トークンレス ワンタイムパスワード(OTP) Swivel PINsafe

NRIセキュアテクノロジーズ株式会社  2017年06月12日

Swivel社のPINsafe は従来型のマトリクス認証の問題点を改善したトークンレスの 2 要素認証ソリューションです。パターンなどを覚える必要の無い、簡単なトークンレス認証を実現しています。主にEUを中心に30カ国1000社以上の導入実績があり、あらゆる規模・業界の企業に適用可能です。

製品概要

PINsafe は、非常に覚えやすいピンパッドを利用することにより、利用者は4~10桁のPINを覚えるだけで、マトリクス認証と同等以上のセキュリティ強度を実現できます。
クラウドアプリケーション、Webアプリケーション、VPN装置、仮想デスクトップ (VDI) など様々な環境に対応しています。

■ポリシーおよびユーザー管理
全てのユーザールールを定義し、管理するポリシーエンジンを備えており、ユーザーアカウントを管理するための様々な管理および運用ツールを提供します。これらのツールにより、ポリシーを定義し、同時に定義したポリシーが組織にとって適正かどうかを確認できます。
・ユーザーポリシーを管理するためのきめ細かい設定メニュー。従来型のOTPまたはPINsafeによる保護を選択可能。
・ユーザーの設定と削除を管理し、ユーザーを簡単に追加・削除
・Active Directoryとの直接的な統合をサポートし、グループ毎の管理
・ユーザーが自分で設定できるようなツールを豊富に用意。(アカウントのリセット、PINの変更など)
・アカウントのリセットやPINのリセット機能により、ヘルプデスクの運用をシンプル化

■認証インターフェース
・完全なRADIUSサポート (PAP, CHAP, MSCHAP v2, EAP-MD5およびLEAPプロトコルを含む)
・RADIUSチャレンジ-レスポンスおよびRADIUS PIN変更をサポート
・ベンダー独自の属性をサポート
 
■その他の認証インターフェース
・Agent-XML (http(s)上のXMLベースのAPI)
・追加ソフトによるADFS/SAML v2のサポート

■運用インターフェース
・ユーザーリポジトリとの同期のためのLDAP
・LDAP、LDAPSおよびGlobal Catalogueのサポート
・ロギング: XMLベースおよびSyslogベースのロギング
・レポート: CSVおよびXMLフォーマットでのカスタマイズ可能なレポートを用意 (定期的なレポート出力/オンデマンドでの出力)
・Webベースの管理/ヘルプデスクコンソール
・システム警告のメールアラート

【導入形態】
Swivel PINsafeは、お客様サイトへの様々な形態でのデプロイメント(配備)を可能にするよう設計されており、あらゆる一般的なネットワーク環境と簡単かつ迅 速に統合できます。仮想アプライアンスやソフトウェア版などの形態をサポートしており、最大限の柔軟性を最小のコストで 提供します。

特徴

【特長1】柔軟かつ強力な二要素認証
PINsafeは、柔軟な2要素認証で、且つ標準的なUNPプロセスに強力なセキュリティを付加することが可能です。Active-Active、Active-Active+DRといった様々なHA構成を取ることができ、冗長構成やディザスタリカバリー(災害復旧)の構成を容易に構築可能です。Check Pointなど主要なVPN装置に加え、Salesforce、Office 365やGoogle Appsなどのクラウドサービスとも容易に連携できます。

また、Juniper, Citrix, Cisco, Microsoft, Check Point, SonicWall そして Netgearなどの主要なVPNおよびリモートアクセス製品とそのまま統合できるよう、CCTMの認証を受けています。J2EE、LAMPおよ び.NetなどのWebアプリケーションともシームレスに統合できます。

PAP, CHAP, MSCHAP v2, LEAP などのRADIUSベースの認証プロトコル、およびクラウドアプリ向けのSAMLやADFSベースの認証をサポートしています。独自のXMLベース のAPIも提供しており、これはActive Directory(スキーマの変更は不要)やSQLデータベースなどのような既存のお客様のリポジトリと同期させることができ、ユーザーのプ ロビジョニング(設定)とデプロビジョニング(削除)を迅速に行えます。

Swivel仮想アプライアンスはVMwareESX、ESXi、WorkstationおよびPlayerフォーマットでダウンロードできます。 Microsoft HyperVおよびCitrix Xen用のバージョンも用意されており、既存の仮想化環境に簡単に配備することができ、全てのソフトウェアが読み込まれた状態です。

また、Disaster-Recovery(災害復旧)またはDatabase-Slaves(スレーブデータベース)機能を追加することができます。この構成では、Swivel仮想アプライアンスのデータベースはマスターデータベースからの一方向のレプリケーションになり、スレーブデータベースでユーザーがPINを変更した場合などにはマスターデータベースへのレプリケーションは行われません。このソリューションは、災害などでメインサイトの機能が完全に失われた場合のバックアップ目的のサイト構築などに活用できます。

【特長2】覚えやすく簡単
Swivel PINsafeはトークンを使わない上に見やすく覚えやすい、まったく新しい 2 要素認証ソリューションで、パターンなどを覚える必要が無いにもかかわらず、マトリクス認証と同等かそれ以上のセキュリティ強度を実現できます。

ユーザーにランダムな数字からなる文字列をSMS、モバイルアプリ、Web宛に都度、または事前に送ります。ユー ザーはあらかじめ決めてあるPIN (personal Identification Number)とその文字列をつきあわせてワンタイムコードを自分で生成し、利用します。

■TURing(ます目で分割された文字列)
チューリングで10桁の文字列を表示
毎回異なる文字列を表示
ユーザーは自分のPIN番号の文字を選択
総当り方式のハッキングやその他攻撃に対応

例えば、下図では、ユーザーがあらかじめ決めたPINを「2457」とした場合に、生成されるワンタイムコードが「7f64」であることが示されています。コス トのかかるハードウェアトークンが完全に必要無くなるだけでなく、Active Directoryにユーザーを追加・削除するだけで運用できるため、導入・管理コストも大きく下げることができます。

■PINpad
10桁のPINパッドで文字列を表示。文字列のデザインは変更可能
毎回異なる文字列を表示
ユーザーはマウスでPIN番号に対象文字をクリック、OTCを入力
総当り方式のハッキングやその他攻撃に対応

例えば、下図では、ユーザーがあらかじめ決めたPINを「2457」とした場合に、生成されるワンタイムコードが「7f64」であることが示されています。コス トのかかるハードウェアトークンが完全に必要無くなるだけでなく、Active Directoryにユーザーを追加・削除するだけで運用できるため、導入・管理コストも大きく下げることができます。

【特長3】豊富な実績
PINsafeは主にEUを中心に30カ国1000社以上の導入実績があり、あらゆる規模・業界の企業に適用可能です。