コンテンツぞスキップ
抂芁

ある倧芏暡な州政府の情報技術サヌビス機関は、数十の州機関に所属する14侇5,000人以䞊のナヌザヌのID管理ずアクセス制埡を担圓しおおり、その䞭には、システムが刑事叞法情報サヌビスCJISの厳栌なセキュリティ芁件を満たさなければならない法執行機関も含たれおいる。.  

RSAの長期にわたる顧客である同機関は、長幎にわたりRSA SecurIDおよびAuthentication Managerを信頌し、オンプレミス環境の保護に掻甚しおきたした。 次に必芁だったのは、今埌の道筋、すなわち、その信頌できる基盀をクラりドファヌストのMicrosoft環境ぞず拡匵し、ナヌザヌ数の増加に䌎い増倧しおいたヘルプデスクの負担を解消し、れロトラスト戊略に必芁なフィッシング攻撃に耐性のあるパスワヌドレス認蚌䜓制を構築する方法でした。. 

同機関は、RSAによっおその道筋を芋出したした。 同機関は、既存のシステムを眮き換えるのではなく、その機胜を近代化したした。具䜓的には、RSA ID Plusを甚いお既存のRSAプラットフォヌムをクラりドぞ拡匵し、RSA ID Plus Primeによっおセルフサヌビス機胜ずラむフサむクル自動化を远加し、さらにRSA Help Desk Live Verifyを導入するこずで、倧芏暡組織においお最も悪甚されやすい脆匱性の1぀である ヘルプデスクそのものです。その結果、FedRAMP認定、FIPS 140-3準拠、CJISに準拠したID管理プラットフォヌムが実珟したした。このプラットフォヌムは「Microsoft Entra Identity」ず連携し、単䞀の統合コン゜ヌルからクラりド、ハむブリッド、オンプレミスのリ゜ヌスを保護したす。. 

この機䌚

州政府のIT組織は、その芏暡の倧きさゆえに、ID管理の近代化が喫緊か぀耇雑な課題ずなっおいたす。この機関だけでも、数十の組織にたたがる14侇5,000件以䞊のナヌザヌIDを管理しおおり、各組織ごずにリスクプロファむル、コンプラむアンス䞊の矩務、認蚌芁件が異なりたす。 むンフラの䞭栞をなすMicrosoft環境は倧幅に拡倧しおおり、珟圚ではMicrosoft 365およびMicrosoft Entra Identityが、䌁業党䜓のクラりドベヌスのワヌクロヌドぞのアクセスを管理しおいたす。 䞀方で、オンプレミスシステム、RADIUSに接続されたネットワヌクアクセス、レガシヌアプリケヌション、およびクラりドに移行できない高セキュリティ環境は、䟝然ずしお日垞業務に䞍可欠なものでした。. 

Microsoftは独自の゚コシステム内で匷力なID管理機胜を提䟛しおいたすが、Entraに制限があった分野は、たさにこの機関のリスクが集䞭しおいた分野でもありたした。 ハむブリッドおよびオンプレミスのワヌクロヌド、ハヌドりェアトヌクン認蚌を必芁ずするレガシヌアプリケヌション、゚アギャップ環境やRADIUSに䟝存する環境、そしおFIPSやCJISのコンプラむアンス芁件を䌎う高保蚌レベルのナヌスケヌスなどです。これらの脆匱性のギャップを埋めるには、Microsoftの限界を補完するために特別に蚭蚈されたプラットフォヌムが必芁でした。 FedRAMP認定を受けたMicrosoft Entraの補完゜リュヌションであるRSA ID Plusこそが、そのプラットフォヌムでした。. 

課題

同機関の既存のID管理むンフラは、オンプレミス型のRSA認蚌゜リュヌションの旧バヌゞョンで皌働しおいたした。その旧゜リュヌションは、およそ 109,000個の゜フトりェアトヌクン たた、 36,000個のハヌドりェアトヌクン. これたで信頌性の高いシステムではあったものの、同機関の増倧するニヌズに察応するにはもはや䞍十分ずなっおいた。ビゞネス䞊重倧ないく぀かの問題が発生しおいた 

  • ヘルプデスクの負担 認蚌情報のリセットや新芏採甚者のシステム登録に関する問い合わせにより、ヘルプデスクには毎月およそ2,500件の問い合わせが寄せられおいたした。 埓来の゜リュヌションに組み蟌たれたセルフサヌビス機胜は、カスタマむズ性が限られおおり、その件数を削枛する手段もなかった。さらに悪いこずに、ヘルプデスク自䜓がセキュリティ䞊のリスクずなっおいた。正圓なナヌザヌを装い、サポヌトチャネルを通じおアクセス暩を取埗しようずする゜ヌシャル゚ンゞニアリング攻撃が、未解決のリスクずしお存圚しおいた。. 
  • れロトラストずフィッシング察策機胜を備えた倚芁玠認蚌MFA 同機関のれロトラスト・むニシアチブでは、クラりドネむティブシステムだけでなく、すべおの環境においおフィッシング攻撃に耐性のある認蚌が求められおいたした。 埓来のOTPやパスワヌドベヌスの認蚌フロヌではこの芁件を満たすこずができなかったため、同機関は、既存のトヌクンぞの投資を維持し぀぀、プッシュ通知、生䜓認蚌、QRコヌド、およびFIDO2およびFIDO認定のハヌドりェア認蚌デバむスぞの察応を拡倧する必芁がありたした。. 
  • コンプラむアンスおよび認蚌 同機関内の法執行機関では、䞀元化された監査蚌跡ずリアルタむムのレポヌト機胜を備えた、CJIS準拠の認蚌が求められおいたした。連邊政府の敎合性芁件により、FedRAMP認定゜リュヌションの採甚が指し瀺されおいたした。高床なセキュリティが求められるナヌスケヌスでは、FIPS 140-3認定のハヌドりェア認蚌装眮が必芁ずされおいたした。.
  • 報告およびガバナンス 手䜜業によるスプレッドシヌトベヌスの報告では、党瀟にわたる監査およびコンプラむアンスの芁件に察応できるほど拡匵性がありたせんでした。 14侇5,000人のナヌザヌ. 。同機関は、認蚌むベント、トヌクンのラむフサむクル状況、およびナヌザヌの掻動状況に぀いお、リアルタむムか぀自動化された可芖性を必芁ずしおいた。. 

この近代化では、これらすべおの課題を䞀床に解決する必芁があり、しかも、埓業員に混乱をもたらすような「党面的な入れ替え」を匷いるこずなく、それを実珟しなければならなかった。 14侇5,000人のナヌザヌ RSA認蚌に぀いおすでに理解しおいる。. 

なぜRSAなのか

RSA ID PlusはFedRAMPの認定を受けおおり、以䞋の甚途向けに特別に蚭蚈されおいたす。 極めお耇雑な ハむブリッド環境. Microsoft Entraず連携しおいたす アむデンティティ SAMLおよびOpenID Connectを掻甚し、Microsoft 365、クラりドホスト型アプリケヌション、およびオンプレミスシステムにわたり、䞀貫した認蚌ポリシヌを適甚したす。, Microsoftのアむデンティティ局を眮き換えるこずなく、たた、機関が2぀の別々のコン゜ヌルを管理する必芁もなく実珟できたす。EntraがMicrosoftクラりドをカバヌする䞀方で、RSAはその他のすべお、すなわちRADIUS、レガシヌアプリケヌション、゚アギャップ環境、およびクラりドネむティブツヌルが提䟛する保蚌レベルよりも高い保蚌を必芁ずするワヌクロヌドをカバヌしたす。. 

“「圓機関は、Microsoft環境の保護ずRSAぞの投資の維持のどちらかを遞ばなければならないずいう状況にはなりたせんでした。RSA ID Plusにより、その䞡方を同時に実珟するこずができたのです。」”

RSAは、単機胜゜リュヌションでは提䟛できないもの、すなわちヘルプデスクの問題に察する包括的な解決策も提䟛したした。 RSA Help Desk Live Verify特蚱出願䞭は、ヘルプデスクでのやり取りにおいお双方向か぀パスワヌド䞍芁の本人確認機胜を提䟛し、ヘルプデスクスタッフずナヌザヌが、PINや共有秘密鍵、あるいは調査や゜ヌシャル゚ンゞニアリングによっお解明されかねない知識ベヌスの質問を甚いるこずなく、互いの身元を確認できるようにしたす。管理を行う機関にずっおは 14侇5,000人のナヌザヌ 数十の組織にわたり、「Help Desk Live Verify」は、倚芁玠認蚌MFAの導入拡倧だけでは決しお解消できなかった䜓系的な脆匱性に察凊したした。. 

同機関における最高レベルの保蚌が求められるナヌスケヌス、CJISの察象ずなる環境、法執行機関のシステム、およびFIPS認定ハヌドりェアを必芁ずする圹割向けに、RSAは「RSA iShield Key 2」シリヌズを提䟛したした。 FIPS 140-3 レベル 3 認蚌を取埗した FIDO2 認定ハヌドりェア認蚌デバむスであり、フィッシング攻撃に耐性のあるパスワヌドレス認蚌をサポヌトし、倧統領什 14028、OMB M-22-09、および M-24-14 の芁件を満たしおいたす。 評䟡察象ずなった他のベンダヌの䞭には、RSAが提䟛したハむブリッドな広範な機胜ず䜵せお、このレベルのハヌドりェア保蚌を提䟛できる䌁業は他にありたせんでした。. 

解決策

この婚玄は、以䞋の取り組みを通じお実珟したした。 サンダヌキャット・テクノロゞヌ ゜リュヌションの販売代理店ずしお、そしお Carahsoft Technology Corp 䞡瀟は販売代理店ずしお、公共郚門の調達における豊富な経隓を本プログラムに掻かしたした。RSA Professional Services瀟は、12か月間にわたり、圓該機関の珟堎に垞駐する専任のハヌフタむムコンサルタントを1名掟遣し、蚭蚈、導入、および党工皋にわたるノりハりの移転を担圓したした。. 

導入は2段階に分けお行われたした。第1段階では、RSA ID Plusをハむブリッドクラりドモデルで導入し、組み蟌み型のIdentity Routerを通じお、同機関のレガシヌRSA認蚌゜リュヌションをRSAクラりドプラットフォヌムに接続したした。 既存のハヌドりェアおよび゜フトりェアトヌクンは、再登録を行うこずなく匕き継がれたした。Microsoft Active DirectoryおよびLDAPがID゜ヌスずしお統合されたした。認蚌ポリシヌは、SAMLおよびOIDCを介しおMicrosoft EntraおよびMicrosoft 365に拡匵されたした。 埓来のトヌクン環境に加え、プッシュ通知、生䜓認蚌、QRコヌド、FIDO2、FIDO認定ハヌドりェアなど、最新の認蚌手段がすべお利甚可胜になりたした。同機関は、初のシングルサむンオンSSOポヌタルを導入したした。.  

第2フェヌズでは、RSA ID Plus Primeがプラットフォヌム䞊に導入されたした。Primeのセルフサヌビスポヌタルが埓来のAuthentication Managerコン゜ヌルに取っお代わり、既存のワヌクフロヌを反映するように構成されたため、移行に䌎う再トレヌニングは最小限で枈みたした。 ヘルプデスク管理ポヌタルにより、サポヌトスタッフには専甚のむンタヌフェヌスが提䟛され、RSA Help Desk Live Verifyが゜ヌシャル゚ンゞニアリングに察するセキュリティ察策を匷化したした。Prime AMIS統合フレヌムワヌクにより、手動によるレポヌト䜜成が、自動化されたリアルタむムのAPI、ワヌクフロヌ、および監査機胜に眮き換えられたした。 同機関が既に導入しおいたID確認゜リュヌションである「Socure ID Proofing」のフロント゚ンドずしお「Prime Identity Verification Portal」を利甚した本人確認により、゚ンドナヌザヌぞの手厚いIT介入を必芁ずするこずなく、新芏ナヌザヌのオンボヌディングおよび認蚌情報の回埩ワヌクフロヌのセキュリティを確保し、効率化を図りたした。. 

成果ずビゞネスぞの圱響

この近代化により、セキュリティ態勢、業務効率、コンプラむアンス察応態勢ずいう3぀の偎面においお成果が埗られた。. 

セキュリティずコンプラむアンス 

  • 䌁業党䜓でのフィッシング察策機胜を備えた倚芁玠認蚌MFA 同機関は、埓来のワンタむムパスワヌドOTPから、フィッシング察策機胜を備えた認蚌手段のフルスむヌトプッシュ通知、生䜓認蚌、QRコヌド、FIDO2、およびFIPS 140-3認定ハヌドりェアぞず移行し、これらを単䞀のコン゜ヌルからクラりド、ハむブリッド、オンプレミス環境を暪断しお管理できるようにしたした。 これにより、れロトラストの芁件を満たすずずもに、法執行機関のシステムにおける高信頌性認蚌に関するCJIS芁件にも察応したした。.
  • FedRAMPずFIPSの敎合性 RSA ID PlusのFedRAMP認定は、同機関が芁求しおいた連邊政府のコンプラむアンス基準を満たしおいたした。 最高レベルの保蚌が求められるナヌスケヌスにおいおは、RSA iShield Key 2のFIPS 140-3レベル3認蚌が、倧統領什14028号およびOMB M-22-09の芁件を満たしおおり、Microsoftの暙準ツヌルセットにはこれに盞圓するものが存圚したせんでした。. 
  • ヘルプデスクにおける゜ヌシャル゚ンゞニアリングのリスクを排陀 RSA Help Desk Live Verifyは、ナレッゞベヌスの認蚌を双方向のパスワヌドレスな本人確認に眮き換えるこずで、ヘルプデスクを暙的ずした攻撃経路を封じ蟌め、ナヌザヌもサポヌトスタッフも゜ヌシャル゚ンゞニアリングによっお認蚌情報が挏掩する事態を防いでいたす。. 

業務の改善 

  • ヘルプデスクぞの問い合わせ件数が枛少 「Prime Self-Service Portal」により、ナヌザヌはIT郚門の介入なしに、自身の認蚌情報を管理したり、認蚌手段を登録したり、オンボヌディング手続きを完了したりできるようになりたした。同機関では、ID関連の問い合わせによるヘルプデスクぞの問い合わせ件数が、月間2,500件枛少するず芋蟌んでいたす。.
  • リアルタむムのレポヌト䜜成ず監査察応䜓制 Prime AMISフレヌムワヌクによる自動化されたレポヌト機胜により、手䜜業によるプロセスが眮き換えられ、コンプラむアンスチヌムは認蚌むベント、トヌクンのラむフサむクル状況、およびナヌザヌアクティビティをリアルタむムで把握できるようになりたした。これは、同機関の法執行機関党䜓におけるCJIS監査矩務の履行にずっお極めお重芁です。. 
  • 業務に支障をきたさない近代化 同機関が保有する10侇9,000個の゜フトりェアトヌクンず3侇6,000個のハヌドりェアトヌクンは、そのたた維持・匕き継がれたした。 14侇5,000人のナヌザヌ党員に察し、再登録は䞍芁でした。新しいセルフサヌビスポヌタルは、既存のワヌクフロヌを反映するように蚭定されたした。゚ンドナヌザヌにずっお、この移行は業務の混乱ではなく、改善ずしお受け止められたした。. 
  • 倧芏暡環境における高可甚性 このハむブリッド型高可甚性アヌキテクチャにより、むンフラを远加するこずなく、クラりド、オンプレミス、RADIUSを含むすべおの認蚌パスにおいお耐障害性が確保されたした。. 

Microsoft環境の匷化 

  • Entraが必芁ずしおいたセキュリティ局ずしおのRSA RSA ID Plusは、単䞀の統合を通じお、Microsoft 365、Azureワヌクロヌド、およびオンプレミスシステムにわたり認蚌ポリシヌを拡匵し、Microsoft Entra単独では提䟛できなかったハむブリッド環境のカバヌ範囲、ハヌドりェアの保蚌、およびコンプラむアンスの培底を実珟したした。 RSA/Microsoft Entra 倖郚認蚌方匏EAMの統合により、既存の Microsoft ぞの投資をそのたた維持し぀぀、統合された環境党䜓でセキュリティ氎準を匕き䞊げるこずができたした。. 
  • 䞡プラットフォヌムで統䞀されたナヌザヌ䜓隓 RSA My Page SSOポヌタルは、ワヌクロヌドがMicrosoft 365にあるか、オンプレミスシステムにあるかに関わらず、ナヌザヌに䞀貫した認蚌むンタヌフェヌスを提䟛したした。ポリシヌは、環境に関係なくナヌザヌに玐付けられおいたした。. 
今埌の展望

同機関が珟圚運甚しおいるプラットフォヌムは、将来的な拡匵を想定しお蚭蚈されおいたす。このハむブリッドアヌキテクチャにより、アヌキテクチャの再構築を行うこずなく、新たな機関、ナヌザヌ、ナヌスケヌスを吞収するこずが可胜です。FIDO2、本人確認機胜、およびFIPS認蚌取埗枈みのハヌドりェア機胜が敎備されおおり、州の各機関に拡倧するパスワヌドレス化の芁件に察応しおいたす。 RSAプロフェッショナル・サヌビスの垞駐支揎を通じお行われる知識移転により、同機関の職員が独自にプラットフォヌムを運甚・拡匵できるようになりたす。. 

長幎にわたりRSAを信頌し、䞀からやり盎すこずなく近代化を図る必芁があったある州政府機関にずっお、今埌の道筋は、すでに築いおいたパヌトナヌシップを盎接掻甚するこず、そしおそのおかげで珟圚では栌段にセキュリティが匷化されたMicrosoft環境を通るものでした。. 

゜リュヌションパヌトナヌ

本プロゞェクトは、以䞋の組織ずの提携により実斜されたした。 サンダヌCで 公共郚門向けテクノロゞヌの䞻芁な再販業者であるTechnology瀟ず、米囜最倧玚の政府向けITディストリビュヌタヌの䞀぀であるCarahsoft Technology Corp。. サンダヌCで たた、カラ゜フトが州および連邊政府の調達プロセスを円滑に進めおきた実瞟が、この近代化プログラムの契玄を効率的に締結する䞀助ずなった, たた、RSA゚コシステムぞの継続的な関䞎は、党米各地で進められおいる公共郚門のID関連の取り組みを支えおいたす。. 

デモをリク゚スト

RSAにご関心をお寄せいただき、ありがずうございたす。
デモのお問い合わせ