認証製品OTP認証トークン
OTP (ワンタイムパスワード)認証トークン
SafeNet 製品
  • インターネットVPNやアクセスサーバー経由のリモートアクセスにID、パスワードだけのセキュリティでは弱すぎます。
  • 社内アクセスのイントラネットサーバーにもセキュリティが必要です。
  • あらゆる重要なITシステムには、2要素認証をお勧めします。
eToken PROアプリケーション

重要なITシステムへのアクセスにアクセス認証をしっかり行うことは、何よりも重要です。毎回同じパスワードを使うということは、いったんパスワードを盗まれ、破られた場合に、もはやセキュリティを維持することはできません。セーフネットのOTP ワンタイムパスワード製品の導入により、自動的に生成される一回限りのパスワードを利用することにより、パスワードの盗用、盗聴によるネットワークへの不正アクセスを防止することができます。

OTP(ワンタイムパスワード)コラム
OTP (ワンタイムパスワード)認証は多要素認証に使用される方法の一つで、静的なパスワードの代わりに動的に変更される、より盗みにくくまた推測されにくいパスワードを使用することによりより安全に制限されたリソースへのアクセスを許可する方法です。OTP (ワンタイムパスワード)は、OTP (ワンタイムパスワード)発生器によって、次に使用するべきパスワードを発生させ、ユーザーが従来の静的なパスワードの代わりに(あるいは共に)を入力します。 これにより、攻撃者は、IDやパスワードのほかにOTP (ワンタイムパスワード)発生器も入手しなければ、ネットワークに侵入することができなくなり、セキュリティがより高くなります。
OTP (ワンタイムパスワード)の仕組みはOTP (ワンタイムパスワード)発生器と認証サーバーの両方で持っている共通の鍵(別名OTPシード)によって成り立っています。両者がこのOTPシードを共有しているために、認証サーバーはユーザーが送ってきたOTP (ワンタイムパスワード)が正しいことを確認できるのです。
OTP (ワンタイムパスワード)発生器は有効なパスワードを経過時間を基に(たとえば30秒毎とか1分毎などに)生成したり、OTPのイベントボタンをクリックしたイベントを基に生成します。
OTP (ワンタイムパスワード)は以下のような業界標準、ないしはプロプラエタリなアルゴリズムでOTPシードからOTP (ワンタイムパスワード)を計算、生成します。
  • HOTP: HMACベースアルゴリズム、OpenAuTHentication(OATH)にて開発 (IETF RFC 4226)
  • TOTP: タイムベース OTPアルゴリズム
  • X9.9: FTAによる旧銀行標準
  • Challange Response: チャレンジ・レスポンス・アルゴリズム・サーバーからのチャレンジコードをOTPに入れて、レスポンスコードを返す
  • ベンダー固有の方法
このほかに使用法として
  • OTP PIN: 認証時に OTPの値のほかにPIN (パスワード)も入力する方法
  • PIN Protected: OTPを生成させる際にOTP自体にPIN(パスワード)を入力する方法(もちろんOTP自体にPIN入力できるタイプのものが必要)
  • Application PIN: PC上などのソフトウェアOTPで OTPを生成させる際にOTPアプリケーションにPIN(パスワード)を入力する方法
などがあります。

セーフネットでは2つのOTP (ワンタイムパスワード)システムを構築する製品と、ハードウェア、ソフトウェアトークンを組み合わせて、お客様に最適な構成を選ぶことができます。

OTPワンタイムパスワード
 管理ソフトウェア
 

SafeNetでは OTPをすぐにご利用いただけるよう2種類のOTP管理用ソフトウェアを用意しております。

SafeWord2008管理ソフトウェア
1. SafeWord2008
少数ユーザーから始めることのできるOTPに特化した簡単運用、管理ソフトウェアです。  ユーザー管理はActive Directoryでの運用またはSafeWord2008自体での運用が選択できます。

サポートトークン:(ワンタイムパスワードのみのサポートです)
SafeWord MobilePASS (Win/Mac PC,iPhone/iPod touch,BlackBerry, J2ME, Android)
SafeWord MobilePASS Messaging (SMS or SMTP)
SafeWord Gold token
eToken PASS (event‐based)
eToken PASS (time‐sync)  
SAM eToken管理ソフトウェア
2. SAM (SafeNet Authentication Manager)(旧TMS Token Management System)
中規模から大規模ユーザーにもお使いいただけるWindows Server2003/2008上で動作する管理ソフトウェアです。 OTPのみならず USBトークン、ハイブリッドトークンの管理も網羅しています。
ユーザーの管理はAD,ADAMです。 SafeWord2008からのマイグレーションもサポートしています。

サポートトークン:(ワンタイムパスワードおよびUSBトークンなどすべてをサポート)
SafeNet eToken PRO
SafeNet eToken Flash
SafeNet eToken NG OTP
SafeNet eToken Smart Card
SafeNet eToken Anywhere
SafeNet eToken Virtual / Temp
SafeNet eToken Rescue
SafeNet MobilePASS (Win/MAC PC,iPhone/iPod touch,BlackBerry, J2ME, Android)
eToken PASS (event‐based)
eToken PASS (time‐sync)
MobilePASS Messaging (SMS or SMTP)
SafeNet Gold
OTP (ワンタイムパスワードトークン)の種類
ハードウェアOTP (ワンタイムパスワード)トークン
  1. eTokenPASS (時間同期式)
    コンパクトなワンタイムパスワードトークンです。
  2. eTokenPASS (イベント同期式)
    コンパクトなワンタイムパスワードトークンで、OTP生成ボタンを押すごとにワンタイムパスワードを生成します。
  3. eToken GOLD
    PINコードの入力をしなければワンタイムパスワードを生成しないよりセキュリティの高い運用ができるトークンです。
ソフトウェアOTP(ワンタイムパスワード) トークン
  1. MobilePASS
    ハードウェアではなく、Windows PC、iPhone, Android,などの機器上にアプリケーションとしてインストールして、ワンタイムパスワードを生成します。
eToken NG OTP
eToken PROと、ワンタイムパスワード(OTP)機能を統合。スマートカード・チップによりセキュアにワンタイムパスワードを生成します。PKI、OTP、ID/Passと、シーンに最適な認証方式が選択でき、またeToken SSOにより、OTPの自動生成と自動入力も可能です。 製品名「eToken NG OTP」
 主な特徴 活用例 
  • USB token+OTP機能
  • LCD、電池、ワンタイムワード生成ボタン
  • PKI機能
  • RSA 1024、2048-bit keys, Triple DES, SHA1
  • CAPI、PKCS#11、RADIUS OTP
  • VPN認証
  • SSL-VPN認証
  • デジタル署名
  • データ保護
SafeWord 2008トークン
SafeWord2008®は、2要素認証によって、現在お使いのパスワードに代わる強力な認証機能を提供し、極めて安全なパスコードシステムにより、重要な情報資産、アプリケーション、データを保護します。
既存のMicrosoft Windows ActiveDirectry環境へ簡単に導入することが可能で、VPNアクセス、Citrixアプリケーション、Webアプリケーション、Outlook WebAccess、Windowsドメインログオンに対し、2要素認証によるワンタイムパスワードアクセスを実現し、優れた堅牢性と信頼性だけではなく、強力な認証機能を実現します。 		製品名「SafeWord2008 eToken PASS/Gold」
SafeWord2008 eToken PASS(左)
SafeWord2008 Gold(右)
推測されやすいパスワード(例:家族の名前、自分の誕生日など)を使用することは、ブルートフォースアタック(Brute-force Attack:総当たり攻撃)、パスワード推測攻撃(Index Calculation Attack)、辞書攻撃(Dictionary Attack)、ソーシャルエンジニアリングなどの脅威に対して、大きな脆弱性になり、悪意のある第三者に知られてしまう可能性があります。SafeWord2008®は、こういった脅威から大切な資産を保護するための最適なソリューションです。 また、ユーザ認証、アクセスコントロール、監査ログの取得、レポートの部分において、J-SOX、ISO 17799などのコンプライアンス基準の要求事項に適合しております。
 主な特徴 
  • ライフタイムトークンワランティ( 無償交換サポート)
  • OATH(オープン認証規格)標準準拠
  • イベント式 又は 時間同期式
MobilePASS
MobilePASS のOTP 2要素認証は、Windows デスクトップのほかiPhone、BlackBerry、Java、Android、Windows Mobile プラットフォームなどのモバイルデバイスをサポートしています。また更なる柔軟性として、モバイルデバイスへの電子メール、SMS の配信をサポートします。、ユーザーがログインするたびに、モバイルデバイスやPC上でセキュアなワンタイムパスワードが生成されます。MobilePASS は、SafeWord 2008 の簡単に使える管理パッケージ、もしくはより幅広い機能を持ったSafeNet Authentication Manager 管理プラットフォームとともに利用できます。 製品名「SafeWord2008」
 主な特徴 
  • オンラインサービスやアプリケーションへのセキュアなリモートアクセスを実現
  • プライバシー規制の順守が容易
  • 使いやすく、便利でシンプル
  • コスト効率よく導入、管理、コントロールが可能
  • 持ち歩く必要や、紛失の可能性があるハードウェアが不要
  • お客様のリスクレベルや環境に合わせてセキュリティソリューションのカスタマイズが可能
  • J2MEベースのモバイル端末に対応
  • アプリケーションでのOTP
 MobilePASSの設定方法 
  1. 管理者がSafeWord2008ないしはSAM上で、登録し、ユーザにダウンロードURL(下記)を教え、登録用Web(管理用ソフトウェアにて用意されます)の URLを教える (あらかじめ管理用ソフトは設定しておく)
  2. ユーザはMobilePASSをそれぞれの機器でダウンロードし(PC版はPCにダウンロード、iPhone/iPod touch版はiTuneからダウンロードしてインストール
  3. ユーザはインストールしたMobilePASSで表示されるアクチベーションコードをユーザ名とパスワードでログインする登録用Webに入力
  4. ユーザは手元のMobilePASSにPIN(ワンタームパスワードを生成するときに入力するパスコード)を登録
以上で、すぐに使えるようになります。管理者は物理的なトークンをユーザに輸送する必要はありません。1通のメールにURLと手順を書いて送るだけです。あとは、メールを受け取ったユーザが都合のいい時間に都合のいいMobilePASSを(ユーザは選べます)ダウンロードしてアクチベーションするだけです。
 MobilePASSの使い方 
  • 1. MobilePASSを起動します。
  • 2. PINを入力します
  • 3. 表示されたワンタイムパスワード(とパスワード)を、必要な認証画面に入力します
    • MobilePASSアプリのダウンロード先
    SafeNet MobilePASS iPhone/iPod Touch版 (iPhone OS3.0以上) Apple iTune 経由
    SafeNet MobilePASS Android版
    その他MobilePASSダウンロード先
    J2ME,MAC OS, Windows, Windows Mobile
    ※Windows PC 用はパソコンにアプリケーションとしてインストールするタイプと、普通のUSBメモリインストールして、必要に応じて複数台のWindows PCで使えるものがあります。
    ハードウェアトークンを使用していて、会社のPCと自宅のPCで自由に使えていたのに、PC用のソフトウェアトークンはPCがインストールされたものしか使えないのは不便だ、とお感じの方、このソフトウェアトークンなら普通のUSBメモリにインストールして会社のPCと自宅のPCなどで使用できるためたいへん便利です。(もちろんiPhone/iPod Touch , Androidなどモバイル機器にインストールしても同様です)
    OTP: ワンタイムパスワード一言
    ワンタイムパスワードは使い捨てのパスワードなのでワンタイムパスワード自体が知られてしまっても、それを使ってシステム、ネットワークにログインされるということはないのですが、それを過信してパスワードをワンタイムパスワードのみで運用するのは、危険です。ワンタイムパスワードが盗まれたり、リセットされることもないとは言えません。管理者の方はリスクに応じた適切な運用を選ぶことができます。必要な場合にはユーザの"面倒だ"の声に負けずに、やはり2要素認証をきちんと実施して、通常のパスワードに加えてワンタイムパスワードを使用する設定にしましょう。この点はSafeWord2008もSAMもオプションでいろいろ選べます。
    OTP: ワンタイムパスワード一言
    iPhoneやAndoroidなどのスマートフォンにインストールしたら、電話代がかかるのでは?..心配ご無用です。eToken PASSなどのハードウェアトークンタイプのワンタイムパスワードもパスワード発生時に通信はしません(通信機能はありません)。あくまでもソフトウェアでワンタイムパスワードを生成するだけで、生成するためにサーバーに問い合わせにはいきませんので、通信費はかかりません。
    OTP: ワンタイムパスワード一言
    ワンタイムパスワードは決して無敵ではありません。IDとパスワードだけでネットワークやコンピュータにログインできる状況に比べれば2要素認証の特質上、IDとパスワードを盗まれてもワンタイムパスワードが盗まれていないため、不正ログインされないという安全さはあります。また、いわゆるフィッシングサイト(悪意を持って成りすましを目的とした偽物サイト)に誘導されてIDとパスワードとその時のワンタイムパスワードが盗まれたとしても、その時のワンタイムパスワードはその時しか使えないので、次のログインに悪用しようとしてもつかえません。これも安全です。ただし、Web経由でのフィッシング詐欺に備えて、常にブラウザのURLが正しいものかどうか、メールによるお知らせでメール中のリンクをたどって重要なサイトへログインするような場合は特に要注意です。
    ワンタイムパスワードは費用対効果の高い、わかりやすいセキュリティのための仕組みですが、より高度な仕組みで認証を強化する必要がある場合には証明書ベースのUSBトークンによる認証システムをご検討ください。 USBトークン(eTokenPROなど)による認証では2要素認証の特質に加え、公開鍵基盤(PKI)を使用して通信相手が正しいかを確認する特質が利用できます。(USBハードウェアの仮想版 = ソフトウェアベースPKI認証のための eToken Virtual (Soft Token) もございます)SafeWord2008はOTP: ワンタイムパスワード専用管理ソフトウェアですが、SAMならばOTPもUSB Tokenもまとめて管理することができます。
    Safenet
    Authentication Manager
     トークン管理プラットフォームトークン管理システム SAM
    SafeNet 製品
    トークンの組織導入・運用においては、システム管理者は数々の現実的な問題に直面することになります。 たとえば大量の証明書発行・更新を短期間でどう行うか、ユーザのPINロック・パスワード忘れ・出張中のトークン盗難/紛失/破損といったアクシデントのサポート、組織異動・入社・退職者への対応、・・・ システム管理者はそのつど忙殺されることになります。

    Authentication Managerはこれらの現実的な問題をトータルにサポートします。

     eTokenTMSでシステム管理者の現実的な負担を軽減
    Authentication Managerはユーザ、トークン、アプリケーション、セキュリティ・ポリシーを統合して、1つの発行・管理・保守プロセスとして処理します。これにより、eTokenセキュリティ・デバイスの組織導入・配布・管理・ユーザ支援をライフサイクルを通じて行うことができ、運用コストや管理者負担を劇的に低減します。
    認証オペレーションの合理化主な特徴 
    • 証明書やクレデンシャルの大量発行/更新が簡単
    • 組織ルールに忠実な統一的、かつセキュアなトークン運用を実現
    • リモートでPINロックを安全に解除可能
    • Active Directoryを運用中の場合は、IISサーバにTMSをインストールするだけで即運用が可能

    OTPシステムの構築に際してSAM (SafeNet Authentication Manager) には2つの大きな役割があります。

    認証サーバー : SAMはたとえばVPN装置などからの認証要求に対してAcceptかDenyの判定を
      返します。
    OTPライフサイクル管理 : SAMは管理者、ヘルプデスク、エンドユーザに対しトークン管理のため
      のサービスを提供します。これらは、以下の3つのWebサイトにまとめられています。
     
    • 管理サービス:管理者、ヘルプデスクがトークンの初期化とライフタイム管理に利用します。
    • エンドユーザーセルフサービス: エンドユーザ自身が利用します、社内の担当にいつも連絡がつくとは限りません。エンドユーザーがセルフサービスでできることを行うことにより、生産性は上がります。
    • レスキューサービス(リモートアクセス&修復サービス): 社外にいるユーザーがアクセスします。トークンを無くしたり、パスワードを忘れたときのための修復オプションもあります。
     
    SAMでは、OTPライフサイクル管理として以下の内容を提供します。
    トークンの使用開始登録と使用終了登録機能
    ユーザ自身によるウェブベースのトークンの登録とパスワードのリセット機能
    OTPを無くしたり、壊したりした場合の処理機能
    無くした時に見つかるまで、あるいは、休暇中などに一時的に不能状態にしておくこともできます。
     
    SAMが必要なところ:
    以下のようなサービスを行う場合、SAM OTP認証サービスが必要です。
    • Cisco Concentrator, などのVPNゲートウェイ
    • Cisco ASA, PuniperなどのVPN SSLゲートウェイ
    • Microsoft IISなどの Web Service
    • MicroSoft Outlook Web Access
    • Citrix Web Interface
    • その他、OTP SDK を使用して独自のアプリケーションに使用することができます。
    		 
     
    SAMではトークンデータを格納するのにSAM自体の内部データベースか、下記の外部データベースを使用することができます。
    • Microsoft Active Directory 2003/2008
    • Novell eDirectory
    • Open LDAP
    • Microsoft SQL Server 2005/2008
    		 

    OTP + SAM 最小構成

    VPN - OTPソリューションをミニマムで構成する

    OTP + SAM 最小構成図

    OTP + VPN 最小構成

    VPN - OTPソリューションをミニマムで構成する

    OTP + VPN 最小構成図
    eToken PKI Client
    セキュリティ・アプリケーション
    eToken PKI Client は、 eToken 認証トークンを管理するためのデスクトップ ソフトウェアです。eToken PKI Client から、eToken の操作と、eToken の証明書ベースのトークンの導入ができます。eToken PKI Client は、アプリケーションを SafeNet の eToken 認証トークンにリンクし、証明書ベースの認証、暗号化、およびデジタル署名を実行可能にします。認証トークンをローカルで完全管理することもできます。
    eToken 認証トークンを管理するためのデスクトップ・ソフトウェア
    主な特徴
    • ネットワークとデータを保護する強力な2要素認証
    • スマートカード ベースの eToken 認証トークン内でのオンボードのセキュアな鍵生成
    • 鍵と証明書を保管する携帯型ストレージは、USB ポートがあればどのコンピュータ上でも使用可能
    • 標準 API に基づく証明書対応アプリケーションにシームレスにインテグレーション可能
    • 実装と日常の管理は eToken TMS で完全にサポート
    eToken SDK
    (ソフトウェア開発向けキット)
    eToken SDKはソリューション・ベンダ向けの製品で、自社開発のPKI/非PKIアプリケーションにeTokenを統合し、高レベルのセキュリティをインプリメントするものです。強力なユーザ認証、ファイル/フォルダの暗号化、起動プロテクション、Webアプリケーション、デスクトップ・セキュリティ、リモートアクセスなど、応用は広範囲におよびます。
    アプリケーション統合例:
    eToken SDKは、ユーザ識別/認証、デジタル署名や個人情報の暗号化など、確実なセキュリティ確保が必要な下記のようなアプリケーションと統合することができます。
    • PCやLANアクセス時のユーザ識別/認証
    • リモートアクセス・セキュリティ・クライアント
    • ブラウザ・ベースの業務アプリケーション、商取引
    • サーバ・アクセス制御/ロギング
    • オンライン・バンキングにおける確実な認証と暗号化
    • デジタル署名およびドキュメント署名
    • S/MIMEを利用するセキュアなEメール・アプリケーション
    • PCの起動プロテクション、ラップトップPCの盗難防御
    • ファイルおよびデスクトップのアクセス制御
    • シングル・サインオン
    • SSLによるエクストラネット、Webアクセス
    • VPN
     

    eToken SSO (Single Sign-On)

    多くのアプリケーションでは、ユーザ名とパスワードの組み合わせによるログイン方式が採用されています。
    パスワードは憶えにくく、そしてアタックに対して脆弱でもあります。ユーザは、アプリケーションごとに異なる認証情報を憶えておき手入力をしなければなりません。このような操作上の煩雑さに加え、それらの認証情報を維持・管理するのも大変です。eToken SSOは、Windowsのログオン、各種WindowsアプリケーションやWebサイトでID/パスワード等の認証情報をあらかじめeTokenに格納しておきWindows起動時や他のログイン・ウィンドウまたはログイン・サイトに自動入力することができます。このためユーザはIDやパスワードを憶えておく必要がなくeTokenとeTokenパスワード(PIN)だけでWindowsログオンや種々のアプリケーションまたはWebサイトに自動ログインすることが出来ます。

    		 

    Borderless Security PKI (BSec PKI)

    Borderless Security PKI(BSec PKI)は、iKey USB トークンおよびスマートカードのためのミドルウェアです。この BSec ミドルウェアによって、多数のデスクトップ、企業ネットワーク、および製造用アプリケーションに、スマートカードや USB トークンによる2要素認証を容易に実装できます。BSec は、スマートカードまたは USB トークン上の PKI 証明書(デジタル証明書および秘密・公開鍵)と非 PKI 証明書(ユーザ名およびパスワード)を保管、管理、使用するためのミドルウェアで、デスクトップ アプリケーション、ネットワーク ログイン、リモート アクセス、Web ログイン、電子メール、電子取引などによってアクセスされる重要な企業資産に対するセキュアな認証を実現します。

    <<前の製品ページを表示するTOP次の製品カテゴリを表示する>>