およそ13,000の組織が、3,000万人のユーザーが本人であることを確認するためにSecurIDを使用している。 SecurIDソフトウェア 認証機能は、お客様がいつでも、どのような場合でも動作し、各企業が独自のアイデンティティ課題に対処するために必要なシンプルさ、セキュリティ、利便性を提供します。
しかし、信頼されるIDプラットフォームであるということは、以下を確実にサポートできることを意味する。 すべての SecurID ソフトトークンの使用と管理は簡単ですが、時にはハードトークンが最適な場合もあります。
組織がハードトークンの使用を選択する理由はいくつかある:
- ハード・トークンは、暗号材料(シード)に対してより高い保護を提供し、マルウェアがトークンにアクセスする可能性を低減する。
- ソフト・トークンは通常、スマートフォンに搭載される。ほとんどのユースケースでは便利だが、高度に管理された環境や機密性の高い環境にスマートフォンを持ち込むことは、場合によっては不可能だ。
- 従業員が私用のスマートフォンに業務関連のソフトウェアをインストールすることを望まない、または許可されない場合がある。
しかし、ハードウェアを配布しにくくしたり、扱いにくくしたり、管理しにくくしたり、交換しにくくしたりする必要はありません:SecurIDハードトークンは、クラウドから割り当て、有効化、無効化、設定が可能です。
ユーザーは、SecurID Accessクラウド認証サービスのマイページからPINをリセットすることもできる。この機能だけでも大きな節約になる。 50% ITヘルプデスクの費用のうち、パスワードのリセットに割り当てられている。
私はSecurIDの顧客がIAMプロセスを設定するのを20年近く支援してきたが、今ではどの企業にも独自のIDニーズがあることは明らかだ。最近の ウェビナー, ハードトークンとソフトトークンのどちらを選択するかを決定する際に、企業が考慮すべき要因のいくつかをお話ししました。これは重要な問題であり、企業が多くの時間をかけて検討する問題でもある。
同じように重要でありながら、見落とされがちなもうひとつの疑問は、「ユーザーにどのように認証者を割り当てるべきか」ということだ。
なぜなら、これは企業が自社のニーズに合ったIAMプロセスを開発するもうひとつの機会だからだ。
企業はこのステップを管理するために、2つの方法から選ぶことができる:
これは、すでに安全な配信メカニズムを持っている企業にとっては良い方法である。
このシナリオでは、管理者が特定のトークンを特定のユーザーに割り当て、そのトークンをユーザーに発送します(理想的には、改ざんできないように梱包します)。この場合、管理者はトークンを大量に発送することができないため、コストは少し高くなります。
管理者は、無効化されたトークンをユーザーに発送し、ユーザーが受領を確認した後に有効化することができる。ユーザーは自分のトークンだけを受け取ることができる。
この方法は、セキュリティチームが割り当てプロセス中にユーザーを安全に認証する方法を持っている場合に最も効果的です。また、費用対効果も高いです。未割り当てのトークンを大量に用意しておき、すべてのユーザーが受け取ることができます。トークンを郵送するだけでも簡単です。誰かが各受領者にトークン(利用可能なトークン)を1つずつ郵送するだけです。どのトークンがどのユーザーに送られるかを心配する必要はありません。
あるいは、ユーザーはFIDO2トークンを含む独自のトークンを購入することもできる。
より厄介なのは、トークンを特定のIDにバインドすることであり、これは安全に行われる必要がある。さらに、ビジネスがトークンに置く信頼は、ユーザーが登録時に作成する最初の信頼よりも大幅に高くすることはできません。トークンを認証するために使用される「登録の信頼」がどの程度のものであれ、そのトークンのライフタイムを通じてそのトークンの制限要因となる。
要するに、どちらの方法も有効であり、ハードウェアトークンを配布するための「最良の」モデルは存在しないということだ。
より長い答えは、広義のIAMと同様に、配布と認証はビジネス・ニーズを満たすべきだということだ。組織は実用的なソリューションを必要としている。 十分 そして安全 十分 ユーザーの行動のバランスをとり、最も起こりやすく、最も頻繁で、最も影響力のあるセキュリティ上の懸念に対処する。
この2つの方法のうち、「割り当ててから配布する」方がより安全であるという主張が成り立つかもしれない。完璧な世界では、トークンと特定のユーザーを照合するためにシリアル番号を使用することは、変数を減らし、最初から認証を制御するための有用な方法となり得る。
しかし、『割り当ててから分配する』ではダメだ。 支払いを余儀なくされる の方がより安全である。分配し、それから割り当てる」は、あなたのチームのニーズを満たすのに十分安全で実用的かもしれない。
また、どのような方法であれ、実用的でなければいくらセキュリティを強化しても意味がないことを忘れてはならない。これが、従業員に記憶と管理を求める理由のひとつである。 平均100のパスワード を作成することができます。 組織にとって重大な脆弱性.
もうひとつの要因は、我々の多くがCOVID-19に適応しようとしていることだ。 仕事 どのように 投票.今日、チームにオフィスに集まってトークンを受け取るように頼むのは、理想的でも安全でも現実的でもないかもしれない。
SecurIDのお客様にとって朗報なのは、「割り当ててから配布する」、「配布してから割り当てる」のどちらを選択しても、SecurIDハードウェアトークンは両方に対応できるということです:SecurID Accessは両方に対応できる。
実際、当社のハードウェア・トークンは、可能な限りソフトウェアのような柔軟性を提供するように設計されている:
- SecurID Accessクラウド認証をご利用のお客様は、どこからでもSecurID 700トークンを登録・管理できます。
- 新しいトークンの追加は簡単で、管理者はXMLシードファイルをアップロードし、対応するパスワードを入力するだけでよい。
- トークンの無効化も簡単です。管理者は、期限切れのトークンを一括削除するか、削除する特定のトークンのシリアル番号を指定することができます。
- 登録後、管理者は組織のニーズに応じてユーザーのPINとロックアウトポリシーを設定することができます。管理者は、ロックアウトやPINリセットに関するEメール通知の有効・無効を選択することもできます。
- 管理しているトークンの数や所有者を調べる必要がありますか?それも簡単です。インポートしたすべてのトークンに関するレポートを作成するだけです。このレポートでは、トークンのシリアル番号、種類、有効期限、ステータス、割り当てユーザーなども確認できます。
- セキュリティチームは、必要に応じて保証レベルを調整することもできます。 リスクベース認証 ステップアップの必要性を減らし、安全性を犠牲にすることなく利便性を高める。
これらのトークンは、Web アプリケーション、RADIUS、SecurID 多要素認証 (MFAWindows10とMacOSを含む)エージェント。
実際、SecurIDハードウェアトークンは、クラウドから管理できるハードウェアトークンの一種類に過ぎません。FIDO U2FまたはFIDO2と互換性のあるトークンであれば、SecurID Accessクラウド認証サービスを介して管理することができます。
どのような組織を選択するにしても、IAMソリューションがどのようなニーズにも適応できることを確認してほしい。
ハードウェアから「ハード」を取り除きたい? お問い合わせ ハードウェア・トークンの簡単さをご覧ください。
