SecurID Access (Cloud Authentication Service)

認証セキュリティ強化の重要性

企業ではオンプレミスやクラウドサービスに問わず、業務ごとに様々なアプリケーションを利用しております。また、近年の働き方改革の本格始動により在宅勤務やモバイルワークなどのテレワーク化が進み、多くの人が社内だけでなく社外からもそれらのアプリケーションにアクセスする機会が増えています。

Cloud Authentication Service(CAS)とは

RSAが提供する、クラウド環境を利用した認証サービスプラットフォームです。登録されたポリシーに基づいて、ユーザーに多要素認証(MFA)を要求します。クラウドシフトが進む中、ユーザーは様々なアプリケーションやサービスを、会社だけでなく自宅などのリモート環境から利用することが増えています。RSA社のCloud Authentication Serviceを利用することで、クラウドアプリケーションの認証からオンプレミスのネットワークに接続するためのSASEやVPN機器の認証まで一元的に管理し、セキュアな環境を整えられます。

認証セキュリティ強化の重要性、Cloud Authentication Service(CAS)とは

選択肢が広がった多要素認証

Cloud Authentication Serviceを導入することで、従来RSAより提供されてきたSecurIDトークンによるワンタイムパスワード認証に加え、モバイルアプリケーションを使用した生体認証やFIDOトークンなど、多くの認証方法を利用できます。

多要素認証(MFA)

アクセスポリシーによるリスク分析

アクセスポリシーによって、ユーザーのログイン可否の判定や、要求する追加認証の方式を選択できます。例えば、「社外からのアクセス時は指紋認証を必須とする」、「重要度の高いアプリケーションは社内外のアクセスを問わず、SecurIDトークンの認証を必須とさせる」など、ルールベースでのリスク分析の実施が可能です。

アクセスポリシーによるリスク分析

ビヘイビアベースによるリスク分析

Cloud Authentication Serviceではルールベースのリスク分析に加え、ビヘイビアベースのリスク分析が可能です。
ビヘイビアベースの分析では、ユーザーの振る舞いに関するデータを蓄積し、これに基づき分析エンジンがリアルタイムで分析・評価を行います。その結果、「“いつもの”アクセスパターンと異なる」との判定結果が出れば、追加認証を要求、あるいは、ログインを拒否することができます。これにより、毎回ユーザーが追加認証を要求されることなく、リスクが高いと判定された場合のみ追加認証やログイン拒否といった動作となり、利便性と高いセキュリティを兼ね備えたワンランク上の認証を実現できます。
Cloud Authentication Serviceはユーザーの振る舞いを学習する要素として、以下のデータを収集します。
  • IPアドレス
  • 接続元の国、位置情報
  • 利用デバイス情報(OS種別など)
  • アクセス日時(時間および平日か週末かの情報)
  • アプリの利用状況
また、リスクの判定においては以下のようなアクティビティについて、リスクが高いとみなされます。
  • 連続で認証が失敗している
  • 複数のデバイスから同時にアクセスしている
  • 同一のデバイスで複数のユーザーがアクセスしている
  • 複数のユーザーが同一IPでアクセスしている

ルールベースとビヘイビアベースによるリスク分析

例えば、今まで日中に日本国内からしかログインしてこなかったユーザーが、突如として夜間に国外からログインを試行した場合、“リスクが高いアクセスである“と認識してアクセスを拒否します。

ビヘイビアベースによるリスク分析

RSA Authentication Managerとの連携

Cloud Authentication Serviceは、オンプレミス環境の認証サーバーAuthentication Managerと連携できます。既にAuthentication Managerを利用されているお客様は、クライアントや連携機器に変更を加えることなく、追加で多要素認証(MFA)やアクセスポリシーに基づく認証機能を追加することが可能です。

お客様システムとの連携方式・構成

Cloud Authentication Serviceは、お客様環境にある製品やクラウドサービスなど、様々なシステムとの連携をサポートします。

RADIUS連携

連携対象システムがRADIUS認証に対応している場合の構成例です。
連携対象システム(RADIUSクライアント)からIDR(RADIUSサーバー)へ認証を行います。

RADIUS連携

*Identity Router(IDR)とは
クラウド上のCloud Authentication Serviceと、社内にある保護されたリソース(連携機器)やADとの認証情報のやり取りを中継する機能を持ったサーバーです。本サービスを利用するにあたって、お客様環境に構築が必要なサーバーとなります。

SAML連携 (クラウドIdP)

連携対象システムがSAML認証に対応している場合の構成例です。
※SP-Initiatedに対応

SAML連携 (クラウドIdP)

SAML連携(オンプレミスIdP)

連携対象システムがSAML認証に対応している場合の構成例です。
※SP-InitiatedおよびIdP-Initiatedに対応
IDR上で提供されるポータル画面を経由して、連携対象のウェブアプリケーション複数へのシングルサインオンが可能です。

SAML連携(オンプレミスIdP)

 

ユースケース/構成例

Cloud Authentication ServiceとPrisma Accessの連携構成例を以下に示します。

Cloud Authentication ServiceとPrisma Accessの連携構成例

*1 *2 ユーザーIDの情報ソースとして、社内のActive Directory(AD)を参照するために社内にIdentity Router(IDR)を構築し、Cloud Authentication Service(CAS)へとユーザー情報を同期します。

① クライアントは最初にPrisma Access Portalへ接続します。
② Prisma Access PortalはService Provider(SAML)としてCASと連携しているため、CASの認証画面へとクライアントをリダイレクトさせます。クライアントはCASの認証画面で認証を実施します。
③ 認証後Prisma Access Portalの画面にリダイレクトされ、Prisma Access Portalでアサーションが検証されます。
④ アサーションに問題がない場合、Prisma Access GatewayへリダイレクトされVPN接続が開始されます。
 

IDRシステム要件

IDRは仮想アプライアンスイメージとして提供されます。VMware、Hyper-V、AWS(Amazon Web Services)プラットフォームへの導入に対応しています。

VMwareまたはHyper-V

仮想マシン構成要件 最小要件 推奨
ディスク容量 54 GB 54 GB
メモリ 8 GB 16 GB
vCPU 4 4
ネットワーク・インターフェース (VMware) 1つまたは2つのE1000仮想ネットワークアダプタ 1つまたは2つのE1000仮想ネットワークアダプタ
ネットワーク・インターフェース (Hyper-V) 1つまたは2つの統合ネットワークアダプタ 1つまたは2つの統合ネットワークアダプタ

VMwareソフトウェア要件

ソフトウェア要件 条件
VMwareプラットフォーム VMware ESXi 5.5以降
VMware vSphereクライアント 上記VMwareプラットフォームでサポートされるバージョン

Amazon Web Services

仮想マシン構成要件 要件
インスタンスタイプ t2.large
vCPU 2
メモリ 8 GB
ディスク容量 54 GB

RSA SecurIDに
関するお問い合わせ

  • テクマトリックス株式会社
    東京本社

    ネットワークセキュリティ事業部
    第3営業部
    セキュリティプロダクツ営業3課

    03-4405-7869

  • テクマトリックス株式会社
    西日本支店

    ネットワークセキュリティ営業課

    06-6484-7486

メールでのお問い合わせ
sdi-info@techmatrix.co.jp

CONTACT

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。