• BLOG
  • Enabling zero sign-on by replacing passwords with mobile as ID

パスワードの代わりにモバイルデバイスをIDとしてゼロ・サインオンを実現

2019年5月08日
Enabling zero sign-on

本日、 MobileIronは、モバイルデバイスをIDとして利用し、企業へのセキュアなアクセスを実現する、業界初のゼロトラスト環境でモバイルを中心としたエンタープライズセキュリティプラットフォームを発表しました。モバイルデバイスをIDとすることで、企業はついにパスワードを排除し、ユーザーはパスワードを覚えて入力する手間なくすべてのデバイスで安全で簡単なユーザー認証が可能となります。ゼロ・サインオンでパスワードを排除することで、企業の情報漏洩の主要な原因の一つが排除できる点も重要です。

当社では、2017年に初めて MobileIron Accessでセキュリティを確保したデバイス向けに、ゼロ・サインオンを提供開始しました。Accessをご利用のお客様にはすでに、 パスワードなしでOffice 365、Salesforce、G Suite、Boxなどのビジネスサービスにアクセスし、セキュリティと生産性に関するメリットを体験していただいています。その一方で、許可されていないユーザー、デバイス、アプリ、サービスは、これらのリソースに接続することができません。2019年6月、その機能を管理外のデバイスにも拡張します。では、その 仕組みを見ていきましょう。

 

管理デバイスからのゼロ・サインオン

 

fig-1

 

  1. ユーザーがMobileIronUEMで管理されたデバイスからクラウドサービスへのログインを試みます登録時に、デバイスはID証明書と管理アプリ構成でプロビジョニングされます。管理アプリとは、UEM経由でインストールされ、IT部門によって管理されているアプリを指します。管理外アプリとは、ユーザーがAppleまたはGoogle Playのアプリストアからインストールし、IT部門の管理下にないアプリを指します。管理外アプリはビジネスサービスやデータへの接続を許可しないようにしなければなりません。
  2. クラウドサービスが認証のためにデバイスをMobileIron Accessにリダイレクトします。これには、Accessをマネージドクラウドサービス向けのIDプロバイダー(IdP)として構成する必要があります。Accessは、既存の IdP と一緒に機能するよう、デリゲート IdP として構成することもできます。
  3. Accessは、ユーザー、デバイス、アプリ、脅威、その他の要素を検証してから標準ベースのトークン(SAMLまたはWS-Fed)をクラウドサービスに送り返します。Accessは、プロビジョニングされたID証明書に基づいてユーザーの信頼性を確認します。デバイスおよびアプリの信頼性は、 MobileIron UEMからの情報と管理アプリ構成に基づいて確認します。管理外アプリが接続を試みた場合、Accessはそれを検出し、ユーザーに企業アプリストアからアプリをダウンロードするよう指示することができます。さらに、AccessはMobileIron MTDと連動し、悪意のあるコード、アプリ、プロファイルを持つデバイス、または悪意のあるWi-Fi経由で接続するデバイスがビジネスデータにアクセスできないようにします。
  4. 完了— これでユーザーは、パスワード入力なしで、信頼できるデバイス、アプリ、ネットワーク上のビジネスデータにすぐにアクセスできます。

 

管理外デバイスからのゼロ・サインオン

 

fig-2

 

  1. ユーザーが管理外デスクトップからクラウドサービスへのログインを試みます。
  2. クラウドサービスがMobileIron Accessへリダイレクトします。Accessが管理外デバイスを検出し、ユニークなセッションIDを持つQRコードを送信します。
  3. ユーザーは、まず生体認証で自分の管理デバイス上の MobileIron UEMアプリで認証を行い、それからQRコードをスキャンします。スキャンしたQRコードから情報がAccessへ送信されます。
  4. Accessは特定のデスクトップ上でセッションを有効にする前にユーザーと他の情報を検証します。管理外デスクトップ上でユーザー名やパスワードを入力する必要はありません。

悪意のあるユーザーが盗んだ認証情報を利用して業務上の機密データにアクセスすることができなくなるため、データ侵害のリスクが大幅に減少します。

年6月より、 MobileIronで管理されたiOSデバイスをIDとして利用し、管理外デバイスからのゼロ・サインオンを利用できるようになります。Androidにもその後間もなく対応する予定です。

 

ゼロ・サインオンの利点

ついにパスワードが不要になります。単にユーザー体験と企業の生産性が大幅に向上するだけではありません。ゼロトラスト環境でモバイルを中心とした当社のプラットフォームを使用すれば、組織における最大のセキュリティの弱点の1つであるパスワードが排除されます。これはまだ始まりにすぎません。  MobileIron は、が先陣を切ってエンタープライズ環境向けに、まったく新しいコンシューマー体験をお届けしていきますので、今後の情報にご注目ください。

ゼロ・サインオンの詳細につきましては、 MobileIron の担当者にお問い合わせください。 

Brian Foster

Brian Foster , Senior Vice President of Product Management

著者について

製品管理担当シニアバイスプレジデントとして、製品の方向性およびイノベーションを統括しています。この職務において25年以上の経験があります。MobileIronへの入社前には、ID管理の分野で新たな事業を立ち上げました。その前は、IDデータ検証のリーダーであるNeustarで情報サービス担当のシニアバイスプレジデントを努め、マーケティングサービス、リスクおよび不正行為、レジストリ、セキュリティサービス分野のソリューションを担当するチームを統括していました。また、製品開発および市場化の監督も担っていました。それ以前は、企業および大手のインターネットサービスプロバイダーにおける高度な脅威の進行を発見した非公開会社のDamballaで最高技術責任者(CTO)を務め、高度な検索、製品戦略、エンジニアリング業務を統括しました。

Damballaの前は、McAfeeの製品開発担当シニアバイスプレジデントを務めていました。McAfeeではグローバル製品管理部門を監督し、80を超える企業およびコンシューマー向け製品を担当し、20億ドル以上の収益を上げました。McAfeeに入社する前は、Symantecの製品管理担当バイスプレジデントとして、企業エンドポイント向けの製品イノベーションを監督しました。カリフォルニア大学ロサンゼルス校(UCLA)で経済学士号を取得し、UCLAのアンダーソン経営大学院で経営学のエグゼクティブプログラムを修了しました。