューターでの保存を検討する 1 つの理由です。このことは、ユーザーがデータを管理することを可能にし、同時にローカルデバイスへの配置に限定して、犯罪者が 1 つの違反を通して大量のバイオメトリックデータへのアクセスを得る可能性を低減します。 バイオメトリックに関するディベートには多くの論点がありますが、1 つのこと、すなわちテクノロジーが普及している、ということは確実です。バイオメトリックの悪い面や困った面にもかかわらず、良い面がそれらを上回り、引き続き企業が認証用にバイオメトリックを採用すると予測するには十分です。

詳しい情報

ID とアクセスの管理 (IAM) とは何でしょう?

ID とアクセスの管理 (IAM) とは、人やエンティティに、組織の技術リソースへの適切なアクセスレベルがあるかどうかを確証するために、IT 部門が使用するポリシーとツールを指します。IAM システムは、デジタル ID と、それによるさまざまなアプリケーションやシステムへのアクセスをセキュアに管理する、テクノロジーソリューションです。 IAM システムは、人だけでなく、ソフトウェア (アプリまたはプログラム) やハードウェア (IoT 機器) など、他の種類の ID も管理します IAM システムは鍵となる 2 つのタスクを実行します。 - **認証** エンティティがそれを名乗る者であることを認証します。ユーザーが Web サイトにユーザー名とパスワードを入力すると、Web サイトは、そのユーザー名とパスワードがデータベース上にあるものと一致するかチェックし、ユーザーを認証します。これが、最新の認証よりセキュリティが低い方法であるにしろ、認証の形です。 - **認可** エンティティにリソースにアクセスする適切なレベルを認可します。認可は、認証済みユーザーが、技術リソースを取得するために、どのアクセスを許可されたかチェックし、そのアクセスだけを確定するプロセスです。たとえば、お客様が、コンテンツ管理システムに編集者としてログインしたとすると、お客様はコンテンツに変更を行うことを許可されますが、ユーザーアカウントに変更を行ったり、新しいユーザーを追加することは許可されません。 IAM システムはサイバーセキュリティの重要な要素です。それは、企業のリソースにセキュリティの高いアクセスをもたらす、非常に重要な機能を実行するように設計されているからです。 ### IAM システムの鍵となる機能 IAM システムは、核となる次の機能を提供します タスク ツール ユーザー ID の管理 IAM システムはユーザー ID を管理します。IAM はユーザー (社員など) を作成、変更、そして削除するために使用する唯一のディレクトリとすることができます。または、Microsoft Active Directory などの 1 つ以上の他のディレクトリと統合し、それらに同期させることもできます。 ユーザーのプロビジョニング/プロビジョニング解除 ユーザーがシステムに入ると、IT 部門はユーザーのプロビジョニングを行う必要があります。それは、ユーザーがどのアプリやリソースなどにアクセスできるか、ユーザーがそれぞれにどのレベルのアクセスができるか (管理者、編集者、閲覧者など) を指定するプロセスです。 個々のアクセスすべてを、すべてのリソースに指定することは、時間がかかるプロセスとなりかねないので、IAM システムは、通常、ロールベースアクセス制御 (RBAC) に基づいて定義されたポリシーを介したプロビジョニングを可能にします。ユーザーには、大抵は職務権限に基づいて、1 つ以上のロールが割り当てられ、そのロールの定義に従って自動的にアクセスが与えられます。 ユーザーをプロビジョニングするには時間がかかる可能性があるように、ユーザーがアクセスできるすべてのアプリやシステムから、ユーザーをプロビジョニング解除するのにも時間がかかる可能性があります。IAM システムはこのプロセスを自動化します—このことは、以前の社員が今でもアクセスができれば、セキュリティの重大なリスクをもたらすため、重要なことです。 ユーザー認証 IAM システムは、ユーザーがアクセスを要求すると、ユーザーを認証するタスクを実行します。今日、セキュリティの高い認証とは、多要素認証、そして望ましくは適応型認証を指します。 ユーザー認可 ユーザーを認証した後、IAM システムは、ユーザーのプロビジョニングに基づき、ユーザーが必要に応じて特定のアプリやリソースにアクセスすることを認可します。 レポーティング IAM システムは、組織が、規制へのコンプライアンスを実証し、潜在的なセキュリティリスクを特定し、組織の IAM およびセキュリティプロセスを改善するために役に立つレポートを提供します。 シングルサインオン シングルサインオンは、すべての IAM のコンポーネントとはなっていませんが、最上級の IAM にはコンポーネントとなっています。SSO はセキュリティを付加し、ユーザーが、必要なリソースに毎回ログインしたり、多くの異なるパスワードを覚えることなく、より迅速で容易にアクセスできるようにして、ユーザーの生産性を高めます。 ### クラウド vs オンプレミスシステム IAM システムはクラウドベースにも (しばしば IDaaS と呼ばれます)、オンプレミスにもできます。初期の IAM システムはオンプレミスでした。すなわち、物理的に組織のファイヤーウォール内に位置し、組織により管理されました。今日、組織のクラウド IAM システムへの移行がますます進行しています。マッキンゼーは、聞き取りをした企業の内、今後 3 年間オンプレミスを予定しているのは 38 パーセントに過ぎないと報告しています。13 年間で、60 パーセントが複数のパブリッククラウド環境をサポートするサードパーティーの IAM サービスを利用し、オンプレミスとパブリッククラウドのリソースにまたがるアクセスを統合します。 クラウド IAM への移行は、コスト削減と信頼性により推進されています。サードパーティーのクラウド IAMを使用することは、インフラストラクチャーとメンテナンスの節減を意味します。同時に、クラウドベンダーは、アップタイムが大きくダウンタイムが短い、分散された冗長システムを提供するので、ダウンタイムのリスクが低減されます。 1. https://www.mckinsey.com/~/media/McKinsey/Business%20Functions/McKinsey%20Digital/Our%20Insights/Creating%20value%20with%20the%20cloud%20compendium/Creating-value-with-the-cloud.ashx

詳しい情報

サイバーセキュリティとは何か、そしてそれは何故必要か

サイバーセキュリティとは、技術資産やデータを、悪意ある攻撃から防御するための実践です。それには、コンピューター、サーバー、モバイル機器、電子システム、ネットワーク、それに企業データの保護が含まれます。サイバーセキュリティは以下に及びます。 - **ネットワークセキュリティ**、コンピューターネットワークを侵入者から保護します。 - **アプリケーションセキュリティ**、ソフトウェアとデバイスを危機がないように保ちます。企業データへのアクセスをもたらす恐れがあるため重要です。 - **情報セキュリティ**、保存中、および転送中のデータを保護します。 - **運用上のセキュリティ**、ユーザーがネットワークにアクセスする際に、適切な権限を持っていること、およびデータが高いセキュリティで保存され、供給されることを確実にします。 - **災害復旧および事業継続性**、セキュリティインシデント、データ損失、または停電に対する適切な対応、そしてこのような事態の復旧をプランニングします。事業継続性は、事故に対応する際に、事業を継続するために組織が使用するプランです。 ### サイバー攻撃とは何でしょう? サイバー攻撃は、コンピューターシステムまたはネットワークを盗用、改変、曝露、無効化、破壊、または単に不正アクセスしようとする試みです。以下に、一般的な攻撃のタイプのいくつかを挙げます。 **分散型サービス拒否 (DDoS)** 攻撃者は、一部またはすべての適法なリクエストが実行されることを妨害するために、過剰なリクエストによりサーバーが過負荷となるように試みて、ターゲットとするリソース (Web サイトまたはネットワーク、など) を圧倒します。たとえば、攻撃者はさまざまな IP アドレスを使用して、Web サイトに何十万もの問合せリクエストを送信し、サイトを圧倒してダウンさせます。 **フィッシング** 攻撃者は、一連の電話番号/電子メールアドレスを取得し、それらすべてに高圧的なメッセージを送信し、あわよくばユーザーにリンクをクリックさせて偽のサイトに導き、そこでユーザーに彼女または彼のユーザーメイトパスワードを入力させようとします。その後、攻撃者はそれを使用してログインし、データをキャプチャーしたり、お金を盗んだりできます。 **スピアフィッシング** 攻撃者は、注意深く作られ、本当に信用できそうなメッセージを、小さいグループまたは個人に送信します。メッセージは、人々のこのグループに明白に関連があり、往々にして攻撃者が取得した個人情報 (たとえば、同僚の名前、または個人が最近参加した何らかのイベント) が含まれます。その後、メッセージは、通常のフィッシング攻撃のように作用します。 **キーロガー** 攻撃者は、ユーザーのコンピューターに、特定のサイト、アプリなどのユーザー名やパスワードを含むキーストロークをキャプチャーするプログラムをインストールします。 **クレデンシャルスタッフィング** 攻撃者は盗取したユーザー名/パスワードの対を使用し、あわよくばユーザーが同じ信用情報を複数のサイトで使用したことを見込んで、それらを多くの異なる Web サイトやアプリで試します。(このことは、ユーザーが Web サイトをまたいで、同じ信用情報を頻繁に使用するために可能になります。) **総当たり攻撃、および逆総当たり攻撃** 攻撃者は、人々が使用する一般的パターンで、可能性のあるユーザー名/パスワードを生成し、次にプログラムによって数多くの Web サイトやアプリにそれらを使用して、アクセスを試みます。 **中間者 (MITM) 攻撃** 攻撃者は、ユーザーとアプリまたは Web サイトの中間にプログラムを挟み込みます。たとえば、プログラムは、公衆 Wi-Fi ログインのように見えるかもしれません。プログラムは、ユーザーのログイン信用情報をキャプチャーするか、またはユーザーのセッションをハイジャックし、ユーザーに隠れてアクションが取れるようにします。 セキュリティインシデント、そしてセキュリティ違反とは何でしょうか? セキュリティインシデントは、組織のセキュリティポリシーまたは手順に違反するイベントです。Verizon の 2016 年 データ違反調査レポートは、インシデントを、「情報資産の完全性、秘密性、および可用性を侵害するセキュリティイベント」と定義しています。 セキュリティ違反は、データ違反であると認定する、州または連邦レベルの法律定義に適合するインシデントです。多くの州や連邦、およびコンプライアンス規制は、データ違反の事態に、影響を受ける個人または規制当局に知らせる、などの特定の通知を要求します。 ### サイバーセキュリティを、どのように実装しますか? サイバーセキュリティに特効薬はありません。しかし、積極的かつ用心深くなることで、セキュリティインシデントまたは違反を防止、または軽減するチャンスを増やします。自社のビジネスまたは組織をサイバー攻撃から保護するには、複数の最前線における協調的な活動が要求されます。 IT 部門は、サイバーセキュリティを全体的に「所有」する組織ですが、すべての社員、ベンダー、サプライヤー、そして企業のリソースにアクセスする人が役割を果たします。組織を防衛するには、少なくとも 3 つの前線で、取り組みが要求されます。 - **テクノロジー**—適切なセキュリティツールは、もちろん重要です。テクニカルソリューションを実装し、オンプレミスのネットワークやシステム、クラウドシステムやアプリ、それにすべてのエンドポイント、すなわちデバイス、もののインターネット (IoT)、ルーター、それにネットワークやシステムの他のすべてのエントリーポイントを保護することが必要です。 特権アクセス管理システム、およびIDアクセス管理は重要なテクノロジーです。 - **プロセス**—勤勉な態度で、潜在的または実際のサイバーセキュリティイベントに適切に対処することは、時間をかけて、サイバーセキュリティに対応するプロセスを定義し、および展開していなければできないことです。プロセスは、定期的に検証し、更新する必要があります。 - **人々**—自社のビジネスエコシステムの人々が、要求されるプロセスやテクノロジーを実行しなければ、成功はありません。その上、人々は、往々にして最も一般的なタイプのサイバー攻撃のターゲットとなります。そのため、内部の、および組織のために働く全員を教育し、パスワードまわりのセキュリティなどのベストプライスに確実に従うようにすることは、組織を保護するために必須です。 このようなサイバーセキュリティツールを、NISTのフレームワークに従って、一連の機能に適用する必要があります。 - **特定** 潜在的なサイバーセキュリティのリスクや組織の弱点を特定します。 - **保護** 特定の段階で判別された情報を使用して、攻撃から保護します。 - **検知** あらゆる攻撃や潜在的攻撃を、リアルタイムで検知します。 - **対応** 攻撃に対応します。 - **復旧** イベントの影響から復旧します。

詳しい情報

Identity Governance & Administrationとは何でしょう?

Identity Governance and Administration (IGA)は、IAMやPAM、UAMとともに頭字語のリストに含まれています。この用語は、2013年にガートナーが2つのマジッククアドラント(アイデンティティガバナンスとアイデンティティ管理)をアイデンティティのガバナンスと管理のマジッククアドラントに統合した後に使用され始めました。 IGAシステムは、アカウントと信用情報の管理、プロビジョニング、資格の管理、資格の管理を行うID管理と、職務分掌、ロール管理、ロギング、分析、レポート作成を行うIDガバナンスを統合します。 IGAシステムは、標準のアイデンティティとアクセスの管理(IAM)システムを超える追加機能を提供します。特に、組織がコンプライアンス要件を満たし、コンプライアンスのレポート作成のためにアクセスを監査できるようにします。また、アクセス承認やプロビジョニング/プロビジョニング解除などのタスクのワークフローを自動化します。 ### IGAシステムの要素 Identity Governance and Administration (IGA)ツールは、ユーザーアイデンティティのライフサイクル管理を行う上で役立ちます。IGAシステムには通常、アイデンティティ管理に関する次の要素が含まれています。 - **パスワード管理** IGAでは、パスワードボルトやシングルサインオン(SSO)などのツールを使用するため、ユーザーは、アプリケーションにアクセスするために多くの異なるパスワードを覚える必要はありません。 - **統合**ユーザーや、ユーザーがアクセスできるアプリケーションおよびシステム、そしてそのようなシステムでの認可に関する情報を含むディレクトリおよびその他のシステムと統合するコネクタ。 - **アクセスリクエスト管理**ユーザーがアプリケーションやシステムへのアクセスをリクエストし、承認を取得しやすくするワークフロー。 - **プロビジョニング**ユーザーレベルとアプリケーションレベルの両方でのプロビジョニングおよびプロビジョニング解除の自動化。 - **資格管理**各種アプリケーションで許可されている内容(データの追加、編集、表示、削除など)を指定および確認する機能。 IGAシステムには通常、ガバナンス管理に関する次の要素が含まれています。 - **職務分掌**高リスクな一連のアクセスがユーザーに付与されることを防ぐルールを作成します。たとえば、企業の銀行口座を表示して資金を外部口座に送金する機能があります(ユーザーから個人口座に送金される可能性がある)。 - **アクセスレビュー**さまざまなアプリやリソースへのユーザーアクセスのレビューと検証(または取り消し)を効率化するツール。一部のIDGツールでは、付与されている資格を識別して表面化するのに役立つ検出機能を提供します。 - **ロールベースの管理**ユーザーロールによるアクセスの定義と管理。 - **分析とレポート作成**アクティビティの記録とレポートの生成(コンプライアンス要件を含む)を行い、問題と最適化を特定するための分析を提供するツール。

詳しい情報

特権アクセス管理とはなんでしょう?

特権アクセス管理 (PAM) は、権限が重要な企業リソースに格上げされたユーザーのアカウントを、高いセキュリティで管理するシステムを指します。これらは、管理者としての人、デバイス、アプリケーション、そして他のタイプのユーザーとすることができます。 特権のあるユーザーアカウントは、サイバー犯罪者にとって高価値なターゲットです。それは、彼らはシステム上で格上げされた権限を持ち、高度な秘密情報にアクセスを許可されるから、および/またはミッションクリティカルなアプリケーションやシステムに、管理者レベルの変更を行うからです。昨年は、44% のデータ違反に特権 ID が関与しました。1 また、特権アクセス管理は、時には特権アカウント管理、もしくは特権セッション管理 (PSM) とも称されます。特権セッション管理は、実際は適切な PAM システムのコンポーネントです。 ### PAM はなぜ重要なのでしょう? 特権アカウントは、どこにでもあります。数多くの種類の特権管理があり、オンプレミスにも、クラウドにも存在する可能性があります。それらは、ユーザーの大規模なグループの設定を変更する能力、など格上げされた権限があることが、他のアカウントとは異なります。また、多くの場合、複数の人達が、少なくとも臨時ベースで、特定の特権アカウントにアクセスできます。 たとえば、Linux マシンの root アカウントは、特権アカウントの形を取ります。Amazon Web Services (AWS) のアカウントオーナーは、もう 1 つの特権アカウントの形です。会社の公式 Twitter プロファイルの企業アカウントも、やはりもう 1 つの形です。 特権アカウントは重大なリスクをもたらします。サイバー犯罪者は、特権アカウントの信用情報の盗用に、他のタイプのアカウントよりもっと興味を持ちます。そのため、彼らは IT 部門に難題をもたらします。 従来は、このようなアカウントが侵害されると大きな損害の高いリスクがあるにもかかわらず、このようなアカウントへのアクセスはそれほどうまく管理されていませんでした。共通の問題には、多くの人達が同じアカウントを明確な履歴や説明責任なしで使用すること、それに静的パスワードが決して変更されないことが挙げられます。 PAM ソリューションは、このようなリスクに対処することを目指します。 ### 特権アクセス管理はどのような仕組みで機能するのでしょう? PAM 管理者は、PAM ポータルを使用して、さまざまなアプリケーションや企業リソースにまたがる特権アカウントへのアクセス方法を定義します。特権アカウントの信用情報 (パスワードなど) は、特殊用途の、高度なセキュリティのパスワードボルトに保存されます。また、PAM 管理者は、PAM ポータルを使用して、このような特権アカウントに、誰が、どのような条件でアクセスできるか、というポリシーを定義します。 特権ユーザーは、PAM を通してログインし、特権ユーザーアカウントへのアクセスをリクエストするか、または速やかに取得します。このアクセスはログ収集され、特定のタスクの排他的実行のために一時的に残されます。セキュリティを確実にするために、PAM ユーザーは、通常、アカウント使用のために、ビジネス正当化を提示するように要請されます。時には、マネージャーの承認も要求されます。往々にして、ユーザーはアプリケーションにログインするために使用する実際のパスワードにアクセスすることは許可されず、その代わりに PAM 経由でアクセスを提供されます。さらに、PAM はパスワードが、多くの場合自動で、定期的に、または使用されるごとに頻繁に変更されることを確実にします。 PAM 管理者は、PAM ポータルを介してユーザーの活動をモニターすることができ、必要に応じて、ライブセッションをリアルタイムに管理することすらできます。また、最新の PAM はマシンラーニングも使用して異常を特定し、リスクスコアを使用し、リスクが高い操作を PAM 管理者にリアルタイムで報知します。 ### PAM のメリットは何でしょう? 高めれらたセキュリティは、PAM システムを実装する明白なメリットです。しかしながら、その 1 つだけではありません。PAM の効用: **サイバー犯罪者に対する保護** 管理者等の特権ユーザーは、複数のパスワードの記憶に関しては、他のユーザーと同じ難題に直面します—そして、同じパスワードを複数のアカウントにまたがって使用するという、同じ傾向があります。そうです。このようなユーザーは、サイバー犯罪者のターゲットに、もっとなりやすいです。PAM システムは、管理者が数多くのパスワードを記憶する必要性を軽減し、特権ユーザーがローカル/ダイレクトシステムパスワードを作成することを防止できます。セッション管理および警報は、最高管理者が、潜在的な攻撃をリアルタイムで特定するための役に立ちます。 **内部攻撃に対する保護** 残念ながら、相当数の攻撃は、組織内の悪人からです。または、退職後のアクセスを防止するためのプロビジョニング解除が、完全に行われていない元社員です。 **より高い生産性** PAM は特権ユーザーに恩恵をもたらします。PAM は、特権ユーザーに、必要なシステムへのログインを高速化し、数多くのパスワードを記憶する認知的負担を軽減します。また、スーパーユーザーが、特権ユーザーのアクセスを、多数のさまざまなシステムやアプリケーションではなく、集中した 1 つの場所から容易に管理することを可能にします。 **コンプライアンスの保証** 多くの規制が、きめ細かく具体的な特権ユーザーアクセスの管理と、監査閲覧の機能を要求します。機密システムへのアクセスを制限し、追加の承認を要求し、または特権アカウント用に多要素認証を使用することができます。PAM システムの監査ツールは活動を記録し、明白な監査証跡を提出することを可能にします。PAM は、組織が、SOX、HIPAA、PCI DSS、GLBA、ISO 27002、ICS CERT、FDCC、FISMA などの規制に [適合] (https://www.onelogin.com/blog/categories/security-and-compliance) するためのお手伝いをします。 ### PAMは ID アクセス管理 (IAM) と、どのように違うのでしょう? 特権アクセス管理は、時としてID アクセス管理 (IAM) と混同されます。IAM は、多くの場合社員、ベンダー、請負契約者、パートナー、そして顧客さえも含む、組織の**すべて**のタイプのユーザーの認証と権限付与に焦点を合わせています。IAM は、オンプレミスとクラウドを含む、アプリケーションやリソースへの全般的なアクセスを管理し、多くの場合 Microsoft Active Directory などのディレクトリシステムを統合します。 PAM は**特権**ユーザー、管理者、または組織で格上げされた特権を持つ管理者に焦点を合わせています。PAM システムは、このようなユーザーの、重要なリソースへのアクセスを管理し、セキュリティを確保するよう、専用に設計されています。 組織は、攻撃への防御を行うには、両方のツールが必要です。 IAM システムは、組織のエコシステム全体にわたる、数多くのユーザーからのアクセスの、より大きいアタックサーフェスに対応します。PAM は特権ユーザーに焦点を合わせます—それでも PAM は重要です。対応するのはより小さいアタックサーフェスですが、それは高価値なサーフェスであるからです。そして通常は一般ユーザーには関係なく、不適切な場合すらある、管理の追加セット (セッション記録など) を必要とします。 ### IAM は PAM をどのように改善できますか? ご使用の PAM ソリューションを IAM ソリューションに統合することは、複数のメリットがあります。多くのお客様はこの統合を選択します。それは、セキュリティリスクが低減されるから、監査人やコンプライアンス規制により要求されるから、そしてユーザーエクスペリエンスが向上するからです。IAM は以下を可能にします。 - 多要素認証 (MFA) と適応認証を PAM アクセス用に追加します。このことは、PCI DSS Requirement 8.3 などのコンプライアンス要件に適合するための役に立ちます。PCI DSS などの多くの規制は、管理的なアクセスに、MFA などのツールによりセキュリティを確保することを要求します。 - 特権アクセスが、社員が組織を退職した後、自動的に打ち切られることを確実にします。やはり、このことも、しばしば PCI DSS などのコンプライアンス要件となります。すべての PAM ツールがこのことを保証するわけではありません—非常に多くの場合—IT 部門は、元従業員を十分に迅速にプロビジョニング解除していません。元社員が特権アカウントにアクセスすれば、災害になりかねません。 - 管理者の第 1 日目からの生産性を確実にします。IAM を PAM と合わせて使用すれば、管理者を自動的に PAM にプロビジョニングすることができ、まさに第 1 日目から適切なアクセスを彼らに許可できます。 - シングルユーザーエクスペリエンスを提供。IAM を PAM へのインターフェースとして使用することにより、特権ユーザーのユーザーエクスペリエンスを向上させることができます。それは、特権ユーザーが、他の企業リソースにアクセスするのと同じ場所から PAM にアクセスできるからです。 結論として、PAM は、組織のリソースやデータのセキュリティを高めるために、重要な役割を果たします。最適な ID 管理ソリューションには、セキュリティと使いやすさを確実にする、IAM システムと PAM システムの協調的な使用が含まれます。 1. https://www.globalbankingandfinance.com/44-of-data-breaches-in-the-last-year-involved-privileged-identity-according-to-global-balabit-research-report/

詳しい情報

SSO チェックリスト

ご使用の SSO ソリューションが、社員や IT 部門が必要とする基本要件に適合することが重要です。それは、セキュリティの高いソリューション、そして使いやすさに優れたソリューションを意味します。ただし、SSO が、ID およびアクセス管理ソリューションの一部でしかないことを忘れてはなりません。今日のデジタルトランスフォーメーションは、SSO、それに MFA やディレクトリ統合など他のツールを含む、統合型アクセス管理 (UAM) プラットフォームに依存します。 下のチェックリストを使用して、ご使用の SSO システムが会社が必要とする保護を提供していることを確証してください。 #### ユーザーコミュニティのサポート SSO ソリューションはユーザーコミュニティをサポートしますか? 労働力 (社員および請負契約者) パートナー/ベンダー 顧客 #### 顧客 顧客がアクセスを必要とする場合、SSO システムは、一般的に使用されるコンシューマー認証方法に対応しますか? Facebook Google #### 真の SSO SSO ソリューションは、パスワードボルトに対して、真のシングルサインオンを許可しますか? ユーザーは、すべてのアプリ/サイトにアクセスするために、1 つのユーザー名とパスワードを入力するだけ。 ユーザーは、すべての企業アプリ/サイトへのアクセスが得るために、1 日、またはセッションで 1 回しかログインする必要はない。 #### アプリケーション統合 SSO ソリューションは、クラウドおよびオンプレミスのアプリに使用できますか? SSO は使用するすべてのクラウドアプリケーションをサポート SSO は使用するすべてのオンプレミスアプリケーションをサポート #### オープンスタンダードのサポート SSO ソリューションは、信頼関係を有効にする、最も一般的な、広範に使用されるプロトコルをサポートしますか? SAML OpenID Connect OAuth 2 WS-Federation #### セキュリティの評判 ベンダーは、一般的な、最も高いセキュリティスタンダードに適合し、適切な内部プロセスを実装していますか? SOC 2 Type 2 ISO 27017 ISO 27018 ISO 27001 Skyhigh Enterprise-Ready CSA Star TRUSTe U.S. Privacy Shield GDPR EU モデル契約条項 NIST サイバーセキュリティフレームワークを忠実に順守 ベンダーが侵入テストを実施 ベンダーがネットワークスキャンを実施 ベンダーにバグバウンティプログラムがある #### 可用性と災害復旧 SSO サービスは、整合性と高可用性、および災害から迅速に復旧する機能を実証しますか? 99% を超える過去の可用性 99% を超える最近の可用性 (直近の 12 か月間) 異なる地域で複数のデータセンターを使用 地域をまたがって複製および冗長性を使用 #### 優れた使いやすさ SSO ユーザーインターフェースは十分に簡単で、社員が活用しますか? アプリの単一ポータルを提供 すべての共通ブラウザを統合 アプリのアクセスプロセスを合理化 ログインプロセスを合理化 ユーザーが、自分自身のパスワードを、簡単にリセットできるようにする。 #### モバイル対応 SSO ソリューションは、モバイルユーザー向けの完全なサポートを提供しますか? モバイル機器用に SSO を提供 (ネイティブなモバイルアプリを介して) SAML および MDM ベンダーとのパートナーシップを介して、さまざまなデバイスをサポート 多要素認証 (MFA) ツールに使用可能 #### パスワードの柔軟なルール SSO システムは、パスワード要件を、使いやすく効果的な方法でサポートし、実行しますか? パスワードの有効期限を設定させる パスワードの複雑度 (長さ、使用文字、など) を設定させる 期限切れ通知を送る (サポート伝票の削減に役立つ) MFA を使用する場合は、パスワードリセットの MFA 要件を実行する #### 企業アクセス SSO ソリューションは、ネットワークアクセスポイントと統合されていますか? VPN と統合 アプリアクセス用に Wi-Fi と統合 RADIUS および LDAP との統合用にエンドポイントを提供 #### 連合 SSO ソリューションは、任意の、既存の企業 ID プロバイダーの使用を可能にしますか? Microsoft Active Directory Amazon Active Directory LDAP Google Directory Workday または SuccessFactors などの人事管理システム (HRMS) #### 認証 SSO ソリューションは、付加的なセキュリティを提供しますか? 多要素認証 適応認証 高リスクリソース用の自動強制認証 X.509 準拠証明書 #### 開発者のサポート SSO ソリューションは、API や、カスタムアプリケーションやサードパーティーシステムのシングルサインオンを可能にすることができるサポートを提供しますか? SSO 登録と、ライフサイクルマネージメント API 主要プラットフォームおよび言語用 SDK OpenID 接続をサポート #### レポーティング SSO ソリューションは、コンプライアンス要件に適合し、脅威のデータに基づいてセキュリティを拡張することを可能にするレポートを提供しますか? 権限付与イベントをサードパーティーのSIEM ソリューションに表出化する機能 そのまま使えるレポートと、監査証跡 ### 高度な要件 どんな SSO ソリューションも基本要件に適合する必要がありますが、適切なデジタルトランスフォーメーションを行う組織は、多くの場合、高度な要件に適合するソリューションを選択します。高度な SSO ソリューションは、始めから立ち遅れることがないことを保証します。 #### 行動解析 SSO ソリューションは、インテリジェントに適応、対応するために行動解析を使用しますか? ジオロケーションおよび IP のブラックリストおよびホワイトリストを可能にする 高リスクなログインの試みに、応答を設定することを可能にする 特定のアプリを再認証が要求されるように設定できる (MFA 経由、など) #### 権限付与管理 SSO ソリューションは、ID プロバイダーとの統合を通して、権限付与を管理できますか? RBAC アクセスをサポートする アプリで、ユーザーアクセスのプロビジョニングおよびプロビジョニング解除をサポートする #### 容易な統合 SSO ソリューションを、使用するカスタムアプリと、組織内で既存のソリューションを置き換えたり大幅に変更することなく統合できますか? API を介してカスタムアプリとの統合が可能 SSO の統合が、他のソリューションに完全に置き換えすることなく可能

詳しい情報

シングルサインオンの仕組み

シングルサインオン (SSO) とは、1 式の資格情報(ID・パスワード)による 1 回のログインのみで、複数のアプリケーションとウェブサイトで安全にユーザーを認証できるシステムです。SSO を利用すると、ユーザーがアクセスしようとしているアプリケーションやウェブサイトは、ユーザーの本人確認を信頼できるサードパーティーに任せます。 ### SSO を使用しない場合、認証の仕組みはどうなりますか。 シングルサインオンを使用しない場合、各ウェブサイトはユーザーとその資格情報を格納する独自のデータベースを保持します。アプリやウェブサイトにログインするときは下記のような段階を経ます。 1. ウェブサイトはユーザーがすでに認証されているかを最初に確認します。認証されている場合は、サイトへのアクセスを許可します。 2. まだ認証されていない場合は、ユーザーにログインするように指示し、ユーザー名とパスワードをサイトのユーザーデータベースと照合して確認します。 3. ログイン後、ユーザーがサイト内を移動するにつれて、サイトは認証の確認データを送り、ユーザーが新しいページに移動するたびにユーザーが認証されていることを確認します。 通常この認証の確認データは、セッションデータを持つ Cookie として、またはトークンとして送られます。トークンはセッションを追跡せずより迅速に処理できます。 ユーザーがアクセスをリクエスト ユーザーがアクセスを許可されそして新しいサイトへのアクセスをリクエスト ### SSO の仕組みはどのようなものですか。 SSO を利用した場合、認証はドメイン (ウェブサイト) 間の信頼関係に基づきます。シングルサインオンを使用する場合、アプリやウェブサイトにログインするときは下記のような段階を経ます。 1. ウェブサイトはユーザーが SSO ソリューションによりすでに認証されているかを最初に確認します。認証されている場合は、サイトへのアクセスを許可します。 2. まだ認証されていない場合は、ログインのためにユーザーを SSO ソリューションに導きます。 3. ユーザーは企業内のアクセスに使用する単一のユーザー名とパスワードを入力します。 4. SSO ソリューションはユーザーの企業が使用する ID プロバイダーまたは認証システムに認証をリクエストします。ユーザーの ID が確認され SSO ソリューションに通知されます。 5. SSO ソリューションは認証データをウェブサイトに送り、ユーザーをそのサイトに戻します。 6. ログイン後、ユーザーがサイト内を移動するにつれて、サイトはユーザーとともに認証の確認データを送り、ユーザーが新しいページに移動するたびにユーザーが認証されていることを検証します。 SSO では認証の確認データはトークンの形をとります。 ユーザーがアクセスをリクエスト ウェブサイトはユーザーを SSO ウェブサイトにリダイレクトし、ログインさせます。ユーザーは単一のユーザー名とパスワードでログインします。 SSO ウェブサイトはユーザーの ID を Active Directory のような ID プロバイダーを利用して確認します。 ユーザーがアクセスを許可されそして新しいサイトへのアクセスをリクエスト ユーザーが別のウェブサイトにアクセスしようとすると、その新しいウェブサイトは SSO ソリューションで確認します。ユーザーはすでに認証されているので、SSO は追加のログイン無しで新しいウェブサイトへのユーザーの ID を確認します。 ### 本当の SSO システムとはどのようなものですか。 シングルサインオンと言われることがあるパスワードボールトとシングルサインオンの違いを理解することは重要です。パスワードボールトでは同じユーザー名とパスワードを持つ場合がありますが、異なるアプリケーションやウェブサイトに移動するたびにそれを入力しなければなりません。 SSO では SSO ソリューションでログインした後は、再ログイン無しで、企業内で許可されたすべてのアプリケーションとウェブサイトにアクセスできます。これにはクラウドアプリケーションとオンプレミスアプリケーションが含まれ、これらは多くの場合 SSO ポータル (ログインポータルとも呼ばれる) を介して利用できます。SSO はフェデレーションと呼ばれる概念を使用してフェデレーション方式の SSO を提供します。 ### フェデレーション方式の SSO とは何ですか。 フェデレーションを使用する SSO ソリューションでは、Microsoft Active Directory (AD) や Azure Active Directory (Azure AD) のような組織の ID プロバイダー (IP) を利用して、真のシングルサインオンを可能にします。ID プロバイダーは通常は認証サーバーとして機能し、ユーザー名、パスワード、ユーザーがアクセスできるドメイン、さらには各サイトや各アプリでユーザーが許可されたアクティビティのような、ユーザーの ID と情報を格納します (ユーザーが許可されているアクティビティを確認することは権限付与と呼ばれます。たとえば、あるユーザーは Salesforce レポートにアクセスできますが、顧客記録の編集は許可されていません)。 本当の SSO とは、SSO ソリューションが ID プロバイダーに組み込まれている、または SSO ソリューションがユーザーの認証に 1 つまたは複数の ID プロバイダーを利用するのどちらかです。 認証リクエストと情報は SAML または OAuth のような標準的で安全なプロトコルを使用して送られます。認証をリクエストしたウェブサイトは SSO ソリューションと信頼関係を持ち、SSO ソリューションと ID プロバイダーの間には信頼関係が存在します。信頼関係とは、ユーザー ID 、デバイス、アクセス権限について、あるドメインが別のドメインの情報を信頼することを意味します。 .how-sso-works { max-width: 100%; }

詳しい情報

SSO が重要である理由

企業におけるシングルサインオン (SSO) は、社員が 1 セットの信用情報を使用して 1 回だけログインし、すべての企業アプリ、Web サイト、それにパーミッションを与えられたデータにアクセスできる機能を指します。SSO は、以下を可能にして、ビジネスの主要な問題を解決します。 - より高いセキュリティとコンプライアンス。 - 向上した使い易さと社員の満足。 - より低い IT コスト。 企業内でのクラウドアプリやサービスの蔓延は—往々にしてオンプレミスのものに付け加えられたものですが—重大なフラグメンテーション問題を作り出してきました。企業内でのフラグメンテーションは、IT 部門とユーザーにとって困難な問題です。IT 部門は、企業内で数多くのアプリを管理する必要がありますが、同時にシャドー ITにも対応しなければなりません。社員は、単に自分の仕事を完了させるために、日々、ますます多くのアプリを使用する必要があり、そのことは複数のアプリや Web サイトにログインし、その間で切り替えることを意味します。 SSO は企業のフラグメンテーション問題を解決するために役に立ちます。 ### SSO のセキュリティおよびコンプライアンスのメリット ユーザー名とパスワードは、サイバー犯の主要なターゲットです。ユーザーが新しいアプリケーションにログインするたびに、そのことがハッカーにとってチャンスとなります。SSO は、ユーザーが 日々 1 度しかログインせず、1 セットの信用情報しか使用しないため、アタックサーフェスの数を削減します。 ログインを 1 セットの信用情報に削減することは、企業セキュリティを改善します。社員は、それぞれのアプリに別々のパスワードを使用しなければならない場合でも、大抵はそうしません。事実、59% は複数のアカウントに同じか、似たようなパスワードを使用します。そのため、もしハッカーが 1 つのセキュリティが低い Web サイト通してアクセスを得ると、他の企業システムにもアクセスが可能になるおそれが高くなります。 また、SSO は規制コンプライアンスにも役に立ちます。サーベンス-オクスリー法のような規制は、IT 管理が文書化されていること、また組織が、データ保護のための適切な方法が整備されていることを実証するように要求します。SSO は、データアクセスおよびアンチウィルス保護に関する要件を満たす 1 つの方法です。 また、SSO は HIPAA (医療保険の携行と責任に関する法律) のような、電子レコードにアクセスするユーザー、または活動やアクセスを追跡する監査管理を必要とするユーザーの、有効な認証が要求される規制にも役に立ちます。また、HIPAA のような規制ではユーザーの自動ログオフも要求されます。このことは、ほとんどの SSO ソリューションが可能にします。 SSO がユニファイドアクセス管理 (UAM)の一部である場合、リソースへのユーザーアクセスをより細かく管理する、セントラルディレクトリを使用します。このことは、組織が、適切なパーミッションによるユーザーのプロビジョニングを要求する規制に適合することを可能にします。UAM システムは、SSO にロールベースアクセス制御 (RBAC) およびセキュリティポリシーを可能にします。同様に、このタイプの SSO ソリューションは、ユーザーを迅速に—または自動で—プロビジョニング解除します。このことは、以前の社員、パートナー、その他が、確実に機密データにアクセスできなくすることを意図する、もう 1 つの一般的コンプライアンス要件です。 ### SSO は社員にとって使い易さを向上させます。 クラウドへの移行により、社員は、職場でますます多くのアプリを使用します。それぞれのアプリに別々のユーザー名とパスワードが要求されることは、社員に大きな負担となり、はっきり言って非現実的です。シングルサインオンは、そんな認知負荷を軽減します。 1 回だけのサインインは時間も節約します。そのため社員の生産性を改善します。68% の社員が毎時間アプリ間の切り替えを行うと仮定すると、複数回のログインを不要にすることは、会社が相当量の時間とお金を節約することを可能にします。 ユニファイドアクセス管理の一部である SSO ソリューションは、通常、アプリポータルを備えています。あるアプリを使用するために、社員はそれをポータルから選択します。ユーザーにそのアプリがない場合は、ユーザーはポータルを通してそれをリクエストし、それは SSO を有効にして追加されます。このことはすべて迅速に行われます。そのため、アプリをリクエストや使用することに気が進まなかったユーザーも、それらをもっと使うようになります。 ### SSO が IT コストを低減する方法 パスワードをリセットする時間を節約することにより、SSO は IT コストを低減します。アプリのそれぞれが、すべての社員の異なるユーザー名とパスワードを要求する場合、社員がパスワードを忘れる可能性も高くなります—そのことは、パスワードリセットの依頼伝票が高く積み上がることを意味します。 SSO を使用すれば、ユーザーには 1 セットの信用情報を記憶すればよいので、依頼伝票の数を削減できます。そして、ほとんどの SSO ソリューションは、ユーザーが自分自身でパスワードをリセットすることを可能にし、IT 部門が関与する必要をなくします。 ユニファイドアクセス管理の一部である SSO は、ユーザーをプロビジョニングおよびプロビジョニング解除するセントラルディレクトリを活用し、このプロセスをより速く、安くします。ポリシーはユーザーロール、ロケーション、そして他のユーザートレイトに基づいて定義できます。そして、社員、パートナー、顧客は、それぞれのアプリケーションで別々にプロビジョニングがあるのではなく、複数のアプリケーションにまたがって 1 回のアクションで迅速にプロビジョニングされることが可能になります。同様に、IT 部門はプロビジョニング解除の時間を、時間単位ではなく分単位に節約できます。 企業が高品質な SSO ソリューションを実装すれば、セキュリティが付加され、使い易さを向上し、IT 部門の時間とお金を節約できます。

詳しい情報

パスワードボルト

パスワードボルトは、パスワードマネージャーとも呼ばれますが、複数のプログラム用のユーザー名とパスワードを、セキュリティの高いロケーションに暗号化フォーマットで保存するプログラムです。ユーザーは、パスワードボルトに、1 つのユーザー名とパスワードを介してアクセスできます。パスワードボルトは、次に、ユーザーがアクセスしようとする Web サイトのパスワードを、ユーザーに渡します。 たとえば 、一般消費者は、Chrome または Safari に構築されたパスワードマネージャーをしばしば使用します。そのような場合には、Google または Apple はユーザーのパスワード情報を保存します。事業所では、パスワード管理ツールを購入するかもしれません。(一部のパスワードマネージャーは、それぞれのサイトのユーザー用に、ワンタイムパスワード[OTP] と呼ばれる、よりセキュリティが高いランダムなパスワードの生成も行います。) ### シングルサインオンとは何でしょうか。 シングルサインオン (SSO) は、1 つのユーザー名とパスワードを使用して 1 日に 1 回だけサインインするように社員に要請することによって、会社のアプリや Web サイトへの社員のアクセスを可能にするセキュリティの高いソリューションです。ユーザーが Facebook または Google 経由で Web サイトにサインインする場合、ユーザーは一種の SSO を使用しています。ビジネス環境では、社員は、多くの場合 Microsoft Active Directory、Azure Active Directory、または SSO ソリューションにより提供されるディレクトリなどの、会社のディレクトリを使用するSSO ソリューションを経由して、自分の会社のアプリにアクセスします。 ### どちらが適切でしょう? SSO、それともパスワードボルト 一般的には、SSO はパスワードボルトより、もっとセキュリティが高く、使い易いと考えられています。SSO は、社員が複数のパスワードを維持する必要をなくし、ユーザーの負担を軽くします。また、SSO は、ログインの頻度や保存される信用情報の数を削減し、サイバー犯へのアタックサーフェスを小さくします。 事業所が、より厳しいパスワード要件の実装を始める場合には、多くの場合パスワードマネージャーから開始します。たとえば、組織は、パスワードを頻繁に変更すること、ランダムな文字を使用すること、またはもっと長くすることを要求するかもしれません。このような、より複雑なパスワードは記憶することが難しいため、組織は、パスワードを暗号化し、比較的セキュリティの高い環境に保存するために社員が使用することができる、パスワードマネージャーを購入することでしょう。 しかし、ほとんどの組織はすぐにパスワードマネージャーを卒業します。1 つには、パスワードマネージャーは新しい問題を引き起こします - 社員は、自分の作業リストにパスワードの管理を追加しなければなりません。また、パスワードボルトは、アプリ蔓延の問題は解決しません。そして、相変わらず、社員が時間を無駄に使ってそれぞれのアプリにログインすることを求めます。68% のユーザーが、毎時間 10 の異なるアプリの間で切り替えを必要としていると報告しており、多くの時間が無駄になっています。 シングルサインオンシステムは、1 セットの信用情報を使用して 1 回だけログインし、すべてのアプリにアクセスします。SSO システムは、セキュリティを追加するために、大抵は Active Directory などのビジネス用 ID プロバイダーを使用します。そして、SSO システムは、SAML または OAuth など、標準の、広く受け入れられたプロトコルと、デジタル証明書のようなテクノロジーを使用し、企業レベルのセキュリティを実現します。 SSO は、パスワードが受け渡しされないので、セキュリティがより高いです。ユーザーがログインした後は、SSO システムは、パスワードを受け渡す代わりにトークンをアプリや Web サイトに渡し、認証を要求します。また、多くの SSO ソリューションは、オンプレミスアプリとクラウドアプリの両方、それに Web サイトにまたがって機能し、企業システムを横断するシームレスでセキュリティの高いアクセスを可能にします。

詳しい情報

MFA はどのタイプの攻撃を防ぎますか?

多要素認証 (MFA) は、以下を始めとする、最も一般的で、成功例の多いサイバー攻撃のいくつかを防ぐために役立つことができます。 - フィッシング - スピアフィッシング - キーロガー - クレデンシャルスタッフィング - ブルートフォースおよび逆ブルートフォース攻撃 - 中間者 (MITM) 攻撃 ### MFA はセキュリティ違反を防ぐためにどのように役立つでしょう? MFA がセキュリティ違反を防ぐためにどのように役立つか理解するため、最初に、次のようなサイバー攻撃がどのように行われるか、復習しましょう。 #### フィッシング それが行われる方法攻撃者は、電話番号または電子メールアドレスのリストを使用し、行動喚起を煽るメッセージを配信します。(たとえば、ユーザーは、彼女または彼がログインしてトランザクションを確認する必要がある、と告げられるかもしれません。)通常、そのことはユーザーを偽造サイトに送り込み、そこで、ユーザーはユーザー名とパスワードを提示します。 #### スピアフィッシング それが行われる方法攻撃者は、個人の小さなグループを、そのグループに関連のある、多くはカスタマイズされたコンテンツ (ユーザー名、または最近のユーザーの行動や出来事など) を使用して、精巧に作られた、信用してしまうようなメッセージにより、ターゲットにします。フィッシングと同様に、ユーザーがその信用情報を提示してしまうような行動喚起が使用されます。 #### キーロガー それが行われる方法攻撃者は、ユーザーのコンピューターに、訪問したサイト、ユーザー名、パスワード、セキュリティ質問に対する答え、などを始めとするすべてのキー入力を捕捉するプログラムを (大抵はウィルスを介して) インストールします。 #### クレデンシャルスタッフィング それが行われる方法攻撃者は、ユーザーが往々にして同じユーザー名やパスワードを複数のアカウントで使用するという事実を利用します。そして、盗み出した信用情報のペアを使用し、さまざまなサイトやアプリへのアクセスを得ようとします。 #### ブルートフォースおよび逆ブルートフォース攻撃 それが行われる方法攻撃者は、可能性があるユーザー名/パスワードを生成するプログラムを使用し、それらを試してアクセスを得ようとします。(辞書攻撃は、ブルートフォース攻撃の一種です。)もしくは、攻撃者は、最もありふれたパスワード (たとえば Password123) をさまざまなアカウントで試します。 #### 中間者 (MITM) 攻撃 それが行われる方法攻撃者のプログラムは、それ自体をユーザーとアプリの間のインタラクションに入り込ませます (たとえば、公衆 Wi-Fi になりすまして)。プログラムは、次に、ユーザーが入力するログイン信用情報を収集します—または、セッショントークンを乗っ取ります。 ### MFA が通常のサイバー攻撃と闘う方法 多要素認証は、ユーザーからの追加情報または信用情報を要求することにより、サイバー犯を撃退します。フィッシング攻撃はユーザーの信用情報を収集するかもしれませんが、ハッカーには、たとえば指紋や個人的な秘密の質問への答えは提供されません。 同様に、ブルートフォースや逆ブルートフォース攻撃は、実効ユーザー名やパスワードを見つけてしまうかもしれませんが、攻撃者には、MFA システムが要求する他の認証要素が何であるかは分からず、そのような信用情報を得ることができません。 さらに、MFA は、MITM のようなより洗練された攻撃にも、セキュリティの追加レイヤーを付加することにより闘います。たとえハッカーまたはプログラムがそれ自体を入り込ませ、ユーザーが入力した情報を捕捉したとしても、IT 管理者は MFA を設定して、ユーザーが信用情報を異なるデバイスやチャンネルから供給するように要求することができます。プッシュ型のオーセンティフィケーターは、ユーザーの不便を最小限として、セキュリティのメカニズム提供するには最適です。 たとえば、ユーザーが、MITM プログラムにより侵害されている彼女のノート PC からログインしているとしましょう。しかし、事業所では MFA を設定し、彼女のログインを完了させるには、ユーザーは OneLogin Protect のような電話アプリを使用する必要があります。もともとのモバイルオーセティフィケーターアプリは、コードを電話から認証システムに送信し、ログインを完了させます。MITM ハッカーはユーザーの電話にアクセスできないので、違反は防止されます。 MFA はすべての攻撃を止めることはできませんし、セキュリティを保証しません。しかし、MFA は、サイバー攻撃をより難しくする、認証の追加レイヤーを付加します。

詳しい情報

適応認証とは何でしょう?

多要素認証 (MFA) を始めとする標準認証方法は、ユーザーに、企業リソースにログインまたはアクセス使用とすると、必ず特定の信用情報を要求します。適応認証は、状況に応じて異なる信用情報を要求します—違反のリスクが高い場合はセキュリティを強化します。 ユーザーが、いつでも、ユーザー名とパスワードのような標準信用情報を使用してログインする場合、サイバー攻撃に対して脆弱になります。[MFA] (/製品/多要素認証) のような認証ツールは、スマートフォンアプリから生成されたコードなどの追加信用情報を要求することにより、より高いセキュリティをもたらします。要素が多いほど助けにはなりますが、それでもサイバー犯罪者は、いとも簡単にユーザーのさまざまな信用情報を入手、またはハッキングし、アクセスを得るために使用します。適応認証は、要件をインテリジェントに変化させ、ハッカーが企業へのアクセスを得ることをずっと困難にします。それは、使用される信号のいくつかは攻撃者が回避することが困難であるからです。 #### 適応認証はどのような仕組みなのでしょう? 適応認証を自分の組織に実装する場合、指定されたユーザーまたは一連のユーザーのために、基本ログイン要件を決定します。特定な場所のユーザー、または機密情報にアクセスする権限がある役割のユーザーにはより厳しい要件があるかも知れません。 適応認証は、それぞれのユーザーに、ユーザーの地理的位置、登録されたデバイス、役割、などの情報を含むプロファイルを作成することにより機能します。誰かが認証を試すたびに、リクエストは評価され、リスクスコアが割り当てられます。リスクスコアに応じてユーザーは追加信用情報を提示することを求められる場合があり、また、逆により少ない信用情報を使用することが可能になる場合があります。 たとえば、ユーザーが未登録のデバイスを経由してアプリケーションへのアクセスを試すと、それを登録するようにプロンプトが表示されるかも知れません。ユーザーが、自分のオフィス以外の地理的位置からログインすると、セキュリティの質問に回答する必要があるかも知れません。 IT 部門は、さまざまなリスクスコアによって、リクエストへの応答を判定します。規定された何らかのシナリオで、ユーザーは認証が可能になる場合もあり、アクセスが阻止される場合もあり、彼女または彼の ID を証明するために身元確認される場合すらあります。 #### 適応認証とマシンラーニング ほとんどの適応認証ソリューションは、マシンラーニングを使用します。このようなツールのアルゴリズムは、ユーザーの行動を経時的に監視し、学習してより正確なプロファイルを構築します。デバイス、一般的なユーザーログイン時刻、または通常の業務場所を追跡する場合があります。IP アドレスやネットワークの評判を、このようなネットワークの脅威データに加えてチェックします。 適応認証ソリューションは、行動と背景に基づいてリスクスコアを割り当て、IT 部門によって確立されたルールに基づいて、知覚されたリスクに対応します。このようなルールは、リスクスコア、ユーザーの役割、場所、デバイスなどによって異なる場合があります。人工知能 (AI) を使用して、高度な適応認証は、リアルタイムに監視し、ユーザーの認証パターンの異常や、認証パス中の脅威 (たとえば侵害されたネットワーク) すら識別するように進化しています。 #### 適応認証のメリット 適応認証は、セキュリティの付加だけではなく、作業を終了させようとするユーザーとの軋轢も軽減します。標準 MFA はログイン条件を定義しますが、それは煩わしい場合もあります—ユーザーに、必ず名前、パスワード、それにアプリからコードを入力するように要求するか、またはオフィス外から認証する場合は、ユーザーにセキュリティの質問に回答するよう要求します。 適応認証は、認識され、予測された方法で行動するユーザーからは、要求する情報を減らすことができます。時によって、状況がより大きいセキュリティリスクを示唆する場合のみ、ユーザーにより多くの情報を問合せます。すなわち、ユーザーの中断はより少なく、エントリーの障壁は低く、セキュリティはより高くなります。

詳しい情報

MFA とは何でしょう?

多要素認証 (MFA) とは、ユーザーの ID を、複数の信用情報を要求することにより検証するセキュリティシステムです。単にユーザー名とパスワードを尋ねるだけでなく、MFA は、他の—追加—信用情報、たとえばユーザーのスマートフォンからのコード、秘密の質問の答え、指紋、顔認識などを要求します。 MFA はセキュリティ強化を実現する、有効な方法です。従来のユーザー名やパスワードは盗まれる恐れがあり、それらは、ブルートフォースアタックにますます脆弱になっています。MFA は、セキュリティの複数のレイヤーを作り出し、アクセスを要求するユーザーが実際にそれを名乗る本人である、という信用を高めるために役に立ちます。サイバー犯が信用情報を 1 つ盗むことができたとしても、MFA を使用すれば、別の方法で ID を検証することにより防御することができます。 多要素認証の例には、認証のために、次のような要素を組み合わせた使用が挙げられます。 - スマートフォンのアプリにより生成されたコード - バッジ、USB デバイス、または他の物理デバイス - ソフトトークン、証明書 - 指紋 - 電子メールアドレスに送信されたコード - 顔認識 - 網膜または虹彩スキャン - 行動解析 - リスクスコア - 個人的な秘密の質問への答え #### 認証要素の種類 MFA と言えば、私たちは通常 3 種類の認証要素を指します。 - ユーザーが知っていること (知識)、たとえばパスワードや暗証番号 - ユーザーが持っているもの (所有)、たとえばバッジやスマートフォン - ユーザー自身 (継承)、指紋または声解析など、バイオメトリクスを介して表示されます 最新の MFA ソリューションは、認証時に前後関係や行動を考慮することにより、追加要素を取り込みます。たとえば、 - どこでアクセスを取得しようとするか、カフェ、または自宅、など - いつアクセスしようとするか、たとえば夜遅く、または平日の日中、など - どのデバイスを使用するか、たとえばスマートフォン vs ノート PC、など - どんな種類のネットワークにアクセスするか、たとえばプライベートまたはパブリック しばしば適応型認証と呼ばれますが、このタイプの MFA は前後関係を考慮に入れて、異常なログインにフラグを立てます。ある人が尋常ではない前後関係で認証を試すと、適応型 MFA は追加の信用情報を要求してセキュリティを強める場合があります。たとえば、あるユーザーがカフェから夜遅くログインすると—そしてこのことがそのユーザーには普通のことでない場合—MFA ツールは、ユーザーのスマートフォンにメールされたコードを入力するように、ユーザーに要求する場合があります。

詳しい情報

MFAチェックリスト

多要素認証(MFA)ソリューションが、ハイブリッド環境での安全なソリューションの基本要件を満たしていることが重要です。今日のデジタルトランスフォーメーションは、少なくとも基本的なMFAが実装されている統合型アクセス管理(UAM)プラットフォームに依存しています。以下のチェックリストを使用して、MFAソリューションが貴社に必要な保護を提供していることを確認してください。 #### ユーザーコミュニティのサポート MFAソリューションは、機密データにアクセスするすべてのユーザーコミュニティをサポートしていますか? 労働力(社員および請負契約者) パートナー/ベンダー 顧客 アプリケーション統合 MFAソリューションは、組織にとって重要なクラウドアプリやオンプレミスアプリに使用できますか? クラウドアプリケーションとの統合 オンプレミスアプリケーションとの統合 WorkdayまたはSuccessFactorsなどの人事管理システム(HRMS)との統合 Active DirectoryやLDAPなどのディレクトリ統合 #### 企業アクセス MFAソリューションは、組織が使用する、または使用する可能性のあるネットワークアクセスシステムをサポートしていますか? VPNアクセス Wi-Fiアクセス SSH/RDPアクセス RADIUSの統合 #### 認証方法 MFAソリューションは、組織が使用する認証ツールをサポートしていますか? モバイル向けネイティブOTP authenticator (プッシュベース) オフライン時間ベースの検証コード(TOTP) ハードウェアトークン(例: Yubico社のYubiKey) X.509準拠証明書 従来の認証方法(例: SMS、セキュリティに関する質問、Eメール) #### 柔軟な認証ポリシー MFAソリューションにおいて、柔軟で洗練された認証ポリシーをきめ細かいレベルで適用できますか? 各アイデンティティ、アプリ、デバイス、およびコンテキストに対するきめ細かなポリシー 多様なアイデンティティのコミュニティやアプリケーション向けにさまざまなポリシーの定義が可能 カスタマイズ可能な認証フロー リスクベースの意思決定 #### 開発者のサポート MFAソリューションは、カスタムアプリケーションやサードパーティーシステムとの統合に必要なAPIやサポートを提供していますか? MFA登録とライフサイクルマネージメントAPI 主要プラットフォームおよび言語用SDK オープンスタンダードのサポート MFAソリューションは、Webアプリケーションに安全に接続するための以下の一般的な最新の基準をサポートしていますか? SAML OpenID Connect OAuth 2 #### レポーティング MFAソリューションは、コンプライアンス要件に適合し、脅威のデータに基づいてセキュリティを拡張することを可能にするレポートを提供しますか? 権限付与イベントをサードパーティーのSIEMソリューションに表出化する機能 そのまま使えるレポートと、監査証跡 権限付与イベントに基づいてシステムを変更する機能 アクセス試行に関するリアルタイム情報 ### 高度な要件 どんなMFAソリューションも基本要件に適合する必要がありますが、適切なデジタルトランスフォーメーションを行う組織は、多くの場合、高度な要件に適合するソリューションを選択します。MFAは急速に進化しています。高度なMFAソリューションは、初めから立ち遅れることがないことを保証します。 #### 行動解析 MFAソリューションは、インテリジェントに適応するために行動解析を使用しますか?また、別の認証要素が必要ですか? 一般的な信号 攻撃信号 異常(ユーザーの行動とコンテキスト信号) 継続的な認証 #### デバイスの信頼 MFAソリューションは、認証に使用されているデバイスに関する情報を考慮していますか? バージョン、改ざん、ロック、暗号化、ブラウザプラグインなどを含むデバイスの正常性 デバイスの評判 X.509準拠証明書 モバイルデバイス管理(MDM)との統合 #### ユーザーとデバイス MFAソリューションは、複数のデバイスからのユーザーのアクセスをサポートしていますか?また、さまざまな種類のユーザーやユーザーロールは考慮されていますか? 複数のデバイスのサポート さまざまなユーザーコミュニティのサポート(社員、請負契約者、パートナー、IT管理者、顧客など) 一般的な考慮事項 MFAソリューションは、組織内で既存のソリューションを置き換えたり大幅に変更することなく、使用するカスタムアプリと統合できますか? APIを介してカスタムアプリとの統合が可能 MFAの統合が、他のソリューションに完全に置き換えることなく可能

詳しい情報

すべてのユーザー、アプリケーション、デバイスを安全に接続