コンテンツへスキップ
概要

ある大規模な州政府の情報技術サービス機関は、数十の州機関に所属する14万5,000人以上のユーザーのID管理とアクセス制御を担当しており、その中には、システムが刑事司法情報サービス(CJIS)の厳格なセキュリティ要件を満たさなければならない法執行機関も含まれている。.  

RSAの長期にわたる顧客である同機関は、長年にわたりRSA SecurIDおよびAuthentication Managerを信頼し、オンプレミス環境の保護に活用してきました。 次に必要だったのは、今後の道筋、すなわち、その信頼できる基盤をクラウドファーストのMicrosoft環境へと拡張し、ユーザー数の増加に伴い増大していたヘルプデスクの負担を解消し、ゼロトラスト戦略に必要なフィッシング攻撃に耐性のあるパスワードレス認証体制を構築する方法でした。. 

同機関は、RSAによってその道筋を見出しました。 同機関は、既存のシステムを置き換えるのではなく、その機能を近代化しました。具体的には、RSA ID Plusを用いて既存のRSAプラットフォームをクラウドへ拡張し、RSA ID Plus Primeによってセルフサービス機能とライフサイクル自動化を追加し、さらにRSA Help Desk Live Verifyを導入することで、大規模組織において最も悪用されやすい脆弱性の1つである ヘルプデスクそのものです。その結果、FedRAMP認定、FIPS 140-3準拠、CJISに準拠したID管理プラットフォームが実現しました。このプラットフォームは「Microsoft Entra Identity」と連携し、単一の統合コンソールからクラウド、ハイブリッド、オンプレミスのリソースを保護します。. 

この機会

州政府のIT組織は、その規模の大きさゆえに、ID管理の近代化が喫緊かつ複雑な課題となっています。この機関だけでも、数十の組織にまたがる14万5,000件以上のユーザーIDを管理しており、各組織ごとにリスクプロファイル、コンプライアンス上の義務、認証要件が異なります。 インフラの中核をなすMicrosoft環境は大幅に拡大しており、現在ではMicrosoft 365およびMicrosoft Entra Identityが、企業全体のクラウドベースのワークロードへのアクセスを管理しています。 一方で、オンプレミスシステム、RADIUSに接続されたネットワークアクセス、レガシーアプリケーション、およびクラウドに移行できない高セキュリティ環境は、依然として日常業務に不可欠なものでした。. 

Microsoftは独自のエコシステム内で強力なID管理機能を提供していますが、Entraに制限があった分野は、まさにこの機関のリスクが集中していた分野でもありました。 ハイブリッドおよびオンプレミスのワークロード、ハードウェアトークン認証を必要とするレガシーアプリケーション、エアギャップ環境やRADIUSに依存する環境、そしてFIPSやCJISのコンプライアンス要件を伴う高保証レベルのユースケースなどです。これらの脆弱性のギャップを埋めるには、Microsoftの限界を補完するために特別に設計されたプラットフォームが必要でした。 FedRAMP認定を受けたMicrosoft Entraの補完ソリューションであるRSA ID Plusこそが、そのプラットフォームでした。. 

課題

同機関の既存のID管理インフラは、オンプレミス型のRSA認証ソリューションの旧バージョンで稼働していました。その旧ソリューションは、およそ 109,000個のソフトウェアトークン また、 36,000個のハードウェアトークン. これまで信頼性の高いシステムではあったものの、同機関の増大するニーズに対応するにはもはや不十分となっていた。ビジネス上重大ないくつかの問題が発生していた: 

  • ヘルプデスクの負担: 認証情報のリセットや新規採用者のシステム登録に関する問い合わせにより、ヘルプデスクには毎月およそ2,500件の問い合わせが寄せられていました。 従来のソリューションに組み込まれたセルフサービス機能は、カスタマイズ性が限られており、その件数を削減する手段もなかった。さらに悪いことに、ヘルプデスク自体がセキュリティ上のリスクとなっていた。正当なユーザーを装い、サポートチャネルを通じてアクセス権を取得しようとするソーシャルエンジニアリング攻撃が、未解決のリスクとして存在していた。. 
  • ゼロトラストとフィッシング対策機能を備えた多要素認証(MFA): 同機関のゼロトラスト・イニシアチブでは、クラウドネイティブシステムだけでなく、すべての環境においてフィッシング攻撃に耐性のある認証が求められていました。 従来のOTPやパスワードベースの認証フローではこの要件を満たすことができなかったため、同機関は、既存のトークンへの投資を維持しつつ、プッシュ通知、生体認証、QRコード、およびFIDO2およびFIDO認定のハードウェア認証デバイスへの対応を拡大する必要がありました。. 
  • コンプライアンスおよび認証: 同機関内の法執行機関では、一元化された監査証跡とリアルタイムのレポート機能を備えた、CJIS準拠の認証が求められていました。連邦政府の整合性要件により、FedRAMP認定ソリューションの採用が指し示されていました。高度なセキュリティが求められるユースケースでは、FIPS 140-3認定のハードウェア認証装置が必要とされていました。.
  • 報告およびガバナンス: 手作業によるスプレッドシートベースの報告では、全社にわたる監査およびコンプライアンスの要件に対応できるほど拡張性がありませんでした。 14万5,000人のユーザー. 。同機関は、認証イベント、トークンのライフサイクル状況、およびユーザーの活動状況について、リアルタイムかつ自動化された可視性を必要としていた。. 

この近代化では、これらすべての課題を一度に解決する必要があり、しかも、従業員に混乱をもたらすような「全面的な入れ替え」を強いることなく、それを実現しなければならなかった。 14万5,000人のユーザー RSA認証についてすでに理解している。. 

なぜRSAなのか

RSA ID PlusはFedRAMPの認定を受けており、以下の用途向けに特別に設計されています。 極めて複雑な ハイブリッド環境. Microsoft Entraと連携しています アイデンティティ SAMLおよびOpenID Connectを活用し、Microsoft 365、クラウドホスト型アプリケーション、およびオンプレミスシステムにわたり、一貫した認証ポリシーを適用します。Microsoftのアイデンティティ層を置き換えることなく、また、機関が2つの別々のコンソールを管理する必要もなく実現できます。EntraがMicrosoftクラウドをカバーする一方で、RSAはその他のすべて、すなわちRADIUS、レガシーアプリケーション、エアギャップ環境、およびクラウドネイティブツールが提供する保証レベルよりも高い保証を必要とするワークロードをカバーします。. 

“「当機関は、Microsoft環境の保護とRSAへの投資の維持のどちらかを選ばなければならないという状況にはなりませんでした。RSA ID Plusにより、その両方を同時に実現することができたのです。」”

RSAは、単機能ソリューションでは提供できないもの、すなわちヘルプデスクの問題に対する包括的な解決策も提供しました。 RSA Help Desk Live Verify(特許出願中)は、ヘルプデスクでのやり取りにおいて双方向かつパスワード不要の本人確認機能を提供し、ヘルプデスクスタッフとユーザーが、PINや共有秘密鍵、あるいは調査やソーシャルエンジニアリングによって解明されかねない知識ベースの質問を用いることなく、互いの身元を確認できるようにします。管理を行う機関にとっては 14万5,000人のユーザー 数十の組織にわたり、「Help Desk Live Verify」は、多要素認証(MFA)の導入拡大だけでは決して解消できなかった体系的な脆弱性に対処しました。. 

同機関における最高レベルの保証が求められるユースケース、CJISの対象となる環境、法執行機関のシステム、およびFIPS認定ハードウェアを必要とする役割向けに、RSAは「RSA iShield Key 2」シリーズを提供しました。 FIPS 140-3 レベル 3 認証を取得した FIDO2 認定ハードウェア認証デバイスであり、フィッシング攻撃に耐性のあるパスワードレス認証をサポートし、大統領令 14028、OMB M-22-09、および M-24-14 の要件を満たしています。 評価対象となった他のベンダーの中には、RSAが提供したハイブリッドな広範な機能と併せて、このレベルのハードウェア保証を提供できる企業は他にありませんでした。. 

解決策

この婚約は、以下の取り組みを通じて実現しました。 サンダーキャット・テクノロジー ソリューションの販売代理店として、そして Carahsoft Technology Corp 両社は販売代理店として、公共部門の調達における豊富な経験を本プログラムに活かしました。RSA Professional Services社は、12か月間にわたり、当該機関の現場に常駐する専任のハーフタイムコンサルタントを1名派遣し、設計、導入、および全工程にわたるノウハウの移転を担当しました。. 

導入は2段階に分けて行われました。第1段階では、RSA ID Plusをハイブリッドクラウドモデルで導入し、組み込み型のIdentity Routerを通じて、同機関のレガシーRSA認証ソリューションをRSAクラウドプラットフォームに接続しました。 既存のハードウェアおよびソフトウェアトークンは、再登録を行うことなく引き継がれました。Microsoft Active DirectoryおよびLDAPがIDソースとして統合されました。認証ポリシーは、SAMLおよびOIDCを介してMicrosoft EntraおよびMicrosoft 365に拡張されました。 従来のトークン環境に加え、プッシュ通知、生体認証、QRコード、FIDO2、FIDO認定ハードウェアなど、最新の認証手段がすべて利用可能になりました。同機関は、初のシングルサインオン(SSO)ポータルを導入しました。.  

第2フェーズでは、RSA ID Plus Primeがプラットフォーム上に導入されました。Primeのセルフサービスポータルが従来のAuthentication Managerコンソールに取って代わり、既存のワークフローを反映するように構成されたため、移行に伴う再トレーニングは最小限で済みました。 ヘルプデスク管理ポータルにより、サポートスタッフには専用のインターフェースが提供され、RSA Help Desk Live Verifyがソーシャルエンジニアリングに対するセキュリティ対策を強化しました。Prime AMIS統合フレームワークにより、手動によるレポート作成が、自動化されたリアルタイムのAPI、ワークフロー、および監査機能に置き換えられました。 同機関が既に導入していたID確認ソリューションである「Socure ID Proofing」のフロントエンドとして「Prime Identity Verification Portal」を利用した本人確認により、エンドユーザーへの手厚いIT介入を必要とすることなく、新規ユーザーのオンボーディングおよび認証情報の回復ワークフローのセキュリティを確保し、効率化を図りました。. 

成果とビジネスへの影響

この近代化により、セキュリティ態勢、業務効率、コンプライアンス対応態勢という3つの側面において成果が得られた。. 

セキュリティとコンプライアンス 

  • 企業全体でのフィッシング対策機能を備えた多要素認証(MFA): 同機関は、従来のワンタイムパスワード(OTP)から、フィッシング対策機能を備えた認証手段のフルスイート(プッシュ通知、生体認証、QRコード、FIDO2、およびFIPS 140-3認定ハードウェア)へと移行し、これらを単一のコンソールからクラウド、ハイブリッド、オンプレミス環境を横断して管理できるようにしました。 これにより、ゼロトラストの要件を満たすとともに、法執行機関のシステムにおける高信頼性認証に関するCJIS要件にも対応しました。.
  • FedRAMPとFIPSの整合性: RSA ID PlusのFedRAMP認定は、同機関が要求していた連邦政府のコンプライアンス基準を満たしていました。 最高レベルの保証が求められるユースケースにおいては、RSA iShield Key 2のFIPS 140-3レベル3認証が、大統領令14028号およびOMB M-22-09の要件を満たしており、Microsoftの標準ツールセットにはこれに相当するものが存在しませんでした。. 
  • ヘルプデスクにおけるソーシャルエンジニアリングのリスクを排除: RSA Help Desk Live Verifyは、ナレッジベースの認証を双方向のパスワードレスな本人確認に置き換えることで、ヘルプデスクを標的とした攻撃経路を封じ込め、ユーザーもサポートスタッフもソーシャルエンジニアリングによって認証情報が漏洩する事態を防いでいます。. 

業務の改善 

  • ヘルプデスクへの問い合わせ件数が減少: 「Prime Self-Service Portal」により、ユーザーはIT部門の介入なしに、自身の認証情報を管理したり、認証手段を登録したり、オンボーディング手続きを完了したりできるようになりました。同機関では、ID関連の問い合わせによるヘルプデスクへの問い合わせ件数が、月間2,500件減少すると見込んでいます。.
  • リアルタイムのレポート作成と監査対応体制: Prime AMISフレームワークによる自動化されたレポート機能により、手作業によるプロセスが置き換えられ、コンプライアンスチームは認証イベント、トークンのライフサイクル状況、およびユーザーアクティビティをリアルタイムで把握できるようになりました。これは、同機関の法執行機関全体におけるCJIS監査義務の履行にとって極めて重要です。. 
  • 業務に支障をきたさない近代化: 同機関が保有する10万9,000個のソフトウェアトークンと3万6,000個のハードウェアトークンは、そのまま維持・引き継がれました。 14万5,000人のユーザー全員に対し、再登録は不要でした。新しいセルフサービスポータルは、既存のワークフローを反映するように設定されました。エンドユーザーにとって、この移行は業務の混乱ではなく、改善として受け止められました。. 
  • 大規模環境における高可用性: このハイブリッド型高可用性アーキテクチャにより、インフラを追加することなく、クラウド、オンプレミス、RADIUSを含むすべての認証パスにおいて耐障害性が確保されました。. 

Microsoft環境の強化 

  • Entraが必要としていたセキュリティ層としてのRSA: RSA ID Plusは、単一の統合を通じて、Microsoft 365、Azureワークロード、およびオンプレミスシステムにわたり認証ポリシーを拡張し、Microsoft Entra単独では提供できなかったハイブリッド環境のカバー範囲、ハードウェアの保証、およびコンプライアンスの徹底を実現しました。 RSA/Microsoft Entra 外部認証方式(EAM)の統合により、既存の Microsoft への投資をそのまま維持しつつ、統合された環境全体でセキュリティ水準を引き上げることができました。. 
  • 両プラットフォームで統一されたユーザー体験: RSA My Page SSOポータルは、ワークロードがMicrosoft 365にあるか、オンプレミスシステムにあるかに関わらず、ユーザーに一貫した認証インターフェースを提供しました。ポリシーは、環境に関係なくユーザーに紐付けられていました。. 
今後の展望

同機関が現在運用しているプラットフォームは、将来的な拡張を想定して設計されています。このハイブリッドアーキテクチャにより、アーキテクチャの再構築を行うことなく、新たな機関、ユーザー、ユースケースを吸収することが可能です。FIDO2、本人確認機能、およびFIPS認証取得済みのハードウェア機能が整備されており、州の各機関に拡大するパスワードレス化の要件に対応しています。 RSAプロフェッショナル・サービスの常駐支援を通じて行われる知識移転により、同機関の職員が独自にプラットフォームを運用・拡張できるようになります。. 

長年にわたりRSAを信頼し、一からやり直すことなく近代化を図る必要があったある州政府機関にとって、今後の道筋は、すでに築いていたパートナーシップを直接活用すること、そしてそのおかげで現在では格段にセキュリティが強化されたMicrosoft環境を通るものでした。. 

ソリューションパートナー

本プロジェクトは、以下の組織との提携により実施されました。 サンダーC 公共部門向けテクノロジーの主要な再販業者であるTechnology社と、米国最大級の政府向けITディストリビューターの一つであるCarahsoft Technology Corp。. サンダーC また、カラソフトが州および連邦政府の調達プロセスを円滑に進めてきた実績が、この近代化プログラムの契約を効率的に締結する一助となったまた、RSAエコシステムへの継続的な関与は、全米各地で進められている公共部門のID関連の取り組みを支えています。. 

ご興味のある方は

デモをリクエスト

RSAにご関心をお寄せいただき、ありがとうございます。
デモのお問い合わせ