Comments
Description
Transcript
CA ArcotID ソフトウェアによる安全なクレデンシャル
CA ArcotID PRODUCT SHEET CA ArcotID CA ArcotID ソフトウェアによる 安全なクレデンシャル 概要 現在、認証方式には幅広い選択肢が用意されていますが、一般的にはこれまで 多くの企業がハードウェアのワンタイムパスワード(OTP)トークンを使用して、必要 なセキュリティレベルを確保していました。ハードウェアトークンでは認証機能が 強化される一方、高コスト、導入の複雑性、紛失対応などのほか、定期的な交換 を必要とするなど多くのデメリットがあります。また、Man-In-The-Middle(MITM)と 言われる中間者攻撃から保護できず、標的になりやすいという性質もあります。 従来の認証ソリューションの性能は良くも悪くも「値段相応」でした。コストと利便 性を優先すればセキュリティレベルが犠牲になり、保護を強化すると高コストで導 入も複雑になります。 そこでCA ArcotIDは、強力な認証ソリューションによってそのギャップを解消し、高 度なセキュリティと利便性の両立を実現しました。 メリット CA ArcotIDは操作性に優れ、ハードウェアトークン導入にかかる管理、配布などの 複雑な作業も必要なく、コストも抑えられます。 また、強力な認証機能を任意の アプリケーションに追加する際に、ユーザのログインプロセスを変更する必要は ありません。PKIの高度なセキュリティとパスワードの簡便性が実現されるため、 企業とコンシューマの双方にとって大きなメリットがあります。 CA Arcot WebFort Versatile Authentication Server(VAS)ではCA ArcotIDの管理機能だ けでなく、多様な認証方式が提供されるため、リスクやユーザコミュニティのレベ ルに合わせて認証方式を選択できます。 CA ArcotID CA ArcotID の強力なセキュリティとユーザの利便性 ハードウェアトークンでは強力な認証機能が提供されますが、トークン自体のコス トに加え、導入と配布の作業コストが発生するため大きなコスト負担が避けられま せん。また、OTPトークンを使用することはセキュリティリスクにもつながりかねま せん。OTPトークンはMITM攻撃から保護できないからです。さらに、最近の報道で もあるように、トークンのシード値が攻撃された場合、そのトークンのセキュリティ は脆弱になり、完全にハードウェアトークンを交換するほかありません。 一方でCA ArcotIDではソフトウェアのクレデンシャルは特許技術で保護されており、 二要素の強力な認証をソフトウェアのみで行なえるため、ハードウェアトークンは 必要ありません。また、強力な認証機能を任意のアプリケーションに追加する際 にユーザのログインプロセスを変更する必要はありません。PKIの高度なセキュリ ティとパスワードの簡便性が実現されるため、企業用とコンシューマ用の両面にと って大きなメリットがあります。 特許取得技術による保護 CA ArcotIDによる安全なソフトウェア・クレデンシャルでは、高度な鍵による保護と 使いやすい低コストのソフトウェアソリューションとを組み合わせ、強力な二要素 認証が行なえます。また、時間や場所に関係なく安全にユーザ認証が行なえます。 CA ArcotID は 、 標 準 の x.509v3 デ ジ タ ル 証 明 書 を ベ ー ス に 、 特 許 取 得 の TM Cryptographic Camouflage というキー隠蔽技術を使用し保護されます。 この2つ の技術によって、公開鍵がDomain Keyで暗号化され、CA Arcotの拡張子の証明書 に保存されます。その後、対応する秘密鍵が「暗号でカモフラージュ」され、攻撃 者に対して隠蔽されるため、総当たり攻撃から保護されます。 シンプルな導入 CA ArcotIDはユーザ名/パスワードのインタフェースをもつ完全なソフトウェアソリュ ーションです。そのため、ユーザの操作性を損なわずに現在の認証方式から移 行することができます。また、ユーザに対して完全にトランスペアレントなため、ユ ーザはこれまで同様、ユーザ名とパスワードだけでログインできますが、バックグ ラウンドでは強力なPKIによって保護されます。 CA ArcotID 柔軟性 CA ArcotIDは柔軟性にすぐれているため、さまざまなアプリケーションや環境に対 応でき、百万単位のユーザ数にまで拡張できます。また、PC、ノートブック、スマー トデバイスなど、さまざまなクライアントデバイスでも使用できます。さらに、攻撃 や改ざんから保護しながらCDやUSB、暗号トークンに持ち運んで保存することもで きます。 ユーザエクスペリエンスの維持 ユーザはCA ArcotIDやCA Arcot WebFortと通信するクライアントを操作する必要は ありません。そのため、ユーザのデスクトップを制御できないコンシューマアプリケ ーションなどの場合は特に有益です。CA ArcotIDのクライアントには、Flashクライア ント、未署名のJava Applet、署名付きJava Applet、スタンダードなクライアント(ネイ ティブ)ActiveX、Adobe ReaderとAdobe Acrobatに組み込まれたクライアントの5つの タイプがあります。 各クライアントには固有の属性と機能があります。クライアントのタイプはアプリケ ーションとユーザコミュニティのニーズに基づいて選択できます。異なる組織が異 なる目的のために発行した複数のIDを単一のクライアントで処理できます。また、 クライアントは強力な認証とデジタル署名など、複数の機能を処理できます。 ハードウェアコストの排除 CA ArcotIDはソフトウェアで提供されるため導入と管理が簡略化されます。ユーザ はCA ArcotIDの導入を自身で行えるため、トークンの配布と交換などハードウェア に関するコストを抑えられます。 MITM(中間者)攻撃の防止 CA ArcotIDではMITM攻撃をはじめ、一般的なインターネットの攻撃を防止します。 ビ ジ ネ ス や 顧 客 へ の 攻 撃 を 防 止 す る た め 、 CA ArcotID で は 標 準 PKI の challenge/responseシーケンスでCA Arcot WebFort認証サーバと通信し、オンライン アプリケーションを保護します。CA ArcotIDでは段階的にサーバ認証を行います。 まず、サーバからCA ArcotIDに暗号化された「challenge」が送信されます。ユーザ が 正 しいパ ス ワ ー ドを 入 力 する と、 CA ArcotID で は 秘 密 鍵 を使 用 し て、 こ の 「challenge」に署名して、対応する「response」が作成されます。この「response」だ けが認証サーバに送信されて認証に使用され、パスワードがこのチャネルを通し て送信されることはありません。CA ArcotIDのクライアントによって自動的にCA Arcotの証明書が検証され、「challenge」の「response」に署名する前に、発行元で あるドメインへの接続が確認されるため、ユーザは自動的にMITMや他のフィッシ ング攻撃から保護されます。 CA ArcotID 単一のクレデンシャルを多様な用途で使用 強力な二要素認証に加え、CA ArcotIDでは暗号化された電子明細と電子文書を 電子メールで送信して電子署名が行なえます。製薬、医療、銀行など紙中心の業 界では、完全なデジタルドキュメント環境への移行が強く望まれていますが、デジ タルIDの保存と使用の複雑さがその普及を妨げています。CA ArcotIDでは、第三 者のデジタルID(証明書と秘密鍵)を安全に保存できます。また、CA Arcotクライア ントはAdobe Readerに組み込まれているため、ユーザによるデジタル署名も簡略 化されます。 CA ArcotIDでは、非公開の暗号化され電子文書も電子メールで安全に送信できま す。企業が顧客に暗号化された文書を送信した場合、目的の受信者のみが認証 され、非公開の文書を表示できます。 図 1. CA ArcotID の 3 つの使用方法 強度の認証 Web ポータル PKI で暗号化さ れた電子明細 電子署名 CA ArcotID Arcot の独自の機能 ユーザ操作の一貫性 - ユーザは標準的なパスワードを使用できます。ソフト ウェアとして提供されるCA ArcotIDソリューションでは、トークンの購入が不要な ためコストを削減でき、物理的なトークンを取り扱う複雑さからも解放されま す。 「MITM攻撃」や「総当たり攻撃」の防止 - CA ArcotIDは、発行元のドメインの Webページで暗号化された「challenge」に対してのみ応答します。MITM攻撃で は正当なWebサイトのページを攻撃の対象として転送しますが、CA ArcotIDで は、ユーザにパスワードを要求するWebページが正しいドメインではないことが 検出されると、そのユーザのアプリケーションへのアクセスは許可されませ ん。 安全なローミングアクセス - 社外のPCを使用する場合、ユーザは一時的にCA ArcotIDを受信することができます。 社内と同様の安全な通信が行なえます。 CA ArcotIDはユーザがログアウトすると同時にシステムから消去されます。 外部に送信されないパスワード - CA Arcotではユーザのパスワードが外部に 送信されることはありません。ユーザはそれぞれのデバイスを使用して自らを ローカルで認証し、攻撃による不正使用の可能性があるデジタルクレデンシャ ルは送信されずに、暗号化された「challenge」に対してCA ArcotIDから 「response」が返送されます。 デジタルIDへのアクセスの保護 - CA ArcotIDではデジタルIDが安全に保存さ れるため、電子署名を保護できます。 将来を見据えたArcot - CA ArcotIDクライアントは、Adobe AcrobatおよびReaderに 組み込まれています。このパートナーシップにより電子署名と暗号解除が簡略 化され、ユーザが自らデスクトップにインストールする必要もありません。また、 CA Arcotにより、完全に電子化されたビジネスプロセスに移行できます。 CA ArcotID CA Technologies の優位性 CA ArcotIDは、ハードウェアトークンではなくソフトウェアソリューションとして提供さ れるため、強力な認証機能を簡単な操作・低コストで利用できます。完全なソフト ウェアとして処理されるため、導入と管理が大幅に簡略化され、ユーザも新しい 操作を覚える必要はありません。CA ArcotIDは、MITM攻撃などのインターネットの 攻撃からユーザを保護することができ、PKI標準のchallenge/responseを使用して WebFort認証サーバとの通信が行なわれます。このようなサーバ認証のステップ により、オンラインアプリケーションはインターネットの脅威から保護されます。ま た、強力な認証機能に加え、CA ArcotIDでは暗号化され電子文書や電子明細を電 子メールで送信できるほか、Adobe AcrobatおよびReaderに組み込まれているため、 デジタル署名と暗号解除も簡略化されます。PKIの高度なセキュリティとパスワー ドの利便性が実現されるため、企業とコンシューマの両方に大きなメリットがあり ます。 ※製品の詳細情報については、弊社Webページ(www.ca.com/jp)を ご覧いただくか、CAジャパン・ダイレクト(0120-702-600)までお問い合わせください。 CA Technologies お問い合わせ 〒102-0093 東京都 千代田区平河町 2-7-9 JA 共済ビル 9 階 お問い合わせ窓口:CA ジャパン・ダイレクト 0120-702-600 WEB サイト:www.ca.com/jp すべての製品名、サービス名、会社名およびロゴは、各社の商標、または登録商標です。 製品の仕様・性能は予告なく変更する場合がありますので、ご了承ください。 ©2011 CA. and / or one of its subsidiaries. All Rights Reserved. 2011 年 12 月現在 Printed in JAPAN