IceWall MFA
多要素認証基盤
IceWall MFA とは
IceWall MFAは、アプリケーションやクラウドサービスを改修せずに、多要素認証による認証強化を実現します。また、Webシングルサインオン(SSO)の機能も有しているため、認証強化とSSOを同時に実現します。
MFA:Multi Factor Authenticationの略
このようなお悩みはありませんか?
- 課題
- 解決
-
課題
- 多要素認証導入には、既存Webアプリのシステム改修が必要となり、改修できないアプリは認証強化できない。さらに、改修コストがWebアプリの台数分必要となる
-
解決
IceWall MFAは、Webアプリを改修することなく認証強化を実現可能
-
課題
- 既存のSSOシステムが多要素認証に対応していない場合、実現性の検討や開発などが必要となり認証強化を実現するまでには時間やコストがかかる
-
解決
IceWall MFAは、SSOと認証強化を1つで実現可能
-
課題
- 社内・社外からのアクセスや、アクセス先のWebアプリに応じて、認証方式を変えたり追加認証を行いたいが改修コストがかかる
-
解決
IceWall MFAは、アクセス元やアクセス先に応じた認証方式を実現可能
-
課題
- ユーザーIDとパスワードを用いた認証では、パスワードの漏洩などによる不正アクセスのリスクがある
-
解決
IceWall MFAは、パスキー認証や生体認証によるパスワードレスの認証が可能
多要素認証基盤 IceWall MFA の概要
IceWall MFAは、多要素認証(Multi Factor Authentication)で認証を強化できるソリューションです。
IceWall MFAがWebアプリやクラウドサービスへのログインを代行するため、アプリケーションやクラウドサービスを改修せずに、広い範囲のWebアプリやクラウドサービスを容易に多要素認証化することができます。
提供方法は、買い切りやサブスクリプション*などご要望に応じた対応が可能です。
以下に構成イメージと特長を示します。
- *HPE GreenLake with IceWallでの提供
多要素認証基盤 IceWall MFA の特長
特長1:さまざまな認証方式をサポート
IceWall MFAでは下記のとおり各種認証方式をサポートしているため、ID/パスワードだけではなくさまざまな認証方式を利用することができます。
また、認証方式はプラグイン方式で追加することができ、プラグイン仕様が公開されていることから、下記以外の認証方式もサポートしていくことが期待されます。
-
FIDO*準拠の認証デバイス
「FIDO U2F セキュリティキー」などの標準デバイスが使用可能
- *FIDO Alliance(Fast IDentity Online Alliance)は、生体認証などを利用した新しいオンライン認証技術の標準化をめざして発足した非営利の標準化団体、業界団体
-
パスキー*
あらかじめIceWall MFAと紐づけた認証機(スマートフォンやPCなど)を用いて、さまざまなシステムやアプリケーションにパスワードレスでログイン可能。
- *FIDO2オプションにて対応
-
ワンタイムパスワード
以下3つの方式で一時的なパスワードを通知・確認し、使用可能
-
ソフトウェアトークン
標準規格であるOATH(initiative for Open AuTHentication)に対応した登録済みのソフトウェアトークンでワンタイムパスワードを生成
-
メール
登録済みのメールアドレスへワンタイムパスワードを通知
-
SMS
登録済みの電話番号へSMS(Short Message Service)*にてワンタイムパスワードを通知
- *別途KDDI ウェブコミュニケーションズ社提供のTwilioの契約が必要となります。
-
-
ブラウザトークン
一度多要素認証を行った端末のブラウザーでは、2回目以降の多要素認証を省略
-
統合Windows®認証
Windowsドメインにログインしているクライアントからの認証を統合
-
IceWall FIDO2
「FIDO2」の仕様にもとづき各種デバイス標準の生体認証(指静脈認証、顔認証、指紋認証など)と連携可能
-
その他
認証プラグインモジュールの追加で各種認証方式に対応可能
特長2:認証方式を各種条件によって動的に決定
アクセス元やアクセス先、ユーザー属性に応じた認証方式の設定(認証ポリシー設定)が可能で認証ポリシーの設定にしたがって、認証方式が動的に決定されます。
認証方式は複数の方式の中からユーザーに選択させることも可能なためユーザーによって保持するデバイスがOTPやU2Fといった異なる場合でも対応できます。
ポリシー例(1):アクセス元(社内・社外)に応じて認証方式を変更
下記例では、同じユーザーであっても、社外アクセスと社内アクセスのときで認証方式が異なることを示しています。
ポリシー例(2):アクセス先のコンテンツ(URL)に応じて認証方式を変更
下記例では、アクセスするWebアプリによって認証方式が異なることを示しています。
ポリシー例(3):ユーザー属性に応じて追加認証方式を変更
下記例では、ユーザー属性によって追加の認証方式が異なることを示しています。
ポリシー例(4):特定コンテンツアクセス時に追加認証
下記例では、Webアプリ内のコンテンツによって認証方式が異なることを示しています。
特長3:Webアプリ・クラウドサービスの改修をすることなく多要素認証化を実現
IceWall MFAがWebアプリやクラウドサービスへのログインを代行するため、 Webアプリやクラウドサービスの改修なく広い範囲のWebアプリやクラウドサービスを容易に多要素認証化することができます。
下記例では、Webアプリ内のコンテンツによって認証方式が異なることを示しています。
特長4:外部サービスとの認証連携でユーザーに負担をかけることなく容易に多要素認証を実現
OIDC認証オプションにより、SNSやIDaaSなどの外部の認証サービスをIceWall MFAの認証方式の1つとして利用することが可能です。IceWall MFA用に新たにID・パスワードを用意・記憶する必要がなくなるため、ユーザーの負担を軽減。多要素認証を容易に実現します。
OIDC認証オプション利用時のイメージ
特長5:Windows Hello、Apple Touch ID、Apple Face ID、各Androidデバイスの生体認証に対応
標準規格である「FIDO2」および「W3C Web Authentication」に対応しています。各種デバイスに搭載されている生体認証との連携により、認証機器の追加コストなしでのパスワードレス認証や、ほかの認証方式と組み合わせた多要素認証が可能です。SaaS(Software as a Service)などのWebアプリケーションにおける認証強化を実現します。
Web API機能により、Webアプリケーションだけでなく、ネイティブアプリケーション*における認証強化も可能です。ネイティブアプリケーションと通信を行う場合は、JSON*形式でデータのやりとりを行います。
- ※Web API機能は、「IceWall MFA 4.0 MFAコントローラー Patch Release 7」以降のMFAモジュールで動作します。
- *ネイティブアプリケーション:App StoreやGoogle Playなどのアプリケーションストアからインストールして使用するアプリケーション
- *JSON:JavaScript Object Notation
また、ネイティブアプリケーションで「FIDO2」や「W3C Web Authentication」による認証を実装するためのライブラリも提供しています。
特長6:リスク分析の結果に応じて認証方式を動的に決定
アクセス元端末のIPアドレスなど、ブラウザーから得られる情報をもとにリスクを分析し、その評価に応じた処理を行うリスクベース認証が可能です。分析の結果、高リスクだと判定された場合はアクセスを拒否、または追加の認証を要求します。認証方式には、ID・パスワード認証だけでなく、FIDO認証、ワンタイムパスワードなど、IceWall MFAが対応するものを組み合わせることができます。
運用例(1):許可リストにあるIPアドレスからアクセスされた場合、追加認証が不要
運用例(2):通常ではID・パスワードとOTPで認証するが、成功履歴にあるデバイスからアクセスされた場合はOTPでの認証が不要
IceWall MFAと関連のあるソリューションのご紹介
(1)Microsoft Entra ID
概要
Microsoft Entra IDをIceWall MFAと連携させることで、SSO対象システムをSAML非対応システムにまで拡充することができます。リバースプロキシサーバーをDMZに構築することにより、社内システムへのリモート接続を含めたSSOを実現します。
(2)HPE GreenLake with IceWall
概要
HPE IceWallのライセンス費用を月額課金で提供します。
サーバーやストレージのハードウェア費用は使用量に応じた従量課金となるため、導入コストの低減やユーザー数に応じた柔軟な利用を実現します。詳細はお問い合わせください。
(3)指静脈認証システム 静紋
概要
指静脈を利用した生体認証装置です。
IceWall MFAの認証方式として、指静脈認証をサポートしており導入実績もあります。
利用シーンとしては、IceWall MFAへの認証時に指静脈認証を必須とするといったことが可能です。
(4)指紋認証ソリューション UBF
概要
スイープ型指紋センサーを搭載した、Windows 向け指紋認証システムです。
IceWall MFAとの連携技術レポートが公開されております。
(5)Webシングルサインオンソリューション IceWall SSO
概要
Webアプリへのシングルサインオンを実現するソリューションです。
なお、リンク先のURLには提案事例として複数の認証方式との連携を記載しておりますがすべて個別開発を行い実現する前提です。
- ※IceWall MFAは日本ヒューレット・パッカード株式会社の製品です。
価格
個別にお見積もりします。下記ボタンよりお問い合わせください。
最終更新日:2024年10月1日