• BLOG
  • MobileIron 派生認証情報

MobileIronの派生認証情報: スマートカードを利用する企業のためのゼロ・サインオンソリューション

2019年5月29日
MobileIron Derived Credentials

MobileIronは、2009年に最初の製品を出荷して以来、最新のIDとモバイルデバイス管理を革新してきました。その当時から、行政機関、アメリカ国立標準技術研究所(NIST)、業界パートナーと協力し、モバイルデバイスにおける派生認証情報の利用を推進するとともに、行政機関や規制の厳しい業界の企業が、従来のデスクトップセキュリティのモデルをモバイルデバイスに移行する手助けをしてきました。
 

派生認証情報とは?

行政や規制の厳しい業界で働いている方でなければ、派生認証情報という言葉はおそらく聞いたことがないでしょう。多くの行政機関や規制業界では、ノートパソコン、デスクトップ、企業Webサービスなどの従来の企業用ワークステーションへのログインにスマートカードを使用しています。従業員や職員はワークステーションに組み込まれたリーダーにスマートカードを挿入し、PINを入力することでデバイスや企業Webサービスにログインします。この認証方法では、ユーザー名とパスワードの代わりに、第二の認証要素を使用します。すなわち、ユーザーが持っているスマートカード、そしてユーザーだけが知っているPINです(これらの規則についてはFIPS 201-2の多要素認証の定義をご覧ください)。

派生認証情報により、スマートカードを使っている企業や組織は、同じ技術をモバイルデバイスでの認証にも利用し、機密性の高いリソースに対してパスワードなしで強力な認証を適用することができます。派生認証情報は、物理的なスマートカードから認証情報を作成、すなわち「派生」させ、スマートカードIDをモバイル向けに進化させます。エンドユーザーは、企業ワークステーションでの認証に物理的スマートカードを使用し、ポータルにセキュアにアクセスします。次に、このスマートカード上の情報でモバイル対応のソフトトークンを作成し、デジタル証明書としてモバイルデバイス上のセキュアな場所に保存します。派生デジタル証明書の削除や有効期限は、スマートカード上の証明書と結びついています。この証明書は、企業Webサービスへのセキュアな認証、メールや文書への署名、モバイルデバイス上でのメッセージ暗号化に使用できます。
 

スマートカードの種類は?

 

スマートカード

 

米国の一般行政機関では、Personal Identity Verification(PIV)、軍事・国防機関ではCommon Access Card(CAC)と呼ばれるスマートカードが標準的に使用されています。  スマートカードとその基盤となる技術はやや異なりますが、どちらも派生認証情報とともに使用可能です。

スマートカードは、従来のデスクトップやノートパソコンの環境では機能しますが、モバイルデバイスには適していません。多くの行政機関のデスクトップとノートパソコンにはスマートカードリーダーが組み込まれおり、組み込まれていなければ、USBスマートカードリーダーを接続することができます。モバイルデバイスではそれができません。モバイルデバイス対応のカードリーダーもありますが、使いにくく、高価で、持ち運びにも不便です。
 

MobileIronで解決

MobileIronは、モバイル環境でスマートカードと派生認証情報に関する規制に適合するお客様の課題を理解し、派生認証情報の導入を容易にするソリューションを作りました。Entrust、DISA Purebred、Xtec、Intercedeなど、信頼性の高い証明書とスマートカードのベンダと協力し、スマートカードへの既存のセキュリティ投資をモバイルインフラに活用できる派生認証情報ソリューションを開発しました。このソリューションは、国土安全保障大統領指令12(HSPD-12)、OMB ICAMイニシアチブ、FIPS 201、NIST SP:800-157などの行政規制やセキュリティ規格に対応します。

MobileIron PIV-Dマネージャーソリューションは、パブリックキーインフラ(PKI)システムと統合し、どのようなモバイルインフラや行政組織にもシームレスに派生認証情報を導入し、認証情報のライフサイクルを管理します。MobileIron PIV-Dマネージャーは、FIPS 140-2対応の暗号化したMobileIron AppConnectフレームワークに派生認証情報をセキュアに保存します。この認証情報は、Email+、Docs@Work、Web@Work、ネイティブモバイルOSアプリなど、他のセキュアなAppConnectアプリと共有され、セキュアなシングル・サインオンや、iOSおよびAndroidデバイスでのS/MIMEの使用を可能にします。

MobileIronは、米国の連邦緊急事態管理庁(FEMA)、米国国防総省(DoD)の国防情報システム局(DISA)などの行政機関によるシームレスな派生認証情報導入を支援しました。これらの機関では現在、何万台ものデバイスで派生認証情報を使用し、エンドユーザーは、自分のモバイルデバイスをIDとして企業リソースにセキュアにアクセスしています。

FEMAは、MobileIron PIV-Dマネージャーソリューションで機関全体に派生認証情報を導入し、モバイルデバイスからサービスやメールへのアクセスを可能にしています。FEMAの災害復旧担当者は、モバイルデバイスで派生認証情報を使用して職務に必要なアプリにシームレスにログインしています。ユーザー名やパスワードの入力は必要ありません。

 

 

今後の展望は?

派生認証情報がPKIによる強力な認証の仕組みを提供する一方、MobileIron Accessは、派生認証情報と包括的な属性群を使用して企業リソースへのアクセスを許可します。MobileIronのモバイルを中心としたゼロトラスト・セキュリティを活用することで、デバイス、アプリ、ネットワーク、クラウドサービスを流れるデータの完全な制御が可能になり、リスクが大幅に軽減されます。

MobileIronの世界クラスの派生認証情報ソリューションについて、どうぞお問い合わせください

Farhan Saifudin

Farhan Saifudin , Solutions Engineer - Public Sector

著者について

Farhan Saifudinは、MobileIronの公共セクタープログラム担当ソリューションエンジニアです。モバイルおよびサイバーセキュリティ業界で8年の経験を持ちます。情報セキュリティ業界での専門知識を持ち、米国最大級の連邦機関にもサイバーセキュリティソリューションを導入した実績があります。MobileIronに入社する前は、DeloitteとDMIに勤務し、セキュリティのベストプラクティスとエンドポイント管理について連邦機関のコンサルティングを担当していました。メリーランド大学ボルティモア郡校で情報システムの学士号を取得しています。ワシントンDC在住です。

同様のブログ