fbpx

真のパスワードなしのセキュリティを導入するためのCISOのガイド

管理者向けの多要素認証導入の概要

多要素認証は、消費者向けおよび従業員向けのアプリケーションの資格情報の詰め込み、フィッシング、およびパスワードの再利用を排除するように設計されています。企業内に保存されている一元化されたパスワードに依存する認証方法とは異なり、多要素認証は分散認証を利用して、ユーザーの資格情報を個人のデバイスに安全に保存します。パスワードなしのセキュリティに対するこの分散型のアプローチにより、ハッカーの主要な標的が取り除かれ、攻撃者は各デバイスに個別に集中する必要があり、企業の経済的側面が大幅に変わります。

多要素認証プラットフォームは、大規模なコンシューマーアプリケーション、エンタープライズビジネスでの使用、および既存のIDおよびアクセス管理(IAM)インフラストラクチャとの統合のために、パスワードなしの真のセキュリティを強化するように設計されています。このプラットフォームの利点は、モバイル、ウェブ、デスクトップアプリケーションの全範囲で、パスワードなしの真のアーキテクチャへの実用的な移行を可能にする相互運用性のレベルです。

このホワイトペーパーは、セキュリティおよびITマネージャーに、多要素認証の一般的な展開プロセスの概要を説明します。その目的は、組織の多要素認証 プラットフォームを使用して認証プロセスを分散するために必要な活動のタイプを、マネージャーと開業医がよりよく理解できるようにすることです。多要素認証チームがプロジェクトの参加者に、導入に関連する実際の手順の詳細な説明を提供します。

多要素認証導入の2つのカテゴリ

多要素認証の展開は、2つのカテゴリのユースケースに従います。それぞれに、実用的、技術的、および管理的な一連の独自の懸念があります。これらの展開の使用例の詳細は、管理の説明を保証するのに十分に異なるため、このドキュメントです。以下のセクションでは、最も典型的なプロジェクトで各ケースがどのように進行するかを説明します。

消費者アプリケーションの多要素認証

このケースには、資格情報の詰め込みとパスワードの再利用に起因する顧客の詐欺とアカウントの乗っ取りを減らすことを目指す、基幹業務、デジタルID、および詐欺チームが関係しています。これは通常、企業から消費者へのサービス提供のためのデジタル変換イニシアチブのコンテキストで実行され、PSD2やSCA(Strong Customer Authentication)などの規制コンプライアンス要件を満たします。

エンタープライズ使用のための多要素認証

このケースには、フィッシングや高度な永続的脅威(APT)の漏えいなどの侵害のリスクを軽減するために認証を分散化したい企業のセキュリティチームが含まれます。これは通常、Windows およびMacOSワークステーションに対する真のパスワードなしの認証、およびシングルサインオン、VPN、VDIログインを有効にするために実行されます。

消費者アプリケーション向けの多要素認証導入

現代のデジタルトランスフォーメーションイニシアチブは、大規模なコンシューマーモバイルアプリケーションに多要素認証を導入するという管理上の決定の根底にあることがよくあります。サービスプロバイダーとアプリケーションプロバイダーは、個人の信用リスクを最小限に抑える必要性を認識しながら、できるだけ少ない摩擦でユーザーエクスペリエンスを最適化しながら、多要素認証を統合するという決定は、セキュリティの向上とエンドユーザーエクスペリエンスの向上の両方を直接サポートするため、最適です。

多要素認証展開のこの最初の使用例には、大規模な消費者ベースを処理し、分散された資格情報のサポートを必要とするビジネスまたはプロバイダーが含まれます。小売銀行、ソーシャルメディア会社、インターネットサービスプロバイダー、保険会社、オンラインメールベンダーは、このカテゴリの展開の良い例です。このユースケースでは、多要素認証により、消費者向けのモバイルおよびWebアプリケーションの真のパスワードなし認証が可能になります。その結果、ユーザーのモバイルデバイスを利用したフィッシング耐性のあるログインエクスペリエンスが実現します。

パスワードなしのコンシューマ認証

  1. ユーザーのリクエスト
  2. ユーザー有効性チェック
  3. 認証の開始
  4. 認証チャレンジ
  5.  FIDO署名済み応答
  6. 認証完了

このユースケースは、多要素認証ソフトウェア開発ツールキット(SDK)を統合する方法を理解している、有能な開発者の訓練されたチームが存在することを前提としています。

成功を確実にするために、さまざまな部署を超えたチームが多要素認証 展開プロセスに関与します。たとえば、ユーザーエクスペリエンスチーム、サイバーセキュリティチーム、プライバシーチーム、ソフトウェアエンジニアリングチームが統合に参加し、多要素認証チームが直接サポートします。多要素認証ツールキットは、これらの大規模な開発者とエキスパートのグループがパスワードなしのセキュリティを実現するために使用するため、このチームアプローチでは細部に細心の注意を払うことができます。

多要素認証を導入して2つの簡単なステップで消費者認証を実現

コンシューマーモバイルアプリケーション向けの多要素認証の統合は、一般的に次の2つの一般的な統合ポイントに焦点を当てます。

バックエンドインフラストラクチャ

これには、多要素認証セキュリティを特徴付ける分散型セキュリティをサポートするアプリケーション、システム、およびネットワークが含まれます。

フロントエンドモバイルアプリ

これらは、保護されている特定のサービスセットにアクセスするために、コンシューマによって使用されます。

ほとんどのエンタープライズチームとは対照的に、コンシューマーアプリケーションに多要素認証を組み込むために作業している一般的な組織はソフトウェア開発ツールキット(SDK)の経験があるため、これらの統合ポイントへの展開は簡単です。アプリケーションで使用するOATHやOpen ID Connect などの目的のインターフェイスを問題なく選択することができ、プロジェクト統合作業全体が1日未満で済むことも珍しくありません。

たとえば、Global 2000 Financial Institutionの最近のコンシューマーアプリケーションプロジェクトには、インターネットベースのeコマースサービスのための会社のモバイルアプリケーションエクスペリエンスへの多要素認証の統合が含まれています。この場合、数千万人の消費者がこれらのオンラインサービスを使用し、展開プロセス全体で成功したのはわずか2日半の作業でした。

エンタープライズ向けの多要素認証導入

現代のデジタルトランスフォーメーションイニシアチブは、大規模なコンシューマーモバイルアプリケーションに多要素認証を導入するという管理上の決定の根底にあることがよくあります。サービスプロバイダーとアプリケーションプロバイダーは、個人の信用リスクを最小限に抑える必要性を認識しながら、できるだけ少ない摩擦でユーザーエクスペリエンスを最適化しながら、多要素認証を統合するという決定は、セキュリティの向上とエンドユーザーエクスペリエンスの向上の両方を直接サポートするため、最適です。

多要素認証展開のこの最初の使用例には、大規模な消費者ベースを処理し、分散された資格情報のサポートを必要とするビジネスまたはプロバイダーが含まれます。小売銀行、ソーシャルメディア会社、インターネットサービスプロバイダー、保険会社、オンラインメールベンダーは、このカテゴリの展開の良い例です。このユースケースでは、多要素認証により、消費者向けのモバイルおよびWebアプリケーションの真のパスワードなし認証が可能になります。その結果、ユーザーのモバイルデバイスを利用したフィッシング耐性のあるログインエクスペリエンスが実現します。

パスワードなしのワークステーションログイン

  1. ロックされたワークステーションの状態
  2. ワークステーションのロック解除を開始する
  3.  FIDO認証をリクエストする
  4. 秘密の承認
  5. 秘密の検証
  6. セキュリティコンテキストの検証
  7. ロック解除されたワークステーション

多要素認証の目標は、CISO主導のチームが分散型認証プラットフォームを企業に直接的な方法で統合するのにほとんど問題を起こさないようにすることです。

企業での多要素認証の使用法では、ソフトウェア統合から生じる機能制御と同様に、単純な統合が重要であると想定されています。これは理にかなっています。多要素認証プラットフォームを単純に展開できない場合、セキュリティの値に関係なく、CISOチームは前進するための合理的な手段がないためです。上記で提案したように、CISOチームに経験豊富で利用可能なソフトウェア開発者のチームが含まれることはほとんどありません。

そのため、多要素認証チームには、既存のエンドポイント、サーバー、ネットワークインフラストラクチャへの導入と統合のための事前定義されたモジュールがあります。企業向けの調整には、新しいアプリケーション、ミドルウェア、またはスクリプトをコーディングする必要はなく、管理ツールを使用してソフトウェアをインストールするスキルのみが必要です。

5つの簡単なステップで企業全体に多要素認証を導入

最も一般的な多要素認証エンタープライズ展開には、次の5つのステップが含まれます。各ステップには、セキュリティチームとIT運用チームの調整が必要です。ほとんどのエンタープライズチームは、BYODまたは企業所有のモバイルと連携して、PC エンドポイントでWindowsを実行していることに注意してください。明らかにこれは異なる可能性がありますが、この一般的な構成で多要素認証のお客様に対して最も一般的に観察されている手順を以下に示します。

ステップ1:エンドポイント資格情報プロバイダー

この最初のステップでは、エンタープライズチームが多要素認証クライアントをすべてのエンドポイントにインストールする必要があります。多要素認証 クライアントは、Windowsエンドポイントの既存の資格情報プロバイダー機能を変更して、証明書ベースのログオンをデフォルト設定から使用し、パスワードを使用するようにします。この最初のステップはMacOSでもほぼ同じですが、特定のユーティリティは明らかに異なります。多要素認証チームは企業と協力して、このエンドポイントステップに適したエンドポイントソフトウェア導入ツールを利用します。

ステップ2:ドメインコントローラーの設定

この2番目のステップには、Windows ドメインコントローラーで証明書ベースのログオンを有効にするエンタープライズITチームが関与します。この設定はデフォルトで無効になっていますが、多要素認証プラットフォームとクライアント/サーバーが適切に相互作用するためにはこの機能が必要です。管理者はクリックするだけでサーバーの機能を有効にすることができます。

ステップ3:多要素認証サーバーの導入

導入プロセスの3番目のステップでは、多要素認証サーバーをオンプレミスまたはクラウドにインストールします。この手順は、お客様の企業でのサーバーの展開に関するローカルの要件、ポリシー、および制約に大きく依存します。場合によっては、これにはかなりの文書と保証が必要であり、多要素認証チームがそれに応じて支援します。多要素認証サーバーは、デプロイされたサーバー上で仮想アプライアンスとして実行されます。

ステップ4:エンタープライズアーキテクチャ

各企業には、サーバーを含め、新しい多要素認証プラットフォームのアーキテクチャサポートに対する異なる要件があります。データ複製、災害復旧、ホットスタンバイ要件、およびその他の考慮事項は、多くの場合、多要素認証エンタープライズ展開の重要な側面です。この場合も、多要素認証チームは、エンタープライズチームからのローカルガイダンスに従って、すべての機能、回復力、および保証の要件が確実に満たされるようにします。

ステップ5:モバイルアプリ

すべての多要素認証展開には、ユーザーの資格情報を格納するために使用されるモバイルアプリが必要です。明らかに、モバイルアプリを従業員および請負業者のモバイルデバイスにプッシュすると、ローカルモバイルデバイス管理(MDM)およびエンタープライズモビリティ管理(EMM)ツールが導入されます。最終結果は、各ユーザーがモバイルデバイスに多要素認証モバイルアプリをインストールし、ホワイトラベルが付けられ、組織向けにブランド化されていることです。

SNSでもご購読できます。

コメントを残す

*