HP IceWall SSO ワンタイムパスワードソリューション - Hewlett

HP IceWall SSO ワンタイムパスワード
ソリューションのご紹介
日本ヒューレット・パッカード株式会社
テクノロジーコンサルティング事業統括
IceWallソフトウェア本部
2014年12月 ver.2.3
© Copyright 2013 - 2014 Hewlett-Packard Development Company, L.P.
The information contained herein is subject to change without notice.
目次
•
•
•
ワンタイムパスワード(OTP)概要
ワンタイムパスワード(OTP)の新たな潮流:”OATH”
HP IceWall SSO ワンタイムパスワードソリューション
- OATH対応のリーズナブルなワンタイムパスワードソリューション-
•
2
ユースケース
© Copyright 2013 - 2014 Hewlett-Packard Development Company, L.P.
ワンタイムパスワード(OTP)概要
© Copyright 2013 - 2014 Hewlett-Packard Development Company, L.P.
ワンタイムパスワード(OTP)とは?
ワンタイムパスワード(OTP)とは、端末からネットワークを通じてサーバーを利用する際に、正規
のユーザーかどうかを検証する認証技術のひとつで「使い捨てパスワード」とも呼ばれます。
IDとパスワードに加え、別の要素を追加して認証を行う「二要素認証」の手段としても使われ、
OTPを表示するための専用の機器を「ハードウェアトークン」と呼び、同じ機能を持たせたソフト
ウェア (スマートフォン等のブラウザーで表示)を「ソフトウェアトークン」と呼びます。
ハードウェアトークン例
OTPを使用したセキュリティ強化
ユーザー
ID
パスワード
ワンタイムパスワード
ID
パスワード
ワンタイムパスワード
OK!
認証サーバー
OK!
OK!
OK!
認証サーバー
ソフトウェアウェアトークン例
OK!
NG!
passcode:
7082 6883
ワンタイムパスワードは
“使い捨て”のため、
第3者には無効
4
© Copyright 2013 - 2014 Hewlett-Packard Development Company, L.P.
スマートフォン
7082 6883
PC
【Tips】 ワンタイムパスワードの主な方式
ワンタイムパスワードを正しく生成するために使われる方式としては、代表的なものとして
「タイムスタンプ方式(時刻同期方式)」と「チャレンジ & レスポンス方式」があります。
チャレンジ & レスポンス方式
タイムスタンプ方式
ボタンを押した時刻を元にして
ワンタイムパスワードを表示
トークンと認証サーバーの両方に
時刻を元にしたパスワード計算式
をあらかじめ登録
認証リクエスト
xxxxxx
チャレンジ
送信
チャレンジ
文字列
トークン
ユーザーID、あらかじめ決めた
パスワード、トークンに表示された
ワンタイムパスワードを入力
認証サーバー
両方一致した場合ログインが可能
タイムスタンプ方式では、パスワード生成のための「種」(Seed
情報(共通鍵))として、現在の時刻を使います。あらかじめ
サーバーとトークンで、時刻に基づいてパスワードを算出する
共通の計算式を記憶しておきます。(時刻で同期するため、
トークンとサーバは直接通信することはありません)
トークン側では、ボタンが押されると、その時刻に合わせて
その時に有効なパスワードを表示します。(30秒間同じパス
ワードを表示等)
サーバー側では、入力されたパスワードと現在有効な
パスワードを照らし合わせ、正しければ認証します。
5
レスポンス
© Copyright 2013 - 2014 Hewlett-Packard Development Company, L.P.
リクエストを受け付けたら
ランダムな文字列を
「チャレンジ」として送信
チャレンジから算出される
レスポンスと入力された
レスポンスが合致して
いれば認証する
認証サーバー
レスポンスを計算して入力する
チャレンジ&レスポンス方式は、利用者からサーバーに「認証して
欲しい」というリクエストがまず送られます。
それを受けたサーバーは、ユーザーに対して、「チャレンジ」として
ランダムな文字列を返します。ユーザーはそのレスポンスに基づき、
あらかじめ決められている計算式により、実際に使用するパスワー
ドを計算して「レスポンス」として入力します。サーバー側では、チャ
レンジから計算したレスポンスが、ユーザーが入力したレスポンス
と一致していれば、認証します。
身近なところでは、インターネットバンキングでの乱数表を使った認
証もチャレンジ&レスポンス方式の一種です。
(サーバ側から何行何列目を入力と指示がでて、ユーザは予め配
布された乱数表で該当の4桁を入力等)
認証強化ソリューションとして改めて注目される
ワンタイムパスワード
ID/パスワード
のみ
導入コスト
◎
サポートコスト
○
ユーザーの
利便性
◎
なりすまし
強度
電子証明書
ワンタイムパスワード
(ハードウェア
トークン)
△
×
(証明書)
△
(運用が手間)
(トークン+ユー
ザーライセンス)
○
△
○
(環境依存)
(トークンの所持)
△
◎
適合ソリュー
ション
汎用的
欠点
適用規模
マトリックス
認証
生体認証
×
△
(認証デバイス+
ユーザーライセン
ス)
(ユーザーライセン
ス)
△
○
(運用が手間)
○
○
◎
◎
○
BtoB/イントラ
ネット
リモートアクセス/
出金認証
イントラネット
リモートアクセス
セキュリティ弱
運用が煩雑
コストが割高
運用が煩雑
非標準方式
制約なし
中規模
小規模
中規模
小・中規模
(非標準)
導入コストの問題が解決すれば、ワンタイムパスワードは
有力な認証強化ソリューションに
6
© Copyright 2013 - 2014 Hewlett-Packard Development Company, L.P.
従来のワンタイムパスワードの難点
全ユーザーに対して
トークンの配布が必要。
かつベンダーロックされる
懸念も…
ユーザーライセンス
+サーバーライセンスが
必要…
OTP用認証サーバー
認証DB
RADIUS認証
SSL-VPN
Remote Access
Webアプリ
Network
Webアプリ
OTPをユーザーID/
パスワードと共に画面に
手入力
1サイト1トークン
7
© Copyright 2013 - 2014 Hewlett-Packard Development Company, L.P.
別途、認証の
仕組みが必要…
数台規模の対応が
限界…
Webアプリ
ワンタイムパスワード(OTP)の
新たな潮流:”OATH”
© Copyright 2013 - 2014 Hewlett-Packard Development Company, L.P.
ワンタイムパスワードソリューションの新たな潮流
多様なトークンに対応可能な標準仕様”OATH”
■OATHに準拠した ハードウェア トークン
ワンタイムパスワードをPC上に入力して送信
◆OATH=Open AuTHentication: 主にワンタイムパスワード(OTP)
で 利用される オープンな認証仕様。
従来のOTPソリューション/トークンは各ベンダー特有のアルゴリズ
ムに依存するケースが多かったが、OATH対応のトークンは多様な
ベンダーから選択が可能。
ワンタイムパスワード
認証システム
OATHに準拠した
サーバーモジュール
■OATHに準拠したソフトウェアトークン
ワンタイムパスワードをスマートフォンから送信
Webアプリ
ワンタイムパスワードをPC上に入力して送信
9
© Copyright 2013 - 2014 Hewlett-Packard Development Company, L.P.
• 複数ベンダーからトークン調達が可能
• トークンベンダーに縛られないサーバー
モジュールの選択が可能
• Webサイト毎のトークンの使い分けが不要
⇒ より低コストでの導入が可能に
従来のOTPソリューションとOATH仕様との比較
従来の 一般的な
ハードウェアトークン
導入コスト
×
(トークン+ユーザー
ライセンス)
OATH仕様の
ハードウェア トークン
○
(トークン)
*複数ベンダーから調達
可能
OATH仕様の
ソフトウェア トークン
◎
(スマートフォンアプリ)
*アプリの配布のみ
セキュリティ
△
○
〇
ユーザーの
利便性
○
(トークンの所持)
○
(トークンの所持)
◎
(スマートフォンアプリ)
なりすまし
強度
◎
◎
◎
過去の実績が多い。
オープンな仕様。
複数ベンダーから調達
可能。
オープンな仕様。
配布が容易なため、
大規模サイトや複数
サイトの対応が容易。
利点
注意点
コストが割高
トークンベンダーの
変更不可
コストが
比較的安価
(トークン代、配送料)
ユーザーは
スマートフォン
所持が前提
適用規模
小規模
小・中規模
大規模
10
© Copyright 2013 - 2014 Hewlett-Packard Development Company, L.P.
備考
OATH仕様の場合、ベンダーに
依存せず、複数ベンダーから
調達可能。ソフトウェアトーク
ンはデバイスへのアプリケー
ションの配布のみ。
従来のOTPでは、セキュリティ
強度はベンダーによる保証。
OATH仕様ではオープンな仕様
内で担保される。
ハードウェアトークンはトーク
ン代 および配布コストも必
要。但しOATH 仕様トークンの
場合、複数ベンダーから調達
することで比較的安価に 抑
えることが可能。
OATH仕様のトークン例
ジェムアルト
■OATHに準拠した ハードウェア トークン
 Ezio Lava(ジェムアルト株式会社)
 Ezio Pico(ジェムアルト株式会社)
 OTP C200 (飛天ジャパン株式会社)
 OTP C300 (飛天ジャパン株式会社)等
飛天
■OATHに準拠した ソフトウェアトークン
 Google Authenticator(Google, Inc.)
 HP IceWall SSO Smart OTP 等
Google Authenticator
11
© Copyright 2013 - 2014 Hewlett-Packard Development Company, L.P.
【Tips】 OATH仕様のOTPのユースケース
ソリューション
目的
クライアント側
具体例
OTP本人認証
① (PC、スマホ)
・二要素認証
(従来のOTP市場)
・OATH対応のHW/SWトークン
・HP IceWall SSO Smart OTP
・Google Authenticator
・保険会社
・PKIからの置き換え
OTP本人認証
② (スマホ限定)
・二要素認証
・Quick & Secure Login
(モバイル認証)
・HP IceWall SSO Smart OTP
・製造業
・タブレットからの迅速なログイン
③ 署名(SWYS※1)
・否認防止
・取引改ざん防止
(新しいOTP市場)
チャレンジ
④ レスポンス認証
・二要素認証
・出金認証強化
・否認防止
トランザクション
⑤ 双方向認証
・正規サイトの確認
OCRA※2対応テンキー付
取引内容に紐づくか
否かの違い
トークン(Max 64桁)
・金融機関
・MITB※3対策
OCRA※2対応テンキー付
トークン(Max 8桁)
・金融機関
・フィッシング対策
・OATH対応のHW/SWトークン
・ホストリターンコードによる相互
認証
・偽サイト
※1: SWYS=Sign What You See
※2: OCRA=OATH Challenge-Response Algorithms Specification RFC 6287
OATHをベースにしたチャレンジレスポンス仕様。海外の金融機関でフィッシング対策やMITB(Man In The Browser)対策に
使用されることが増えている。テンキー付のトークン等を利用し、出金認証強化、否認防止/取引改ざん防止(トランザクション
署名)として利用される。
※3: MITB =Man In The Browser
12
© Copyright 2013 - 2014 Hewlett-Packard Development Company, L.P.
HP IceWall SSO
ワンタイムパスワードソリューション
- OATH対応のリーズナブルなワンタイムパスワードソリューション-
© Copyright 2013 - 2014 Hewlett-Packard Development Company, L.P.
HP IceWall SSOワンタイムパスワードソリューションの強み
コストを抑えながら認証強化
・OATH準拠の多様なトークンを選択可能。特定のベンダーに縛られず、トークンの調
達が可能。
・ハードウェアトークン、ソフトウェアトークンの併用可能。
・トークンの数に依存しないサーバーライセンス体系 ※1。
モバイルデバイスもOTPで認証強化
・ 専用のスマートフォンアプリ版※2のトークンを使用すれば、スマートフォンでOTPの
自動生成、自動送信が可能※3。
・クライアント証明書を使用できない一部のタブレット等もOTPで認証強化。
シングルサインオン環境をOTPでも利用可能
・HP IceWall SSOが提供する、利便性の高い高性能なシングルサインオン環境をOTP
でも利用可能。従来のID/パスワードによるログインや他の認証方式との併用も可能。
クライアント証明書からのスムーズな移行が可能
・クライアント証明書認証からOTP 認証へ、ユーザーが任意のタイミングで移行可能。
14
© Copyright 2013 - 2014 Hewlett-Packard Development Company, L.P.
※1:ハードウェアトークンを使用する場合は、別途トークン代が必要。
※2:HP IceWall SSO Smart OTP。
※3:ユーザーID/パスワード、OTPをバックグラウンドで自動送信。
HP IceWall SSO ワンタイムパスワードソリューション
- OATHに準拠したフレキシブルかつリーズナブルなソリューションOTPを表示、ログイン画面に入力、送信
HWトークン
ケース1
複数ベンダーの
多様な製品
ケース2
SWトークン
O A T H準 拠
Smart OTP
HP IceWall SSO
ID
PW
OTP
3562744
SWトークン
(Windows PC クライアント)
Smart OTP
Windows※
OTPを生成、ID/パスワードと共に自動送信
ケース3
スマートフォンアプリ
HP IceWall SSO
Smart OTP
※PCのブラウザー版のSWトークンもご用意しています。
15
IceWall
サーバー
(スマートフォンアプリ)
HP IceWall SSO
ケース4
HP IceWall SSO
LOGIN
© Copyright 2013 - 2014 Hewlett-Packard Development Company, L.P.
OTP連携
オプション
認証サーバー
/ 認証DB
OneTime
認証連携ツール
for HP IceWall
Webアプリ
OATH準拠
OATHに準拠したハードウェア トークンを利用
ケース1
LOGIN
ID
PW
OTP
ハードウェアトークン上に
表示されたOTPを
PCへ入力
1. PC上で対象のWebサイトにアクセスし、ログイン画面を表示。
2. ハードウェアトークン上に表示されたワンタイムパスワード(OTP)をPC上の
ログイン画面に入力。
16
© Copyright 2013 - 2014 Hewlett-Packard Development Company, L.P.
※画面はイメージです。使用する機種などにより異なることがあります。
ケース2
スマートフォンのソフトウェアトークンを利用
HP IceWall SSO Smart OTP使用例
別途ハードウェアトークンを準備、携帯する必要はありません。
1.
2.
3.
4.
LOGIN
ID
PW
OTP
1. Smart OTPを起動、ログインアカウントを選択
2. 「OTPを表示」ボタンをタップ。Smart OTPがOTPを生成・表示
3. PC上でブラウザのログイン画面に、
表示されたOTPと共にユーザーID/パスワードを入力、送信
4. ログイン完了
17
© Copyright 2013 - 2014 Hewlett-Packard Development Company, L.P.
※画面はイメージです。使用する機種などにより異なることがあります。
スマートフォンのアプリでOTPを生成、直接送信
ケース3
HP IceWall SSO Smart OTP使用例
ユーザーはID/パスワード、OTPの入力をスキップでき※、迅速でセキュアな ログインが行えます。
1.
2.
3.
4.
1. Smart OTPを起動、ログインアカウントを選択
2. 「ログイン」ボタンをタップ
3. Smart OTPがOTPを自動生成、ユーザーID/パスワード※と共に自動送信
※パスワードのみはSmart OTP上に保存せず、毎回手入力することも可能です。
4. ログイン完了
ログイン後は標準ブラウザを使用して対象のWebサイトへアクセスが可能です。
18
© Copyright 2013 - 2014 Hewlett-Packard Development Company, L.P.
※画面はイメージです。使用する機種などにより異なることがあります。
ケース3
スマートフォンのアプリでOTPを生成、直接送信
<HP IceWall SSO Smart OTP の仕組み>
OTPのseed(共通鍵)は
ユーザーIDの属性情報として、
認証DBへ登録。
スマートフォンでOTPを生成し、自動送信。 利
便性の維持とセキュリティ向上の両立。
Smart OTP は各ストアから無料配布※1。
ユーザー
ID
サイト
② OTP送信
Network
パスワード
OTP
OneTime
認証連携ツール
for HP IceWall
④ 結果を送信
許可
拒否
① OTP生成
seed
(共通鍵)
19
098f6bcd4621d373cade4e832
© Copyright 2013 - 2014 Hewlett-Packard Development Company, L.P.
③ OTP検証
user01
・・・
098f6bcd4621d373cade4e832
user02
・・・
ad0234829205b9033196ba81
認証DBのユーザー情報テーブル
seed
(共通鍵)
※1:汎用版。カスタマイズが必要な場合は別途有償でのご対応となります。
ケース4
Windows(PC)上でソフトウェアトークンを利用
HP IceWall SSO Smart OTP Windows使用例
HP IceWall SSO Smart OTP Windowsをソフトウェアトークンとして利用します。
Windows PC用クライアント用アプリケーションのインストールが必要です。
1.
2.
4.
3.
LOGIN
ID
PW
OTP
1. Smart OTP Windowsを起動、ログインアカウントを選択して「OTPを表示」ボタンをタップ。
2. Smart OTP WindowsがOTPを生成・表示したOTPをクリップボードにコピー。
3. PC上でブラウザのログイン画面に、表示されたOTPと共にユーザーID/パスワードを入力、送信
4. ログイン完了
※PCのブラウザー版のSWトークンもご用意しています。
20
© Copyright 2013 - 2014 Hewlett-Packard Development Company, L.P.
※画面はイメージです。使用する環境などにより異なることがあります。
「OneTime認証連携ツール for HP IceWall」について
本製品は株式会社エスシーシーの開発によるサーバー製品です。
HP IceWall SSOと組み合わせてWebアプリーケーションの前段に配置することで、
OATH規格のワンタイムパスワード認証を実現します。
 ライセンス体系: サーバーライセンス
 Enterprise EditionとStandard Editionをご用意しています。
 OneTime認証連携ツール for HP IceWallを動作させるサーバー毎に1ライセンス必要です。
また別途、HP IceWall SSO OTP連携オプション(サイトライセンス)が必要です。
 本ライセンスとあわせて保守のご購入が必要です。
 動作環境※
◆サーバー
 OS:Red Hat Enterprise Linux 6.1以降(x86_64)、Red Hat Enterprise Linux 5.4以降(x86_64)
 認証システム:HP IceWall SSO 10.0
 APサーバー:Tomcat 6.0 (OSバンドル版)
 Java:Open JDK 6.0 (OSバンドル版)
 データベース:Oracle 11g、MySQL 5.1、 OpenLDAP
◆トークン
 ソフトウェアトークン:HP IceWall SSO Smart OTP他、OATH規格のソフトウェアトークン
 ハードウェアトークン:OATH規格のハードウェアトークン
21
© Copyright 2013 - 2014 Hewlett-Packard Development Company, L.P.
※ 2014年1月現在。最新の動作環境は別途お問い合わせ下さい。
HP IceWall SSO ワンタイムパスワードソリューションの
アドバンテージ
サーバーライセンスのみ
POINT
2
POINT
1
OATH対応により多様なトークンの
選択が可能
ハードウェアトークンおよびソフトウェア
トークンの併用や、ベンダーに依存しない
トークンの選択が可能。
ユーザーライセンス不要で、サーバー
ライセンスのみ※のため、コストを
HP IceWall SSO抑えながら認証強化を行うことが可能。
IceWall
サーバー
※ハードウェアトークンを使用する場合は、別途
トークン代が必要です。
Webアプリ
OTP連携
オプション
Webアプリ
Network
認証サーバー
/ 認証DB
POINT
3
22
モバイルデバイスでの使用にも最適
専用アプリケーション(HP IceWall SSO Smart OTP)を
使用すれば、ユーザーID/パスワード、ワンタイムパス
ワードはバックグラウンドで送信し、パスコードのみで
のログイン可能なため、セキュリティの確保と利便性
を両立した認証強化を実現。
© Copyright 2013 - 2014 Hewlett-Packard Development Company, L.P.
OATH準拠
Webアプリ
POINT
4
OneTime 端末識別をクライアント証明書よりも
楽に運用可能
認証連携ツール
for HP IceWallクライアント証明書の場合、ブラウザーが
変更されると証明書の再インストールが必
要となり運用が煩雑だが、本方式では予
め端末とシード情報を紐づけし、生成され
るパスワードで認証するため、ブラウザー
に依存せず端末識別が可能。
ユースケース
© Copyright 2013 - 2014 Hewlett-Packard Development Company, L.P.
HP IceWall SSO ワンタイムパスワードソリューションは
こんなニーズにおすすめ
HP IceWall SSOの
ワンタイムパスワードソリューションなら
ニーズ
OTPのコストを圧縮したい
・OTPトークンの数に依存しないサーバーライセンス体系※1。
・標準仕様「OATH」対応でトークンの選択肢が拡大。ベンダーフ
リー、かつHWトークン・SWトークンの併用も可能。
・HP IceWall SSO Smart OTPを使用すれば、HWデバイスの調
達・配布や管理を軽減。
クライアント証明書よりも楽に
モバイル環境を運用したい
・ブラウザーに依存しない運用が可能※2。
・クライアント証明書を使用できない一部のタブレット等もOTPで
認証強化。
モバイルデバイスの認証強化 ・HP IceWall SSO Smart OTPを使用すれば、スマートフォン上で
OTPの自動生成、自動送信が可能※3。
をしたい
社外からのアクセスに対し
二要素認証を行いたい
・PCブラウザー版トークンHP IceWall SSO Smart OTP Windowsを
使用すれば、PCブラウザー上でOTP生成が可能。
・HP IceWall SSO Smart OTPのソフトウェアトークンモードを使用
すれば、スマートフォンにOTPを表示、PCブラウザに入力する方
法も可能。
※1: 専用スマートフォンアプリは無償。HWトークンを使用する場合は、別途トークン代が必要。
※2:インストール手順などがブラウザーのバージョンに依存しません。
※3:ユーザーID/パスワード、OTPはバックグラウンドで自動送信。
24
© Copyright 2013 - 2014 Hewlett-Packard Development Company, L.P.
利用ケース A社
クライアント証明書よりも楽にモバイル環境を運用したい
 課題
 決められた端末からのみのアクセスを許可するためにクライアント証明書を検討したが、
ブラウザーが変更されると新たに証明書を再インストールする必要があり、リテラシー
の低いユーザにとっては難しく、ユーザーサポートも含めた運用が難しい。
 スマートフォンやタブレット端末からのアクセスも増えてきており、利便性が高く、セキュ
アなアクセスを楽に運用したい。
HP IceWall SSO Smart OTPが解決
 専用のアプリを使って端末内に鍵をインストールし管理しま
す。鍵をインストールした端末からのみアクセス可能です。
ブラウザーや端末の種類に依存せずに使用でき、管理者
の運用も楽にできます。
 タブレット、スマートフォンのアプリが、内部でOTPを生成し
ID/パスワードと共にサーバーへ自動送信して認証します。
ユーザー情報の入力を省略することができ、迅速でセキュ
アな ログインが可能です。
25
© Copyright 2013 - 2014 Hewlett-Packard Development Company, L.P.
利用ケース B社
社外からのアクセスに対し二要素認証を行いたい
 課題





社外からのアクセスに対して二要素認証を実施したい。
全社員数は数万人。
アクセスする対象のWebアプリケーションはPC向け。
社内からのアクセスには、ユーザーIDとパスワードで認証。
社外からのアクセスには、ユーザーID/パスワードにOTPを加えた
二要素認証を実施したい。
HP IceWall SSO Smart OTP Windows 、 および
HP IceWall SSO Smart OTPが解決
 HP IceWall SSO Smart OTP Windowsにより、PCブラウザー
上でOTPを生成します。
 HP IceWall SSO Smart OTPのソフトウェアトークンモードを
使えば、スマートフォンでOTPの生成も可能です。
26
© Copyright 2013 - 2014 Hewlett-Packard Development Company, L.P.
Thank you
© Copyright 2013 - 2014 Hewlett-Packard Development Company, L.P.