多要素認証の必要性

ユーザーがシステムを利用する際の認証方法の多くは、ユーザーIDとパスワードでの認証が利用されています。しかし、いったんパスワードが第三者に知られてしまえば、その効力は失われます。
他のウェブサービスから漏えいしたIDとパスワードの組み合わせを利用して攻撃する手法や、憶測により不正ログインを試みる手法など、さまざまな攻撃方法による不正アクセスの被害が報告されています。
その対抗手段として、ユーザーIDとパスワードという単一の認証方法だけでなく、複数の要素を用いて本人認証を行う多要素認証の必要性が認知され、採用する企業が増えてきています。

多要素認証とは

多要素認証は、以下の3要素の内2種類以上の認証方法を組み合わせて実現されます。

• 知識：本人しか知りえない知識（パスワード、パスフレーズ、PIN等）で認証
• 所持：本人しか持っていない所有物（電子証明書、ワンタイムパスワードトークン、ICカード等）で認証
• 生体：本人の身体的な特徴（指紋、静脈、網膜等）で認証

Thales認証ソリューションの概要

多様なラインナップより、お客様の認証要件に即したソリューションをご提案します。

• PKI対応製品
  PKI（Public Key Infrastructure）対応製品では公開鍵基盤技術を用いて安全で強固な認証方式を実現できます。秘密鍵・証明書をデバイス内に保管し、内蔵のICチップを用いて外部に秘密鍵を取り出すことなく、署名処理を行うことができます。
• OTP対応製品
  OTP（One-Time Password）製品は、使い捨てパスワードを利用することで、パスワードの使いまわしや漏えいによる不正アクセスのリスクを大幅に低減できます。
  スマートフォンアプリやハードウェアトークンなど、シンプルな操作で利用でき、専用インフラもほとんど必要ないため、初期投資や運用コストを抑えながら導入できる点が特長です。
• FIDO対応製品
  FIDO（Fast IDentity Online）認証製品は、生体認証やデバイス内に保持された秘密鍵を利用することで、パスワードを使わずに高いセキュリティを実現します。パスワード管理が不要となるため運用負荷を軽減でき、利便性とセキュリティを両立できる点が特長です。
• 認証プラットフォーム
  認証プラットフォームは、複数の認証方式やアクセス制御を一元的に管理できる基盤です。システムごとにバラバラだった認証設定を統合し、セキュリティポリシーの統一や運用負荷の軽減を実現します。シングルサインオンやパスワードレス認証にも対応でき、ユーザーの利便性を高めながら全社的なセキュリティ強化を図れる点が特長です。

ラインナップ

SafeNet IDPrimeスマートカード

• 一般的なPKIシステム向けのスマートカード
• 主に以下の4種類
  • SafeNet IDPrime 3940 - 接触・非接触、CC認証
  • SafeNet IDPrime 940 – 接触のみ、CC認証
  • SafeNet IDPrime 3930 – 接触・非接触、FIPS 140-2認証
  • SafeNet IDPrime 930 – 接触のみ、FIPS 140-2認証
• PKI用のアプレットが実装済み

SafeNet IDPrime PIVスマートカード

• 政府機関や米国連邦政府向けのスマートカード
• FIPS 140-2およびFIPS 201-2認証
• PIV用のアプレットが実装済み

SafeNet IDCoreスマートカード

• カスタマイズ向けのスマートカード
• アプレット未実装のためユーザーで開発
• 接触のみ／非接触のみ／接触・非接触対応版、CC認証・FIPS 140-2認証対応版あり

SafeNet eToken 5110 +シリーズ

• 以下の3種類
  • SafeNet eToken 5110 + FIPS - FIPS 140-2認証
  • SafeNet eToken 5110 + CC – CC認証
  • SafeNet eToken 5110 +
• USB タイプA, C

IDBridgeシリーズ

接触型スマートカードリーダー

• IDBridge CT30

基本機能

• USBインターフェースの接触型カードリーダー
• PCにカードリーダーが内蔵されていない場合に活用

SIM型カードリーダー

• IDBridge K30：タンパプルーフなし
• IDBridge K50：タンパプルーフ※一度挿入した後は取り出し時にチップが破壊

基本機能

• SIM形状に切り出されたICチップを読み取るためのUSBインターフェースのカードリーダー
• 接触型IDPrimeスマートカードをプリカットした場合などに活用

SafeNet Authentication Client（SAC）

eTokenやIDPrimeスマートカードを多様なOS環境で運用するための機能を備えたThales社が提供するトークン管理ミドルウェア

機能概要

• トークン管理
  • 初期化（フォーマット）、PIN設定、鍵生成、証明書登録、失効までを管理
• セキュリティポリシーの適用
  • PINの複雑性（英数字混在、長さ）、試行回数制限、ロック後の対応などを設定
• マルチOS対応
  • Windowsだけでなく、macOSやLinuxでも同じトークンを利用可能
• ログと監査対応
  • トークンの操作履歴やエラー情報をログとして取得可能
  • 監査対応やトラブルシューティングに有効

Minidriver

Microsoftが定義したスマートカード用ドライバー仕様に準拠した軽量ミドルウェア

機能概要

• Windows標準機能との親和性
  • Windows標準ドライバーを使用
  • Windows証明書ストアと連携し、VPN、S/MIME、TLSなどの標準機能で証明書を利用可能
• Active Directoryとの連携
  • スマートカードログオンに対応し、ADベースのセキュリティポリシーと統合可能
  • GPOで「スマートカードがないとログオン不可」などの制御が可能
• シンプルな運用
  • 初期化や鍵生成は不要（CA側で証明書を発行し、Windowsの証明書ストア経由でカードに格納）

注意点

• macOSやLinuxでは利用不可
• PINポリシーや鍵生成などの高度な管理は不可
• トークンの状態監視やログ取得は非対応

SACとMinidriverの比較

OTP対応製品

基本機能

• ワンタイムパスワードを生成

ハードウェアタイプのOTP製品

• SafeNet OTP111, OTP112
• OTP111およびOTP112の製品情報は以下を参照
  https://cpl.thalesgroup.com/access-management/authenticators/safenet-otp-tokens
• OATH準拠
• OTP111はHMAC-SHA1、OTP112はHMAC-SHA256サポート

ソフトウェアタイプのOTP製品

• Mobile PASS+
• GrIDSure

• OTP 111は従来の OTP 110 の後継機で、後方互換性あり
• OTP 112は SHA256 に対応し、より高いセキュリティ要件に対応

FIDO対応製品

主なFIDOセキュリティキー

• FIDO USB Tokens
  • 存在検知型FIDO USBトークン
  • USBタイプAまたはUSBタイプC
• FIDO + Biometric
  • 指紋認証型FIDO スマートカード
  • 指紋認証型USBトークン
• FIDO + PKI USB Tokens
  • FIDOとPKIに対応したUSBトークンなど

FIDOセキュリティトークン

SafeNet eToken FIDO NFC Enterprise

• エンタープライズ向けFIDO対応
• FIDO 2.1準拠
• Thalesのエンタープライズ向けFIDO機能
• FIDOおよびNISTへの準拠
• FIPS 140-3 レベル2 認証を取得審査中

SafeNet eToken Fusion Bio

• 生体認証（指紋）：ユーザーデータはトークン外へ出ません
• FIDO2.1（指紋対応）
• Thales FIDO エンタープライズ版を利用可能
• FIPS 140-2 レベル2 認証
• カスタマイズ対応（企業ロゴ等）
• USB-C / USB-A 接続：ノートPC、タブレット、デスクトップ、モバイル端末に対応
• セットアップ動画
  https://www.youtube.com/watch?v=cir-8XYxYw4

Entra IDとの親和性

• MISA Member（Microsoft Intelligent Security Association）
• Thales製のFIDOトークンはMicrosoft MarketPlaceでも利用可能
• Microsoft社 Excellence Awards 2024（Identity Trailblazer）を受賞
  ※ノミネート5社のうち1社のみ受賞
• Microsoft社のテクニカルチームで検証済み

SafeNet FIDO Key Manager

• 無償FIDO管理ツール
• FIDOキーの管理を手軽に実施したい企業向け
• オフラインのスタンドアローンツール
• セルフサービス・管理機能両方に対応
• Windows/macOS/Android/iOS対応

基本機能

• 各種PIN設定
• 指紋の登録など

vSEC:CMS

• Versasec社のユーザー管理用トークンマネージメントツール
• 中央管理型のトークン管理が可能
• Entra ID/STA等 IdPとの連携
• FIDOトークンのシリアル番号とユーザー情報の紐づけが可能（現時点ではEntra ID・STAではシリアル番号とユーザー情報の紐づけが出来ない）
• 管理者用ソフトはWindows Serverで動作

vSEC:CMSは主に以下の4つで構成されています。

• vSEC:CMS Server：Windowsサーバー対応のサーバーソフト。全てのクレデンシャル管理処理（発行、更新、失効など）を実行
  vSEC:CMS Database, vSEC:CMS Service, vSEC:CMS Communication Serviceで構成
• vSEC:CMS Admin：システム管理者が使用するフル機能の管理アプリケーション
• vSEC:CMS Agent：現場担当者（例：カード発行担当）が使用する簡易版アプリケーション
• vSEC:CMS User：エンドユーザーがPIN変更などを行うためのアプリケーション

SafeNet Authentication Service Private Cloud Edition（SAS PCE）

オンプレミスベースの統合認証システム
※クラウドベースの統合認証システムは別製品 SafeNet Trusted Access（STA）で提供

基本機能

• RADIUSを使用した各種HWトークン、MobilePASS等による多要素認証
• Windowsログオン時の認証追加
• ユーザー情報の同期機能
• レポート、アラート機能
• SAML/OIDCによるSSO

SAS PCE 全体構成例 – 社内リソースへのアクセス認証とユーザ情報同期

SAS PCE 全体構成例 – Windowsログオン認証

SAS PCE 全体構成例 – ユーザー追加

SafeNet Trusted Access（STA）

クラウドベースの統合認証システム
※オンプレミスベースの統合認証システムは別製品 SafeNet Authentication Service Private Cloud Edition（SAS PCE）で提供

基本機能

• アクセス管理
• 各種HWトークン、MobilePASS等による多要素認証
• Windowsログオン時の認証追加
• ユーザー情報の同期機能
• レポート、アラート機能
• SAML/OIDCによるSSO

認証プラットフォーム - SafeNet Trusted Access概要

発注数量について

製品は以下の数量から承ります。

PKI対応製品

PKI対応USBトークン／PKI対応スマートカード／スマートカードリーダー

最小数量：100
発注単位：5

ミドルウェア：SafeNet Authentication Client（SAC）

最小数量：250ライセンス
発注単位：5ライセンス

トークン統合管理：vSEC:CMS

お問い合わせください。

OTP対応製品

ハードウェアOTP製品：SafeNet OTP111,112

最小数量：100
発注単位：5

ソフトウェアOTP製品

単体販売対象外です。

利用可能なサードパーティー認証サーバー

• Microsoft Entra ID
• Symantec Validation and ID Protection Service（VIP）

他、お問い合わせください。

FIDO対応製品

PKI対応USBトークン／PKI対応スマートカード／スマートカードリーダー

最小数量：100
発注単位：5

トークン管理

• vSEC:CMS
  お問い合わせください。
• SafeNet FIDO Key Manager
  最小数量：250ライセンス
  発注単位：5ライセンス
  保守：SafeNet FIDO Key Manager自体は無償提供されますが、少なくとも初年度保守購入が必要です。

認証製品プラットフォーム

SAS PCE／STA

最小数量：100
発注単位：5
ライセンス形態：サブスクリプションライセンス
保守：サブスクリプションライセンスに含まれます。

関連情報

Thales認証製品ホームページ
https://cpl.thalesgroup.com/ja/access-management

※ 文中の商品名、会社名、団体名は、一般に各社の商標または登録商標です。