TOP /  セキュリティ/認証 /  テレワーク/リモートワークのセキュリティ強化(多要素認証の導入)を、オープンソースで実現する

テレワーク/リモートワークのセキュリティ強化(多要素認証の導入)を、オープンソースで実現する | セキュリティ/認証

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

テレワーク/リモートワークのセキュリティ強化(多要素認証の導入)を、オープンソースで実現する  (株式会社デージーネット 大野公善氏)

調整中

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

本資料を見るには次の画面でアンケートに回答していただく必要があります。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

セミナー全体の評価と、参加者からのコメント

参加者によるこのセミナーの評価は、
4.0 でした!(5点満点中)
セミナー名 テレワーク/リモートワークのセキュリティ強化(多要素認証の導入)を、オープンソースで実現する
講演企業 株式会社デージーネット
開催日 2018年02月15日
匿名の参加者
コメントなし
匿名の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 50代 男性 の参加者
OpenXPKIをテストしてみたいと思います。
その他のIT関連業 60代以上 男性 の参加者
コメントなし
消費者に対してITを提供する企業(Webサービス、ゲームなど) 30代 男性 の参加者
知らなかったツールなどを知ることができたので良かった。 もう少し長い時間をかけて詳しい解説を聞きたいと思った。
匿名の参加者
OSSでできるということを知ることができて良かった。
流通業(卸売・小売) 50代 女性 の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 50代 男性 の参加者
認証をオープンソースで組み込めるということがわかりました。
その他のIT関連業 20代 男性 の参加者
社内チャットを探していたため、Roket chatの話を聞けて良かったです。
その他のIT関連業 50代 男性 の参加者
テレワークの事例が聞きたかった。
消費者に対してITを提供する企業(Webサービス、ゲームなど) 30代 男性 の参加者
OpenXPKIは使ってみたいと思いました。
消費者に対してITを提供する企業(Webサービス、ゲームなど) 40代 男性 の参加者
コメントなし

2018年2月15日
テレワーク/リモートワークのセキュリティ強化
(多要素認証の導入)を、オープンソースで実現する
自己紹介
株式会社 デージーネット
OSS研究室 大野 公善
2
株式会社デージーネット
プロフィール
設立
1999年5月
本社
愛知県 名古屋市 名東区
東京営業所 東京都 港区 浜松町
企業理念
より良い技術で、インターネット社会の便利と安心に貢献します。
事業内容
オープンソースソフトウェアを中心としたシステムインテグレーション
専門的技術サービスの提供
(全国のISP、ネットサービス、企業、大学等)
設計、構築、運用、管理、保守まですべてをトータルに提供
書籍の出版
3
書籍出版
4
テレワーク/リモートワークのセキュリティ強化
(多要素認証の導入)を、オープンソースで実現する
5
テレワーク/リモートワークとは?
テレワーク / リモートワーク とは?
情報通信技術を利用した
時間や場所にとらわれない勤務形態
テレワーク = テレ(tele:遠く) + ワーク(work:働く)
リモートワーク = リモート(remote:遠隔) + ワーク(work:働く)
※「テレワーク」と「リモートワーク」は、同じ意味合い
※最近は「リモートワーク」と呼ばれることが多い
6
リモートワークの形態
サテライトオフィス
カフェ
会社・オフィス
在宅勤務
モバイルワーク
7
リモートワークの課題
セキュリティ
自宅やサテライトオフィス等から会社に接続
不正な接続, 情報漏洩 の脅威
セキュリティを確保するためのシステム導入コスト
システム管理者の運用の負担
全システムの認証を変更するのは難しい
(ソフトウェア毎の対応は非現実的)
→ 集中管理したい
ネットワーク通信の暗号化が必要
VPN利用, TLSによる通信の暗号化 等
コミュニケーション
同じ場所にいないため、ちょっとした会話が難しい。
8
リモートワークのセキュリティを確保するために
リモートワークの
セキュリティを確保するために
「多要素認証」
9
多要素認証とは?
多要素認証
複数の認証方法を組み合わせて使用
セキュリティ強度を向上
二要素認証とも言う
10
認証に使われる要素
強い
生体認証
本人の持つ生物学的な要素
で認証を行う。
セキュリティ
強度
所有物認証
本人が所有する「もの」で認証
を行う。
弱い
知識認証
本人が知っている「知識」で認証
を行う。
指紋認証
虹彩認証
静脈認証
声紋認証 等
セキュリティトークン
電子証明書
スマートフォン本体 等
ユーザID/パスワード
暗証番号 等
11
多要素認証の必要性
生体認証
指紋読み取り装置や虹彩読み取り装置等の特別な機器が必要
これらの機器を使用するための専用ソフトウェアも必要
導入コストがかかる
セキュリティ強度は高いが、導入の敷居が高い
所有物認証、知識認証
特別な機器がなくても使用できる
オープンソースソフトウェアでの実装も可能
導入コストを抑えることができる
所有物認証と知識認証を組み合わせれば、セキュリティ強度も確
保できる
12
多要素認証に利用できる認証方法
ワンタイムパスワード (OTP)
一回限りの再利用できない使い切りパスワード
外部にOTPが漏れたとしても、一回限りしか使用できないので不
正に利用されることはない
インターネットバンキング等でよく利用されている
クライアント証明書
ユーザ毎に発行する電子証明書
システムを利用するデバイス(PCやスマートフォン)にインストール
して、正規のユーザであることを認証する
クライアント証明書がインストールされているデバイスからのみ、シ
ステムにアクセスできるように制限できる
配布したクライアント証明書の失効を行えば、そのデバイスからの
接続を禁止することもできる
13
ワンタイムパスワード認証の仕組み (時刻同期方式)
1. 準備
2. OTP生成
ユーザID
シークレットキー
OTPを生成
認証サーバ
OTP生成機器 と 認証サーバ に
ユーザIDとシークレットキーを共有しておく
シークレットキーと現在時刻を元に
ワンタイムパスワードを生成する
3. OTP入力
4. OTP認証
OTPを確認
ID: user01
認証サーバ
シークレットキーと現在時刻を元に
ワンタイムパスワードが正しいか確認する
正しければ、認証OK
OTP: 864185
ワンタイムパスワードを入力する
14
OSSによるワンタイムパスワードの実装
Google Authenticator
Googleが公開しているワンタイムパスワードの仕組み
iOS/Androidアプリ と 認証モジュール が提供されている
Google Authenticatorアプリ
iOS/Androidで利用できる
ワンタイムパスワードを生成
Google Authenticator認証モジュール
この認証モジュールを使用すれば
Google以外でもGoogle Authenticator
の仕組みを利用することができる
Linuxシステムログイン、ウェブサーバ、
メールサーバ等、様々な用途で利用可能
15
Google Authenticator認証のシステム構成例
VPN装置等の認証機器
ユーザID
パスワード
OTP
認証
要求
認証
結果
[認証サーバ]
スマートフォンの
アプリとして提供
トークン
(OTP生成器)
Radiusサーバ
(FreeRADIUS)
LDAP
アクセス
PAM
(Pluggable Authentication Module)
ActiveDirectory
サーバ
Google Authenticator
認証モジュール
PAMモジュール
として提供
16
Google Authenticatorの利用例
利用例1) 多要素認証対応VPN装置への接続
多要素認証対応VPN装置
VPN接続
ID: user01
パスワード: passwd
OTP: 123456
ユーザID/パスワード
ワンタイムパスワード
をVPN装置に送信して認証
17
Google Authenticatorの利用例
利用例2) 多要素認証非対応VPN装置への接続
多要素認証非対応VPN装置
VPN接続
ID: user01
パスワード: passwd123456
ユーザID/パスワード+ワンタイムパスワード
をVPN装置に送信して認証
[パスワード][OTP]
の形式でパスワードを指定
多要素認証非対応の認証機器でも
OTPによる多要素認証を実装できます
18
Google Authenticatorを利用するメリット
Radius対応
Radiusに対応した認証機器・ソフトウェアであれば、
OTP認証を利用できる
多要素認証非対応の認証機器でも、Radiusに対応していれば、多
要素認証を実現できる
認証機能をRadiusサーバで集中管理できる
オープンソースソフトウェアによる認証サーバ
Google Authenticator, PAM(Linux), FreeRADIUSは、すべて
オープンソースソフトウェア
ユーザライセンスが不要
いろいろなソフトウェアに適用可能
ウェブサーバ, メールサーバ, Linuxログイン
ウェブメール(roundcube)
19
クライアント証明書認証の仕組み
1. 準備
2. リモート接続
認証局
リモート接続時にクライアント証明書
が送信される
認証局が発行したクライアント証明書を
PCにインストールする
認証局とは?
電子証明書を発行する機関
[パブリック認証局]
一般的なウェブブラウザやメール
ソフトウェアに組み込まれている
電子証明書を発行
[プライベート認証局]
組織内だけで利用する電子証明
書を発行
3. 証明書の検証
(検証結果)
接続できる
接続が拒否される
クライアント証明書が正しいか検証する。
20
クライアント証明書の失効
1. 証明書失効手続き
2. 証明書が失効したクライアントからの
リモート接続
証明書
失効リスト
失効した
証明書
認証局
証明書が失効されたクライアント
から接続する
認証局が発行する証明書失効リストを
リモート接続システムに登録する
3. 証明書の検証
接続が拒否される
失効した
証明書
証明書失効リストを確認し、失効リストに登録されていれば
検証失敗とする
21
クライアント証明書認証のシステム構成例
(VPN接続)
VPN装置等の認証機器
クライアント証明書
認証
要求
(ウェブ認証)
認証
結果
クライアント
証明書
ウェブサーバ
(Apache HTTP Server)
クライアント証明書
認証機能
Apache HTTP
Server の機能
[ウェブサーバ]
Radiusサーバ
(FreeRADIUS)
クライアント証明書
認証機能
FreeRADIUS
の機能
[VPNシステム]
22
クライアント証明書を利用する場合の課題
クライアント証明書の運用コスト
パブリック認証局のクライアント証明書を利用する場合、運
用コストがかかる
大手パブリック認証局では100ユーザで約70万円/年
システム管理者の負担
プライベート認証局を自社運用する場合、クライアント証明
書発行手続き等の運用の負担がかかる
23
OSSを使用したプライベート認証局の運用
OpenXPKI
プライベート認証局を構築するためのソフトウェア
The Open XPKI Projectが開発しており、オープンソースソフト
ウェアとして公開
日本語対応はデージーネットが担当
OpenXPKIでできること
ウェブブラウザによるプライベート認証局の運用
GUIにより認証局の業務を容易に行える
電子証明書の発行
サーバ証明書、クライアント証明書、セキュアメール証明書
発行した電子証明書の失効処理
プライベート認証局: クライアント証明書の運用コストを削減
OpenXPKI: 煩雑な認許局の業務を簡素化
24
OpenXPKIの利用イメージ
OpenXPKI
デモンストレーション
25
リモートワークのコミュニケーションを円滑するために
リモートワークの
コミュニケーションを
円滑にするために
「ビジネスチャットシステム」
26
ビジネスチャットシステムとは?
ビジネスチャットシステムとは?
ネットワークを介して、リアルタイムに会話を行うためのツール
ウェブブラウザや専用ソフトウェアを使用して会話を行う
[ビジネスチャットのイメージ]
在宅勤務
本社
○○の進捗を教えて!
わからないことが
あって調査中です...
何を調査してる?
○○さんが
知っていますよ!
移動中
仮想的な
プロジェクトルーム
27
OSSのビジネスチャット
Rocket.Chat
オープンソースソフトウェアのビジネスチャットサーバ
オンプレミスでビジネスチャットシステムを構築できる
組織内に閉じたビジネスチャットを構築可能
機密情報や個人情報の会話を行っても安心
ウェブブラウザ、デスクトップクライアント、モバイルクライアントから
利用できる
デスクトップクライアント
Windows, MacOS, Linux
モバイルクライアント
Android, iOS
Slackと同様の使用感
28
Rocket.Chatの利用イメージ
29
デージーネットの提供サービス
FreeRADIUSを使用した認証サーバの構築
Google Authenticator連携
クライアント証明書連携
OpenXPKIを使用したプライベート認証局の構築
Rocket.Chatを使用したビジネスチャットサーバの構築
デージーネットのホームページ
https://www.designet.co.jp/
30
まとめ
テレワーク/リモートワーク
リモートワークのメリットと課題
多要素認証
多要素認証とは?
多要素認証を行うための認証方法
(OTP, クライアント認証)
OSSを使用したOTPやクライアント認証の事例紹

コミュニケーションを円滑にするために
OSSのビジネスチャット Rocket.Chatの紹介
31

他のカテゴリから探す

IT業界の改革にご協力いただけませんか?

本サイトは、株式会社オープンソース活用研究所がプロデュースする、中小IT企業による”本気”の情報提供セミナー「マジセミ」の結果レポートページです。「マジセミ」は、次を目的として活動しています。

我々はITエンジニアが、今よりももっと「誇り」と「喜び」をもって仕事をし、今よりももっと企業や社会に貢献できる、そんなIT業界を創りたいと考えています。

そのためには、技術をもった中小のIT企業がもっと元気になる必要がある。その為には、技術をもった中小のIT企業を、もっと皆様に知って頂く必要がある、と考えました。

株式会社オープンソース活用研究所
代表取締役所長 寺田雄一

本当かウソか、あなたが見極めてください。

もし、我々のこの活動にご賛同していただけるのであれば、ぜひ下のセミナーに参加してください。

「なんだ、結局ただの売り込みセミナーじゃないか」

もしそう感じたら、アンケートなり、あなたのFacebookなりに、そのままお書き頂き、拡散して頂いて構いません。

参加者からのお褒めの言葉、お叱りの言葉が、我々中小IT企業を成長させ、それが日本のIT業界を変えていくのだと、強く確信しています。

あなたの行動が、日本のIT業界を変えるのです。

「マジセミ」のFacebookページ

今後のセミナー情報などを提供させていただきたますので、「マジセミ」のFacebookページに「いいね!」をお願いします。

日本のIT業界を変えるためのアクション、ありがとうございました!

関連するセミナーの講演資料
オープンソースで実現するシングルサインオンの概要(Offce365連携から、会員統合、ソーシャル連携、多要素認証まで) デジタル革命時代の「攻めと守りの認証/ID管理」(基調講演:NIST SP800-63-3 などに見る、サイバーセキュリティ対策の国際動向/みずほ銀行など採用、パスワード不要のFIDO最新動向) 【東京開催】オープンソース「OpenAM」によるシングルサインオンの概要 ~ IDaaS等との比較、導入時の注意点 ~ 【福岡開催】オープンソース「OpenAM」によるシングルサインオンの概要 ~ IDaaS等との比較、導入時の注意点や体験談も ~ オープンソース(OpenAM / Keycloak)によるシングルサインオンの概要と、商用製品やIDaaSとの比較 WordPressサイトを常時SSL化する方法と、常時SSL化による新たな脆弱性問題 クラウド活用+リモートワークのためのIDライフサイクル管理の重要性(基本機能無料のIDaaS SKUID+LDAP Managerでの解決策) 悪意のリモートワーカーを前提にしたセキュリティ対策(情報セキュリティガイドラインをどう改定すればよいのか?) 【SIer向け】顧客企業の「認証・ID管理」の課題を理解し、オープンソース(OpenAMなど)を活用した「刺さる提案」をするために Googleが推奨しているWebサイトの常時SSL化によって、逆に生じるセキュリティ問題があることをご存知ですか?