はじめに

企業におけるクラウドサービスの活用が進む一方で、セキュリティに対する不安や懸念は依然として高い水準で推移しています。中でも、成りすましや不正アクセスによる情報漏えいはクラウドサービスを利用する企業にとって重大な関心事となっています。

「TrustBind/Federation Manager」は、攻撃者に狙われやすい認証・認可のプロセスを対象に、旧来のパスワードに依存しないさまざまな技術を組み合わせることで安全性を高め、クラウドサービスもオンプレミスも含む複数のシステム間でシングルサインオン(SSO)やAPI連携を実現するクラウド時代の認証・認可基盤ソリューションです。


保険会社構築事例

クラウドサービス利用における課題と、TrustBind/Federation Managerでの解決

認証やアカウント管理でのよくある課題

[1] 複数のクラウドサービスに同じID/パスワードを
使い回すユーザが大きな脅威に!

パスワードの使い回し

複数のクラウドサービスで同じID/パスワードを使い回していると、どこか1箇所のクラウドサービスで流出してしまった場合に、リスト型攻撃にて簡単に複数のクラウドサービスのアカウント乗っ取りが発生してしまう。

[2] 複数のアカウントを使い分ける手間、
その管理負荷とコストも無視できない!

アカウントはクラウドサービスの数だけ
アカウントはクラウドサービスの数だけ

クラウドサービスの数だけアカウントを使い分ける手間、管理する手間が発生する上、管理を徹底することもできない。

[3]クラウドサービスや利用環境によって、
認証の強度を使い分ける必要がある!

社外からは、より強固なログイン認証が必要

重要なデータを扱うクラウドサービスや、社外からのアクセスには、通常よりも強固な認証を行う必要がある。

[4] 社員がクラウドサービスをどう利用しているか
管理者に見えない!把握できない!

ログイン状況が見えない

「誰が・いつ・どのクラウドサービスを利用したのか」が分からない。クラウドサービス側のログも、一定期間後には消去されてしまう。

▼

ワンポイント こうした課題を認証連携ソリューション「TrustBind/Federation Manager」が解決!
高セキュリティな認証連携で利便性に優れたシングルサインオンを実現します。

TrustBind/Federation Managerで課題を解決!利用企業に必要なクラウドセキュリティを実現!

[1]フェデレーション技術で、サービス間の安全なシングルサインオンを実現

「TrustBind/Federation Manager」は、インターネット上で安全な認証連携を実現する世界標準の仕様である
「SAML2.0(※)」や「OpenID 2.0」、「OpenID Connect(OIDC)」に対応しています。
これらの安全が確立された技術を利用することで、クラウドなどインターネット越しのサービスも含めて、一度の認証で全ての
システムへのアクセスを可能にする「シングルサインオン」の環境が実現できます。
様々なサービスを1つのID/パスワードに集約して利用者のパスワード管理負担を減らすことで、企業のセキュリティポリシーに則った
適切なパスワードの運用をユーザに浸透させることができます。

※SAML2.0【Security Assertion Markup Language】:
 ユーザ認証に用いる情報を複数の企業やインターネットサービスプロバイダ間で安全に交換するための言語仕様。
 XML関連の標準化団体OASIS(Organization for the Advancement of Structured Information Standards)が策定。


[2]管理者にはアカウント管理の一元化による管理負荷とコストの低減!ユーザにはシングルサインオンの利便性を!

社内の認証基盤とクラウドサービスを連携させることで、アカウント情報の管理の一元化を実現します。
今まで、クラウドサービスが増えるたびに増加していたシステム管理者の業務負荷や管理コストの問題が解決されます。
また、シングルサインオンの実現で、面倒なアカウントの使い分けや、クラウドサービス毎にログインしなければならない手間の問題も解消できます。
複数のアカウントの使い分けがなくなることにより、ユーザのアカウント紛失も激減し、
システム管理者によるアカウントの無効化や再発行といった管理面の作業も激減します。


[3]二段階認証で、リモートアクセスの認証をさらに強化。

社外からクラウドサービスを利用する場合の認証は、社内アクセス以上に強化することが望ましいです。
「TrustBind/Federation Manager」を活用すれば、ワンタイムパスワードやマトリクス方式などの認証方式を
組み合わせた二段階認証が簡単に実現できます。
仮に第三者にID/パスワードが漏れたとしても、もう1段階、別の認証に成功しなければログインできません。


[4]クラウドサービスへのログイン履歴を企業側で把握することで、内部統制を強化。

「TrustBind/Federation Manager」で、クラウドサービスの認証を一元化すれば、
誰が・いつ・どのクラウドサービスにログインしたかを企業側で把握することができます。
通常、クラウドサービス側でもログイン情報を記録していますが、一定の保存期間を過ぎれば、消去されてしまいます。
「TrustBind/FederationManager」であれば、ログイン履歴を企業内に保存できます。


Webサービスの安全なAPI連携を実現するOAuth2.0/FAPIにも対応

OAuth2.0は、APIエコノミーにおける安全なサービス間連携を行うための「認可フレームワーク」として、SNSからFintechまで、様々なWebサービスにおいて、利用されているAPI連携のデファクト・スタンダードです。

OAuth2.0を用いることで、API経由でリソース情報を提供するAPI提供事業者は、リソースを要求するアプリケーションに対して、ユーザのログイン情報を渡すことなく、ユーザリソースに対するアクセス権限を譲渡することが可能となります。

さらに、「銀行法等の一部を改正する法律(改正銀行法)」への対応によりオープンAPIの導入が進む金融業界では、API認可の開発標準としてOAuth2.0を推奨するとともに、詳細仕様として、金融API向けのセキュリティ標準として標準化作業が進んでいるFAPI(Financial-grade API)への準拠が推奨されています。

TrustBind/Federation Managerは、2019年10月にFAPIに対応。2020年1月には、米国OpenID FoundationのCertified Financial-grade API (FAPI) OpenID Providers 認定を取得しました(対応版は2020年2月にリリース)。

悪意のあるアプリケーションによるなりすましへの対策など、金融データを扱うオープンAPIに求められるセキュリティレベルに対応し、安全なAPI連携を実現します。

さらにウレシイ!「TrustBind/Federation Manager」の特長

既存システムとの柔軟な連携とカンタン導入

「TrustBind/Federation Manager」は、お客様の既存システムに認証連携機能を追加する形で導入することが可能です。様々な導入パターンがある中で、既存システム構成に適したインタフェースを用いることで、短期・低コストでの開発が可能です。また、既存システムのリソースを最大限に活用することで、運用への影響も最小限に抑えることが可能です。

自社開発と豊富な導入実績による安心の国内サポート

「TrustBind/Federation Manager」は、官公庁・クラウド・金融・教育などの分野において大小100システム以上の認証・認可基盤構築実績があるNTTテクノクロスによる自社開発製品です。提案フェーズから保守フェーズまで、当社のエンジニアによる丁寧で迅速なサポートを提供いたします。

TrustBind/Federation Managerの機能

機能概要
ID管理 ユーザのアカウント情報を管理することができます。
アクセス制御 ユーザが利用できるシステムやクラウドサービスを管理することができます。
多要素認証

複数の認証方式を使ってユーザ認証を行うことで、認証強化を実現します。

対応する認証方式(一部)
ワンタイムパスワード認証 メール・SMS・TOTPなどを利用したワンタイムパスワード認証
クライアント証明書認証 クライアント証明書を利用した端末認証
発信者番号認証 発信者番号通知による認証
シングルサインオン

一度のユーザ認証で、ユーザが権限を持つ全てのシステムやクラウドサービスへの認証が可能になります。

対応するシングルサインオン方式
SAML 公的機関やエンタープライズ分野で広く採用されている、サービス間で事前に
信頼関係を結ぶことを前提としたフェデレーション型の方式
OpenID BtoC分野などで採用されている、ユーザの同意に基づきサービス間で動的に
信頼関係を結ぶフェデレーション型の方式
OpenID Connect OAuth2.0をベースに認証連携のために拡張された、モバイルアプリケーション
にも対応可能なフェデレーション型の方式
代理認証 既存のシステムやクラウドサービスを改修せずにシングルサインオンを実現
するため、リバースプロキシがユーザの代わりにID/パスワードを代理投入
する方式
認可

サービス間で安全にデータを受け渡しするための機能です。
WebAPIに対して、外部のアプリケーションがユーザの代わりにアクセスする場合に、ID・パスワードなどの
秘密の情報を渡す必要がないため、適切なアクセス権限のみを与えることが可能になります。

対応する認可方式
OAuth2.0 安全なサービス間連携を実現する手段として、API連携のデファクト・スタンダード
となっている認可のための標準仕様。ユーザの同意に基づき、ユーザーリソースに
対するアクセス権限を譲渡可能。
Financial-grade API
(FAPI)
金融分野において、口座情報を扱うAPIを安全に利用するためにOAuth2.0を拡張した
金融サービス向けのセキュリティ標準仕様。
国内ではオープンAPIの開発標準として推奨されている。
認証ログ 誰が・いつ・どのシステムやクラウドサービスにログインしたか、ログイン履歴を取得することができます。
マルチテナント管理 TrustBind/Federation Managerをご利用される組織(テナント)の管理をします。
システムやクラウドサービスをパートナー企業と連携してご活用するビジネスシーンなどで、認証連携をご利用頂くための機能です。
IDプロビジョニング
(※)
連携先のシステムやクラウドサービスに、アカウントの変更や廃止の情報を連携します。
開発者向けの機能 TrustBind/Federation Managerをより幅広くご利用頂くための機能をご用意しております。

機能の一例
  • 新たな認証要素を多要素認証に組込むための拡張機能
  • SAML SPやOpenID RPなどに対応するための認証連携機能


※オプションサービスでのご利用となります。

各機能の詳細についてはお問合せ下さい。

TrustBind/Federation Managerの構成イメージ

TrustBind/Federation Managerは、オンプレミス、パブリック/プライベートクラウドのいずれの環境にも導入することが可能です。
お客様のニーズに合わせた導入構成をご提案いたします。

オンプレミスまたはクラウドサービスへの導入イメージ

動作環境

OS RedHat Enterprise Linux (kernel 2.6 以上)または
Oracle Solarisまたは
Microsoft Windows
Javaプラットフォーム Oracle JDK 6 以降
OpenJDK 6 以降
Webコンテナ Apache Tomcat 6.0以降
WebSphere Application Server
Oracle WebLogic Server
Resin
DBサーバ PostgreSQL
MySQL
Oracle Database

※上記の環境以外にも順次対応予定です。最新の動作環境はお問合せください。

TrustBind/Federation Managerの価格

価格はこちらのページをご参照下さい。

※TrustBind は、NTTテクノクロス株式会社の登録商標です。
※IBM WebSphere は、米国およびその他の国におけるInternational Business Machines Corporationの商標です。
※Microsoft Windows Server は、米国 Microsoft Corporation の、米国およびその他の国における登録商標または商標です。
※Oracle Solaris と Oracle Database は、Oracle Corporation 及びその子会社、関連会社の米国及びその他の国における登録商標です。文中の社名、商品名等は各社の商標または登録商標である場合があります。
※その他の会社名、製品名などの固有名詞は、一般に該当する会社もしくは組織の商標または登録商標です。
※当ソリューション・製品に関するお問い合わせリンクは、NTTテクノクロスのお問い合わせ専用ページ(社外サイト:MARKETINGPLATFORM)に遷移します (MARKETINGPLATFORMは、株式会社シャノンが提供しているクラウドアプリケーションです)。

ソリューション・製品一覧へ