TOP /  セキュリティ/認証 /  万が一パスワードが漏えいしても不正アクセスを防ぐ方法(Webアクセス時の多要素認証の導入方法の紹介)

万が一パスワードが漏えいしても不正アクセスを防ぐ方法(Webアクセス時の多要素認証の導入方法の紹介) | セキュリティ/認証

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

万が一パスワードが漏えいしても不正アクセスを防ぐ方法(Webアクセス時の多要素認証の導入方法の紹介)  (株式会社ムービット 谷地田 工)

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

セミナー全体の評価と、参加者からのコメント

参加者によるこのセミナーの評価は、
3.5 でした!(5点満点中)
セミナー名 万が一パスワードが漏えいしても不正アクセスを防ぐ方法(Webアクセス時の多要素認証の導入方法の紹介)
講演企業 株式会社ムービット
開催日 2019年02月27日
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
・企業告知であるならば、それはキチンと企画に、告知に出してほしい。 ・おなじパスワード、認証系のトレンドや他社製品とのひかくをきちんとした上で、自社見解と自社製品の説明をすべき。 ニュースのコピペだけなら、ググればわかります。
匿名の参加者
最近のニュースをもり込んで説明していただいたのがよかった点です
匿名の参加者
もう少し様々な認証の話が聞けるのかと思っていました。 ありがとうございました。
匿名の参加者
多要素認証のアプライアンス製品について、概要が良く分かりました。
匿名の参加者
基礎知識から玄人情報まで幅広いインフォメーションをありがとうございました。
匿名の参加者
新しい情報もあり参考になりました。
匿名の参加者
コメントなし

万が一パスワードが漏えいしても
不正アクセスを防ぐ方法
Webアクセス時の多要素認証の導入方法の紹介
株式会社ムービット
会社概要
社名 株式会社ムービット
設立 1995年12月8日
所在地 東京都北区王子1-28-6
主な製品 Powered BLUE シリーズ
アプライアンスサーバー ( Linux )
ソフトウエア開発
メールアドレス流出
パスワードの盗難
・偽メール
・添付ファイル/URLアクセス
・キーボードロガー
・日本語変換エンジン
Baidu IME (バイドゥ アイ・エム・イー)
Wi-Fi
野良Wi-Fi / 偽Wi-Fi
暗号化されていない
暗号強度が低い
パスワードがない
監視カメラ
ダークウェブ
流出メールアドレスチェックサイト


① メールアドレスを入力
② pwned ? を押す
Oh no --- pwned !
残念でした
Good news no pwnage
found!
大丈夫
パスワード流出チェックサイト


① パスワードを入力
② pwned ? を押す
アカウント流出チェックサイト
通信経路のSSL暗号化 とWebサーバー
通信経路のSSL暗号化 とWebサーバー
リモートワーク対応
Webアクセス時のセキュリティ
14
通信経路のSSL暗号化 とWebサーバー
WAF
その1
WAF A社
http のログ
httpアクセスエラー 400番台 を検知してトラップ
www.mubit.com 66.29.66.21 - - [27/May/2018:13:28:15 +0900] "GET /mubit.css HTTP/1.1" 404 2909
"http://www.mubit.com/download/diskto_CDSCSIRAID.html" "Mozilla/5.0 (compatible; Googlebot/2.1;
+http://www.google.com/bot.html)"
httpログインエラー 400番台 を出さないアプリもある
http アクセス
200番台のログ
WAF
その2
WAF B社
http
ログファイルのログインのみモニター
(エラーかエラーでないかは問わない)
Aさんのアカウントで10回/秒 アクセスされたらブロック
同一IPなどから異なるアカウントでのアクセスには対処できない
多要素認証のニーズ
・社内LAN
から
無線LAN
・PC から PC/スマフォ/タブレット
・働き方改革 社外からアクセス
多要素認証
① ユーザーが知っている事(知識情報)
② ユーザーが持っているもの(所持情報)
③ ユーザー自身の特徴(生体情報)
① 知識情報
・ID/PASSWD
・PIN番号/社員番号/etc
・秘密の質問
② 所持情報
・ワンタイムパスワード
・SSLクライアイント証明書
・USBトークン
・SMS認証
③ 生体情報
・指紋認証
・顔認証
・網膜認証
想定の利用ユーザー層
■ 会社員のみ
■ 小学生
から

主婦

年配

方まで ○
求められる多要素認証ソリューション
■Webアプリの改修が不要
■特定のハードウェアに依存しない
■導入の敷居が低い
■汎用性
汎用性
■ PC / スマフォ / タブレットから利用
■ ブラウザから利用出来ること
多要素認証
■1要素の認証
■ ID / パスワード認証
■2要素の認証
■ SSLクライアント認証

■ ワンタイムパスワード認証
「 SSLクライアント認証 」での Webアクセス
「 証明書のないユーザー 」 は
Webアクセスできません
SSL証明書
■ SSLのサーバー証明書
■サーバーにインストール
■アクセス先のサーバーの身元を証明
■ SSLのクライアント証明書
■クライアントの機器にインストール
■アクセス元のクライアントの身元を証明
相互に確認
■ SSLクライアント証明書
■ SSLサーバー証明書
SSL証明書発行元による相違
■ パブリック証明書
■グローバルサイン 公的にも利用
■発行・失効 時間がかかる
■有効期間 年単位
■ プライベート証明書
■自社などで発行 私的な利用
■発行・失効 迅速
■有効期間 日・週・月・年単位
証明書の組み合わせ
ケース1
ケース2
ケース3
ケース4
SSLサーバー
証明書
Public

Public

Private

Private

SSLクライアント
証明書
Public

Private

Private

Public

価格
高価
安価
最安
意味がない
SSLサーバー証明書の誤発行
Symantec 傘下の Thawte は
Google の 許可なし に
google.com

EV証明書 を 発行
Google-chrome
Googleは2018年10月以降
「Chrome 」では
Symantecやジオトラスト、
RapidSSLなどが発行したSSL証明
書が全面的に信頼されなくなる
「https://」で始まるすべてのWeb
サイトで「保護されていません」
と警告を表示する
事業移管
Symantec デジサート
Thawte Thawte
GeoTrust GeoTrust
RapidSSL RapidSSL
「 SSLクライアント認証 」 での
「 証明書のないユーザー 」 は
Webアクセス
Webアクセスできません
SSLクライアント認証例
証明書
有効
証明書
なし・失効
Webアクセス時 の ワンタイムパスワード認証
■ 2要素認証
■ワンタイムパスワード & ID/パスワード認証
他社のワンタイムパスワードのWeb認証でも利用が可能
OSS/無償のソフトウエアトークンで使えるサービスなど
・Google
・Amazon
・Microsoft
・Facebook
・仮想通貨のサイト
インターネットバンキング
etc
Webアクセス時 の ワンタイムパスワード認証 例
今日の素材
「Powered BLUE Web Station」
① Powered BLUE 870
② Powered BLUE Private CA
③ Powered BLUE 870/OTP

Powered BLUE 870
インターネットサーバー機能
Web/Mail/DNS/FTP/ サーバー機能を1台で運用
RedHat / CentOS 7.x (64bit) に対応
フリープラグイン
Let`s Encrypt
( 無償SSLサーバー証明書 / 自動更新 )
WordPress ( CMS / ブログ / ホームページ )
ownCloud ( オンラインストレージ )
Roundcube ( Web Mail )
サードパーティソフト
サイボウズ
デスクネッツ
監視ソフト
UPS 他

Powered BLUE Private CA
1)インターネットサーバー 機能
Web
/
Mail /
DNS
RedHat / CentOS 7.x
/
FTP /
(64bit) に対応
2)Private CA 機能
SSLクライアント証明書発行・管理
3)SSLクライアント認証 機能
WebサイトのSSLクライアント認証
4) オールインワン
リバースプロキシ
アプリ

Powered BLUE 870/OTP
1)インターネットサーバー 機能
Web
/
Mail /
DNS
RedHat / CentOS 7.x
/
FTP /
アプリ
(64bit) に対応
2) ワンタイムパスワード認証
Webサイトのワンタイムパスワード認証
3)ワンタイムパスワードユーザー管理
ID/パスワード(発行・管理・認証)
4) オールインワン
リバースプロキシ
Powered BLUE アプライアンスの位置
SaaS
Powered BLUE
Pass
IaaS
OS まで
( OS+GUI+アプリ )
「 SSLクライアント認証 」 での
「 証明書のないユーザー 」 は
Webアクセス
Webアクセスできません
プライベートCA

and
Web サーバー
通常の構成
■ CAとWebを2台での運用
Powered BLUE プライベートCA


Web サーバー
オールインワン
■ CAとWebを1台での運用に対応
プライベート CA

+ リバースプロキシ
既存Webサーバー連携
■ CA + リバースプロキシ での運用に対応
プライベートCA

ロードバランサー
■ LB対応

CA / Web の分離 ロードバランサー対応
プライベートCA + リバースプロキシ + ロードバランサー

リバースプロキシのLB対応
■ エンド to エンド のSSL運用も可能
「Public」SSLクライアント証明書での認証
SSL-VPNを利用
SSL-VPN
ブラウザのみで利用可能
SSL-VPNでのRDP接続例
SonicWall SSL-VPN
RDP 接続
Windows サーバーへ
ワンタイムパスワード生成器(トークン)
ハードウエアトークン

ソフトウエアトークン
Webアクセス時 の ワンタイムパスワード認証
ワンタイムパスワード認証機能付属のWebサーバー
Google Authenticator
(ソフトウエアトークン)
・Google社
・Google Authenticator のフォーマットを OSS で公開
・スタンダードになった
他社のワンタイムパスワードのWeb認証でも利用が可能
OSS/無償のソフトウエアトークンで使えるサービスなど
・Google
・Amazon
・Microsoft
・Facebook
・仮想通貨のサイト
インターネットバンキング
etc
OSSや無償の主なソフトウエアトークン
製品
iOS
Android
PC
価格 備考
Google 〇 無償 OSS
Authenticator
IIJSmartKey 〇 無償 日本語対応
Authy 〇
WinAuth
〇 無償
Windows/Mac/Linux
〇 無償
Windows
秘密鍵(共有鍵)のフロー
ワンタイムパスワードの同期
Webアクセス時 の ワンタイムパスワード認証
ワンタイムパスワード認証機能付属のWebサーバー
ワンタイムパスワード認証Web
+ リバースプロキシ
■ 既存Webサーバー連携
■ワンタイムパスワード + リバースプロキシ 運用に対応
Powered BLUE 機能・ アプリ
Powered BLUE 870
基本
フリープラグイン
オプション
機能 内容
Web マルチドメイン・マルチサイト
Mail 中継・送信・受信・メールボックス
DNS
ftp
Let’s Encrypt 無償SSLサーバー証明書
WordPress CMS
RoundCube Web Mail
ownCloud オンラインストレージ
PrivateCA SSLクライアント証明書発行・管理
SSLクライアント認証 Private/Publicに対応
ワンタイムパスワード認証
リバースプロキシ
運用アプリ 例
グループウエア
サイボウズ
デスクネッツ

動作スペック
Powered BLUE 870
OS
スペック
内容
CentOS 7.x (64bit) / RedHat 7.x (64bit)
1 Core (min)
2048MB mem (min)
20GB HDD (min)
Ethernet x 1(min)
アプライアンス
OS + 専用GUI + アプリ
政府方針
クラウドは国産を要請
重点14分野
情報通信・金融・航空
空港・鉄道・電力・ガス・政府
行政サービス・医療・水道
化学・物流・クレジット・石油
国内法を適用
データ保管に3段階の基準・監査
安全基準 3段階
安全性の審査を 定期的に実施
IaaS各社
AWS基盤を利用したZenlogic社のサービス

SaaS on AWS / リージョン
アジアパシフィック (東京)
アジアパシフィック (大阪: ローカル)
アジアパシフィック (シンガポール)
アジアパシフィック (ソウル)
米国西部 (北カリフォルニア)
ファーウェイ

ZTE
ルーター / ファーウェイ
ONU / ファーウェイやZTE
アプライアンス
10分
仮想アプライアンス

運用開始
ハードウエアアプライアンス
「 Powered BLUE 」仮想環境

仮想アプライアンス
VMware / Hyper-V
■ クラウド対応
● NTT communications
● NTTPC コミュニケーションズ
● 富士通
Fujitsu Cloud Service for OSS
● GMO
ALTUS
● AWS
● Azure
AWSの場合
専用のAMIを選択
Powered BLUE / 富士通のマーケットプレース
GMOクラウド・ALTUSの場合
Server Spec : 1core / 2048MB Memory
クラウド基盤の例
サービス名
AWS
AWS/EC2/東京
サーバースペック
1 Core
2 GB Memory
30 GB HDD
IP Address=1個
1 Core
2 GB Memory
Fujitsu Cloud Service 30 GB HDD
for OSS (旧K5)
IP Address=1個
月額
備考
$66.9 データ転送量従量課金
7425円 転送量 4TB時の費用
(5.5GB/hour)
4665円 データ転送量が無料
(オブジェクトストレージも)
富士通
Horizon / Ansible 対応
NTT PC
Web ARENA
SuitePRO V4
GMO
ALTUS
2 Core
2 GB Memory
100 GB HDD
IP Address=1個
1 Core
2 GB Memory
20 GB HDD
IP Address=1個
8400円
データ転送量が無料
HA機能付属
2300円
データ転送量が無料
スナップショット機能
管理画面
1)日本語・英語の2か国語対応
2)パッチなどの自動アップデート機能
「ひとり情シス」にも対応
サーバーのモニタリング & サービスの自動再起動 & パッチ適用
常時SSL化対応
■ SNI
セキュリティの強化
(Server Name Indication)
機能
IPアドレス1個で、全WebサイトのSSL化に対応
■ Webバージョンの非公開やSSLセキュアレベルの指定機能
■ HSTS (HTTP Strict Transport Security) 機能
httpでアクセスをhttpsでの接続で通信する機能
■ SELinux対応 (セキュアOS)
アプリ(フリープラグイン)
Let’s Encrypt / 無償SSLサーバー証明書
自動更新対応
CMS / WordPress (フリープラグイン)
同一サイト内で複数のブログを構築・運用の例
WebMail
roundcube
(フリープラグイン)
83
ownCloud
(フリープラグイン)
自社構築・運用出来る
オンラインストレージ
ストレージ容量無制限
・外部ストレージ連携
・バックアップリストア
・多要素認証
SSLクライアント認証 & ワンタイムパスワード認証

■グループウエア・Webメール
■サイボウズ
■デスクネッツ ■Active! mail
■ RoundCube ■NIコラボスマート ■Aipo
■ワークフロー
■X-point ■楽々Workflow ■NIコラボスマート
■eValue NS
■Power egg
■Seagull Office
■NTTデータ イントラマート ワークフロー
■オンラインストレージ ■ownCloud
■FileBlog
■Proself
■他 ■ホームページ
■WordPress
■Zabbix
サイト構成 & 運用
■ 仮想サイト

1個
www. xyz.com/ Webページ
www. xyz.com/wordpress Webページ
www. xyz.com/cybozu サイボウズ
www. xyz.com/roundcube Webメール
www. xyz.com/owncloud ストレージ
www. xyz.com/rev-proxy リバースプロキシ
■ 任意 の dir に
SSLクライアント認証
ワンタイムパスワード認証
SSL化対応 Webサーバー と IPアドレス
一般的なWebサーバー
Powered BLUE 870 サーバー
レシピ ①
市内小中学校50校のWebを構築
■ 一般的なWebサーバー で SSL対応 50サイト構築
固定IPアドレス
SSLサーバー証明書
50個 x 1000円/月=60万円
50枚 x 3万円/年=150万円
■ Powered BLUE で SSL対応50サイト構築
固定IPアドレス
1個
■ Web サイト管理者
SSLクライアント認証
1万2千円/年
学習塾 の Web
レシピ ②
■ トップページ

構築
ワールドワイド に 公開
WordPress で Web ページ作成

■ 特定のページは
ワンタイムパスワード認証
■ スマフォ

生徒
のみに
公開
ソフトウエアトークン
Apps Store/Google Play から ダウンロード
小学校1-2年 の 生徒 でも インストール可能

レシピ ③
■ デスクネッツ
既存


Webサイト
への
認証
SSLクライアント認証連携
レシピ ④
病院内

医療用画像
■ SSLクライアント認証

ワンタイムパスワード認証

閲覧
「 Powered BLUE アプライアンス」 おさらい
■マルチサイトWeb
WordPress や Let's Encrypt 対応
IP アドレス 1個 で運用
■社員
会員 向けの 専用Web ページ
SSLクライアント認証
ワンタイムパスワード認証

■ オールインワン
Webアプリ
から
リバースプロキシ
まで
製品の サイト
■ Powered BLUE 870 Webアプライアンス
https://www.powered.blue/sub/products/blue/b870.html
■ Powered BLUE 870 プライベート CA
https://www.powered.blue/sub/products/ca/b870-ca.html
■ Powered BLUE 870/OTP
https://www.mubit.co.jp/sub/products/blue/b870-otp.html
■ Powered BLUE Web Station
https://www.mubit.co.jp/sub/products/blue/b870-webstation.html

他のカテゴリから探す

IT業界の改革にご協力いただけませんか?

本サイトは、株式会社オープンソース活用研究所がプロデュースする、中小IT企業による”本気”の情報提供セミナー「マジセミ」の結果レポートページです。「マジセミ」は、次を目的として活動しています。

我々はITエンジニアが、今よりももっと「誇り」と「喜び」をもって仕事をし、今よりももっと企業や社会に貢献できる、そんなIT業界を創りたいと考えています。

そのためには、技術をもった中小のIT企業がもっと元気になる必要がある。その為には、技術をもった中小のIT企業を、もっと皆様に知って頂く必要がある、と考えました。

株式会社オープンソース活用研究所
代表取締役所長 寺田雄一

本当かウソか、あなたが見極めてください。

もし、我々のこの活動にご賛同していただけるのであれば、ぜひ下のセミナーに参加してください。

「なんだ、結局ただの売り込みセミナーじゃないか」

もしそう感じたら、アンケートなり、あなたのFacebookなりに、そのままお書き頂き、拡散して頂いて構いません。

参加者からのお褒めの言葉、お叱りの言葉が、我々中小IT企業を成長させ、それが日本のIT業界を変えていくのだと、強く確信しています。

あなたの行動が、日本のIT業界を変えるのです。

「マジセミ」のFacebookページ

今後のセミナー情報などを提供させていただきたますので、「マジセミ」のFacebookページに「いいね!」をお願いします。

日本のIT業界を変えるためのアクション、ありがとうございました!