Comments
Description
Transcript
PDF版 - Hitachi ID Systems, Inc.
従来のE-SSOにおける問題点 © 2010 Hitachi ID Systems, Inc. All rights reserved. イントロダクション このドキュメントは、エンタープライズ・シングル・サインオンの従来の方式で何ができ、またより重要なのは、何が出来な いかを記述しています。さらに、こうした問題が起こらない、ユーザーに示されるサインオン応答の手間を減らす代替手段 を紹介しています。 定義 エンタープライズ・シングル・サインオン このドキュメントは、主にエンタープライズ・シングル・サインオン(E-SSO)アプリケーションに関するものです。: エンタープライズ・シングル・サインオン(E-SSO)は、ユーザーが複数のアプリケーションのサインインのためにタイプしな ければならないIDとパスワードの回数を最少化するために設計されています。 ほとんどのエンタープライズ・シングル・サインオン・システムは、次のように動作します。: E-SSOクライアントソフトウェアがすべてのユーザーワークステーションにインストールされます。 ユーザーは、自分のワークステーションに、以前と同じようにか、E-SSOクライアントソフトウェアが表示する新しい ユーザーインタフェースを使ってサインインします。 ローカルファイル、ネットワーク接続データベース、または、ユーザーディレクトリは、各ユーザーがアクセスするシステ ムとアプリケーション毎にユーザーIDとパスワードを格納します。 ユーザーが自分のワークステーションでアプリケーションを起動したとき、E-SSOクライアントソフトウェアは、自動的に 前述の識別情報ストレージから取ったデータをアプリケーションログインスクリーンのIDとパスワード領域に埋め込み ます。 E-SSOソフトウェアは、ユーザーの代行者として動作します。:ユーザーIDとパスワードをユーザーに成り代って格納し、 取り出し、”タイプイン”します。 ユーザーは、複数のID/パスワードのペアを持ち続けますが、手動でタイプする必要がな く、それがなんであるか知らないかも知れません。 E-SSOシステムでは、ユーザーは、ワークステーションに一つか二つのログインID / パスワードのペアでサインインしま す。:E-SSOが初期ワークステーションログインスクリーンからユーザーのパスワードを取り出すのであれば、一つ、ユー ザーが最初にワークステーション(Windowsログイン等)にログインし、その後、E-SSOクライアントソフトウェアにログイ ンするのであれば、二つのID/パスワードのペアーとなります。 いくつかのE-SSOシステムは、ワークステーションにサインインし、ユーザーのアプリケーションパスワードを操作するの に別の認証技術をサポートしています。 これには、スマートカード、認証トークン、または、生体認証などがあります。 アプリケーションログインIDとパスワードは、ネットワークk上のユーザーワークステーション上ではなく、スマートカードに 格納される場合があります。 E-SSO製品は、プラットフォームベンダや専業ソフトウェア、アプライアンスメーカーから提供されています。: 1. Passlogix: 直販か、Citrix. RSA及び他のコアテクノロジーとしてライセンス。 2. Citrix password manager: Passlogix 技術をベースにしており、通常 Presentation managerの販売者によっ て販売。 3. EMC (前身 RSA) signon manager: パスロジック技術をベースにしており、認証トークンの販売者によって販売。 推奨されません。 4. ActivIdentity (前身 は、Protocomに買収されたActivCard): スマートカードベースの認証に注力と推定。 5. Version3: AD-指向のネットワークで教育分野に注力。 6. IBM/Tivoli: 非常に古い製品;僅かな利用例しか残っていない。 7. CA/eTrust: 非常に古い製品;僅かな利用例しか残っていない。 8. Imprivata: Linux上で動作し、証明データベースを用いるアプライアンス。中規模の組織に適しているが、それ以上 の規模では適しない。 ウェブ・シングル・サインオン このドキュメントは、ウェブ・シングル・サインオン(WebSSO)アプリケーションに関するものではありませんが、これにつ いても記述しています。: ウェブ・アクセス・マネージメント (WebAM) / ウェブ・シングル・サインオン (WebSSO) システムは、一つ以上のウェブ アプリケーションをアクセスするユーザーの認証、承認を管理するためのミドルウェアです。 WebSSOシステムは、ユーザーのウェブ・ブラウザーによるウェブアプリケーションへの最初のコンタクトを捕まえ、ユー ザーが既に認証されているか一般的にcookeの認証ステータスをトラックして)を確認するか、そうでなければ、、ユー バーが、パスワード、トークン、PKI証明書、あるいは他の認証手段を使うであろう、認証ページに導きます。 ユーザーが一旦認証されると、このシステムのWebAM コンポーネントは、アプリケーションの機能とデータへのユーザー アクセスを制御します。これは、ユーザーが何をアクセスできるかをフィルタ(例、URLフィルタリング)するか、アプリケー ションが実行時に特定のフォーム、フィールド、あるいはデータエレメントをユーザーに表示し、実行時に判断したAPIを展 開することにより実行されます。 WebSSO / WebAM 製品は一般的にLDAPディレクトリをバックエンドリポジトリとして用い、ユーザーを特定します。 こ れらの機能は、”アイデンティティ管理”アプリケーションと密接に統合されるか、または、単一のディレクトリ自身のセルフ サービス管理と一体になっています。 市場で普及しているWebSSO / WebAM 製品は、イントラネット(ハイバリュー、 ハイコンプレックス、ロートランザクションボリュームの数千ユーザーがいるシステム)とエクストラネット(ローバリュー、 ローコンプレックス、ハイトランザクションボリュームの数百万規模のユーザーのシステム)の両者に使われています。 WebSSO / WebAM 製品は、主要なプラットフォームベンダから提供されています。その多くは、比較的小さな専業ソフ トウェアメーカーから買収されたものです。: 1. CA (前身は Netegrity)の SiteMinder. 2. Oracle (formerly Oblix) のCOREid. 3. IBM Tivoli Access Manager (TAM). 4. EMC (前身は, さらにその前は、 Securant)の ClearTrust. 5. BMC (前身は、OpenNetwork) のDirectory Management. これらのWebSSO / WebAM 製品のアイデンティティ管理コンポーネントは単一ディレクトリ(LDAP)を管理するには、一 般的に堅固なソリューションではありますが、複数ターゲットシステムやアカウントの組み合わせのユニークなユーザーと いったコンセプトがないために、複雑なユーザー環境での、複数システム上での複数アカウントを管理するには、適切と は言えません。 パスワード同期化 従来のE-SSO製品を開発するベンダーは、パスワード同期化が悪いもの(単一パスワードにより全体を損なう)と主張し たがります。 以下に記述するシングルサインオンの代替手段は、パスワード同期化に基づくものです。 次の二つの理由により、パスワード同期化は、妥当であると言えます: パスワード同期化は、ユーザーが複数のシステムに対して一つのセキュリティポリシーを持つ場合、そのユーザーの一つ のパスワードの管理を支援するプロセスや技術のことを言います。 パスワード同期化は、企業ネットワークにおけるパスワード管理上の問題を解決する効果的なメカニズムです。: 同期化されたパスワードを持つユーザーは、そのパスワードを覚えるだけですみます。 簡略化されたパスワード管理はヘルプデスクに対するパスワード関連のコールを飛躍的に減少させます。 ユーザーが覚えなくてはならないパスワードが一つか二つに限られれば、パスワードをメモに残す必要もなくなりま す。 パスワード同期化の実現には次の2つの方法があります。: 透過的パスワード同期化, これは共通システムで既に発生したネイティブパスワード変更を自動的にたのシステムや アプリケーションに伝播するものです。 ウェブベースパスワード同期化, これは、パスワード変更するネイティブツールをすぐに利用することなく、ユーザーに ウェブアプリケーションを用いて、すべてのパスワード変更をしてよいか否か尋ねるやりかたです。 従来のE-SSOの運営上の問題 すべての従来のE-SSO製品の基本要素は、証明書データベースのコンセプトに基づいています。これは、様々な手段で エンコードされ、様々な媒体に格納されていますが、基本的には、ログインID / パスワードのペアで、E-SSOアプリケー ションが、各アプリケーションがログイン認証のの応答を促すときにユーザーに代わってタイプするものです。 エンタープライズ・シングル・サインオン システムの従来のアプローチには多くの問題があり、それらの問題はすべて、 ユーザーIDとパスワードを格納するパスワードデータベースに関連していました。: 展開コスト: すべてのアプリケーションに対するすべてのログインIDとすべてのパスワードをデータベースとして構築し、保守する のは、コストが掛かりまた手間もかかります。 パスワードリセットのコスト: 従来のE-SSOシステムに格納されたログインIDとパスワードは、通常ユーザーのプライマリ・ネットワーク・パスワード で暗号化されます。ユーザーがプライマリ・パスワードを忘れてしまうと、キーを失うことになり、アプリケーションパス ワードを二度と海賊できないことになります。結果として、パスワード問題は、E-SSOでは発生は少なくなるものの、解 決にはより複雑になり、コストと時間が掛かることになります。 セキュリティと可用性: 従来のE-SSOシステムのパスワードデータベースが損なわれたとき、すべてのユーザーIDとすべてのパスワードが 露呈してしまいます。 もし、パスワードデータベースが停止してしまうと、すべてのユーザーは、すべてのアプリケーションからロックアウトさ れてしまいます。 アプリケーションへのリモートアクセス: 時間経過と共に、従来のE-SSOシステムは、アプリケーションのパスワード期限切れに対応して、新しい、ランダムパ スワード値を選択し、アプリケーションがパスワードを変更して、将来の参照のためにランダムパスワード値を格納す るようにします。 このプロセスでは、ユーザーは自分のパスワードに関する知識を失い、アプリケーションのサインインをE-SSOに依存 することになります。つまり、ユーザーは、アプリケーションに対して、E-SSOを備えていない機器、例えば、PDS、ス マートフォーン、インターネット・キオスクなど、からはアクセスできなくなってしまいます。 いくつかのE-SSOベンダーは、これらの問題のサブセットを競合上の利点に転嫁させようとするか、他の製品を売るため の理由にしようとしています。: 1. あるベンダーは、ユーザーが、特殊なデバイスからアプリケーションにアクセスするときに、自身のプレインテキストの パスワードを表示する機構を提供しています。これは、もちろん、安全ではありません。 2. Citrixは、顧客にCitrix Presentation Managerへの移行を促すためにリモート-アベイラビリティの問題を用いてい ます。ユーザーがすべてのアプリケーションをリモートコントロールでアクセスし、ターミナルサービスサーバーにSSO が備わっている場合、問題がなくなるとしています(そしてCitrixはより多くのサーバーライセンスを販売します)。 3. ほとんどのベンダーは、なんらかの裏口を提供し、何らかの特権証明書により証明書暗号システムをバイパスし、手 間のかかるパスワードリセットの問題に対応しています。これは、セキュリティの脆弱性を生み、管理者の頭痛の種と なります。 これらの運営上の問題は深刻です。 日立IDの意見として、これらの問題は、ほとんどの大企業で大規模なE-SSO展開 を妨げるものです。 実際、パイロットや部門レベルの規模の展開では、うまく動作しますが、規模を拡大しようとすると障 害となり、プロジェクト範囲の縮小を強いられます。 E-SSOは、パスワード同期化より安全でしょうか? 多くのE-SSOベンダは、E-SSOがパスワード同期化よりもよろ安全だと主張しています。これらの理由は次のようなもの です。: 1. もしパスワードが同期化されると、: a. 一つのセキュリティデーベースが危険にさらされるとすべてのシステムが危険にさらされてしまう。 b. 侵入者は、複数システムに対し、推測パスワードを試してみることができ、ロックアウトを掛かるまえにより多くの 不正パスワードによる試行ができる。 2. これに対して、E-SSOシステムでは、すべてのパスワードが異なっているため、"攻撃されやすさ"は、軽減される。 3. E-SSOシステムを2ファクター認証システムと一緒に用いることにより、パスワードをまったく無くすことができ、より安 全になる。 これらの主張は非常に弱いものです、しかしながら: 1. 最近のパスワードデータベースが完全に攻撃されるkとはほとんど起こりえない。: a. ほとんどのシステムは、パスワードハッシュを攻撃者に見せることはありえない。 b. 脆弱なパスワードをねらうパスワード推測による攻撃は、組み込みポリシーや外部パスワード管理システムを用 いることにより容易に防ぐことができる。 c. ほどんどのシステムは、侵入者ロックアウトシステムを装備しており、パブリック認証機構に対する野蛮なアタック を防止できる。 結果として、一つのセキュリティデータベースの危険性は起こりにくい。そうした危険が容易に起こるとすると、すべて の企業ネットワークは、定常的にアタックされることになるが、これは、明らかに起こりえない。 2. 侵入者ロックアウトが起動される前に起こりうる多数に及ぶ認証の試みに関するこの主張は確かですが、多くの場合 問題とはなりません。 もしユーザーが堅固なパスワードを持っていた場合、侵入者がロックアウトされるまえに3回、 10回、または、100回の推測をすることが問題となるでしょうか? 現在のセキュリティのベストプラクティスでは、一般的に侵入者ロックアウトカウンターを高く設定する(50~100の オーダー)ことを推奨しています。低い回数は、堅固なパスワードの代替にはなり得ませんし、もしパスワードが堅固で あれば、数10億回以下の推測ではパスワードは見つからないため、カウンターを高く設定しても、支障がありません。 3. パスワード同期化でも E-SSOでも、もし侵入者が一つのパスワードを破ったら、そのユーザーに関連するすべてのパ スワードを破ることができるのも事実です。 パスワード同期化の場合は、あるユーザー(犠牲者)のパスワードを破っ た侵入者は、すべてのパスワードが同じなので、そのすべてを破ったことになります。E-SSOの場合は、犠牲者のプ ライマリパスワードを破った侵入者は、すべてを破ったことになります。:プライマリパスワードを使って他のパスワード は解読することができ、E-SSO製品は、侵入者を他のすべてのシステムに好意的に導きます。 言い換えれば、パスワード同期化とE-SSOの違いは、すべてが破られる前に破らなければならないのがどのパス ワードであるかという議論に関連しています--プライマリパスワードか、他のどれかか。これは、E-SSOの利点とは言 えません。 4. 堅固な認証技術を使うことは好ましいですが、アプリケーションパスワードはそれでも存在します--プライマリーキーを つかった暗号化は存在し、各アプリケーションへのログインに用いられます。 それ以上に、より堅固なプライマリ認証 を使ったときは、すべてのユーザーアプリケーションパスワードを暗号化するためのキーを生成するか取り出す方法 は、普通わかりにくいか、または、簡単に破られてしまいます。言い換えると、堅固なプライマリ認証は、多くの場合、 センシティブなアプリケーションパスワードの脆弱な暗号化が付随しています。 E-SSOへの新しいアプローチ セキュリティ上の議論が明らかになった段階では、をE-SSOシステムの残っている利点は、ユーザーがIDとパスワードを タイプしなければならない回数を減らすことにより、ユーザーの操作性を向上させることだけです。 このE-SSOの問題は基本的に--取得、保守が高価な--証明書データベースの問題です。 侵害者にとっては、このデー タベースは、魅力的なターゲットとなり、また、ユーザーがE-SSOクライアントソフトウェアが備わっていない機器からのア プリケーションへアクセスすることを妨げます。 日立 ID ログイン・マネージャー は、ユーザーのアプリケーションサインオンプロセスを簡易化して、ユーザーに代わっ て、自動的に、ログインIDとパスワードを投入します。 日立 ID ログイン・マネージャー は次のように動作します: 1. 日立 ID ログイン・マネージャー のソフトウェアを各ユーザーワークス テー ションにインストールします。 2. ユーザーがワークステーションにサインインしたときに、日立 ID ログイン・マネージャーは、ネットワーク・ログインID とパスワードWindowsのログ イン プロセスから取り込みます。 3. 日立 ID ログイン・マネージャー は、同じユーザーに付随する追加のログ イ ンIDをユーザーのActive Directory プロフィールまたは、eDirectory プ ロ フィールから取り出します。これらのオプションログインIDのみが、 日立 ID ログイン・マネージャーの永続データとして格納されます : パスワード は決して 格納されません。 4. 日立 ID ログイン・マネージャー は、Windowsデスクトップで新しいアプ リ ケーションの実行をモニターします。 ユーザーが既知のログインIDか、Windowsパスワードを、アプリケーション のダイアログボックス、HTML形式、 または、メインフレームのターミナル セッションにタイプインするのを検知します。この事象が起こったとき、 マッチ ングした 入力フィールドの場所情報をローカル構成ファイルに格納し ます。 日立 ID ログイン・マネージャー は、アプリケーションが以前に構成した入 力応答画面を表示するのを検知し、そ のフィールドに自動的に適切なログイ ンIDと 現在の Windows パスワードを入力します。 日立 ID ログイン・マネージャー のユーザーへの実質的なインパクトは、ユー ザーが Windows にネットワークログイン IDとパスワードでサインインし続け る ということです。 アプリケーションが同じユーザーに属すると認識され るログイン ID、または、Windowsと統合または、同期化されたパスワードのた めの応答 画面を表示したとき、日立 ID ログイン・ マネージャー は、ユー ザーの情報を自 動的に入力し、ユーザーがそのIDとパスワードの再入力する 手間を省略しま す。 日立 ID ログイン・マネージャー の展開、構成は容易で、ユーザーは日立 ID ログイン・マネージャー、ソフトウェアが装 備されていない機器からのアプリケーションのサインオンも引き続き可能です。: 日立 ID ログイン・マネージャー は、単純なMSIパッケージとしてインストールされます。 日立 ID ログイン・マネージャー は、手作業による構成手順を必要としません。: どのアプリケーションがWindowsと同じログインIDとパスワードを用いるかを自動的に学習します。 日立 ID ログイン・マネージャー 日立 ID ログイン・マネージャー に用いられているリデュースド・サインオン・プロセスは、一般的な E-SSO方式に比べて いくつかの利点があります。: ユーザー証明書のグローバルディレクトリまたはデータベースが不要: 襲撃したい者にとってターゲットが存在しません。 アプリケーションのサインインに関してユーザー全体のアクセス障害を起し うる箇所がありません。 ユーザーがこのシステムの恩恵をうけるためにパスワードを提示する必要が ありません。 マニュアル作業により記述しなくてはならないスクリプトが不要: 構築のためのマニュアル作業は必要ありません。 各PCにスクリプトファイルを配布するためのインフラストラクチャは必要あ りません。 アプリケーションへの継続的アクセス: ユーザーは、時によって自分のワークPC以外の機器からアプリケーションへ のサインインが必要です。 パスワードは同期化されているため、ユーザーは自分のパスワードを知って おり、SSOソフトウェアがなくてもサイ ンインできます。 それに反して、他の E-SSO 製品では、ユーザーは、自分のアプリケーショ ンの実際のパスワードを知らないケー スがあります。これでは、スマートフォー ン、ホームPC、インターネットキオスク等からのアプリケーションアクセスが 出来なくなってしまいます。 これらの利点により、日立 ID ログイン・マネージャー の展開及び管理に伴うコ ストやリスクは、大幅に減少することにな ります。 低コストと高可用性の特長を享受するために、日立 ID ログイン・マネージャー は、次の三つの重要な前提条件が必要 です。: あるユーザーに関するログインIDのセットが既知であること。 セットは、一つのID(例えば、ユーザーのネットワークログインID)または、ショー トリストの場合があります。 ユーザーが異なるシステムで異なるログインIDを持っている場合、日立 ID パスワード・マネージャー は、自動ま たは、セルフサービス登録の組み合わせにより、 ログインIDエイリアスを生成し、そのデータをActive Directoryま たは、 eDirectoryのユーザープロフィールに書き込みます。 日立 ID ログイン・マネージャー は、ログイン時にロ グインIDのリストを取り出すことができます。 パスワードは、統一化されているか同期化されていること。 日立 ID ログイン・マネージャー は、ユーザーのパスワードをどこにも格納しな いため、ユーザーのアプリケー ションパスワードがユーザーのプライマリ・ネッ トワーク・パスワードと同じであるということを前提にしています。 ユーザーは、ワークステーションにパスワードでサインインすること。 日立 ID ログイン・マネージャー は、Wendows ログインプロセスからユーザーの プライマリ・ネットワーク・パスワー ドを取得するため、このプロセスではパス ワードを使う必要があります。 スマートカードやワンタイムパスワードなどの他の認証技術を日立 ID ログイ ン・マネージャーと共に用いる場合は、 追加のインテグレーションが必要になり ますが、日立 ID ログイン・マネージャー は、別の手段から同期化されたパス ワードを取得することができます。 500, 1401 - 1 Street SE, Calgary AB Canada T2G 2J3 Tel: 1.403.233.0740 www.Hitachi-ID.com Fax: 1.403.233.0735 E-Mail: [email protected]