メールマガジン

リスクベース認証を実装した認証システムの導入事例

ソリューション開発部 丸吉 祐也

今回は、機器メーカーのお客様の認証システムに、リスクベース認証を実装した事例です。お客様は、ID/パスワードのみの認証に不安を抱いており、よりセキュリティ強度を上げた認証システムの導入を検討していました。そこで、接続元によって認証レベルを調整する機能を開発し、お客様のKeycloakに組み込みました。

お客様が悩まれていた課題

お客様には以下の課題がありました。

  • ID/パスワード認証だけではセキュリティが不安
  • セキュリティ強度を上げたいが、利便性が下がるのは困る
  • セキュリティ強度を上げる方法として実際に何ができるかわからない

デージーネットからの提案

デージーネットからは以下の2つを提案しました。

多要素認証の導入を提案

お客様が利用していたKeycloakの認証システムに、TOTPを用いた多要素認証を追加することを提案しました。TOTP(Time-based One-Time Password)とは、時間ベースのワンタイムパスワードです。決められた時間内に使用しないとパスワードは無効になります。従来のID/パスワード認証にTOTPの認証を加えることでセキュリティを高めつつ、利用者になるべく負荷を与えないよう、TOTPの長さや有効期限の調整も行いました。

Keycloakとは、様々なアプリケーションやサービスへのサインインを一度で行うことができるOSSです。シングルサインオンの各プロトコルに対応し、IdPとして利用できます。ActiveDirectoryにも対応しているため、Keycloakを使うことで、Windowsログインで使用しているID/パスワードをそのままインターネット上のサービスで利用することができます。

接続元によって認証レベルを変える機能を提案

利用者の利便性を下げずにセキュリティを強化するため、接続元のIPアドレスによって多要素認証の有無を選択できるプラグインの開発を提案しました。信頼性のある社内ネットワークからの接続は多要素認証なし、社外(主にインターネット)から接続した場合は多要素認証が必須となるようにしました。

導入時の工夫

導入にあたって以下を工夫しました。

拡張性を持たせたプラグインを開発

より安全に使えるように、今後は認証失敗の数をカウントしてロックがかかる仕様にするなど、機能の追加も想定していました。そのため、プラグインの開発時は、後から機能を組み込みやすいようにしました。

利用マニュアルの作成のため、テスト運用期間を設定

利用者向けのマニュアルは、管理者が実際の設定画面を見ながら作成する必要がありました。しかし、これまでのシステムにいきなりTOTP認証を導入すると利用者が混乱してしまいます。そこで、テスト運用期間を設け、一部の接続のみTOTPが必要となる状態にしました。

導入後の結果

多要素認証を導入したことで、よりセキュリティを強化した認証システムを実現することができました。また、認証レベルを調整できるプラグインによって、利便性も維持することができています。拡張性を持たせているため、将来の機能拡張も行いやすくなっています。さらに、テスト期間を設けたことで、利用者が混乱することなく、マニュアル作成を進めることができました。

関連ページ

構築事例:多要素認証にTOTPを利用したKeycloakサーバ導入

事例(Keycloakサーバ)

今回は、シングルサインオンのKeycloakに多要素認証を導入した事例です。お客様は、ID/パスワード管理だけではセキュリティ面で不安ということで、多要素認証の導入を検討していました。

デージーネットからのお知らせ

【緊急セミナー】Google「メール送信者ガイドライン」が2月より適応、どう対応すればいい?送信ドメイン認証解説セミナーを開催します。

2023年10月にGoogle社や米国Yahoo!社が発表した「メール送信者のガイドライン」が、2月より適応されます。企業でも影響を受ける可能性があり、対応が急務と言われています。
今回は、このガイドラインの概要から、対策方法、OSSで実現する送信ドメイン認証について紹介します。

  • 日程:2024年1月25日(木)
  • 時間:15:00〜16:00

詳細↓↓
https://www.designet.co.jp/seminar/seminar.php?seminar_id=91

社内の資産管理を効率化!社内の備品管理からIT資産情報まで管理できるOSSの資産管理システム紹介セミナーを開催します。

社内のPC機器やソフトウェア、オフィス用品などの資産をどのように管理していますか?OSSの資産管理システムを利用することで、コストを抑えて資産管理業務を効率化することが可能です。
今回は、社内の備品管理からIT機器の資産管理までを行うことができるOSSの資産管理システムSnipe-ITを紹介します。

  • 日程:2024年2月15日(木)
  • 時間:15:00〜16:00

詳細↓↓
https://www.designet.co.jp/seminar/seminar.php?seminar_id=92

Googleの「メール送信者のガイドライン」に対応 送信ドメイン認証の解説や OpenDKIMやRspamdを使った設定例を公開

https://www.designet.co.jp/info/?id=674

無料資料ダウンロードに【OSSによる送信ドメイン認証の対応方法】を掲載しました。

2023年10月に発表された、Googleと米国Yahoo!の「メール送信者のガイドライン」を踏まえて、メールの送信ドメイン認証の仕組みとOSSによる実装方法についての情報をまとめたものです。

https://www.designet.co.jp/download/#security

添付ファイルを安全に共有するソフトウェア 『SaMMA』の新バージョンを12月20日より無償提供開始 〜企業ポリシーに合わせたPPAP対策が可能に〜

https://www.designet.co.jp/info/?id=670

メールサーバの安全性を無料でチェックできるサイトを公開しています。

メールセキュリティへの関心が高まる中、メールセキュリティのチェック項目を整理して、誰でも簡単にチェックできるツールはありませんでした。本サイトでは、メールアドレスを入力するだけで、メールサーバのセキュリティを無料でチェックできます。

メールサーバセキュリティ診断MSchecker外部サイトへ

デージーネットマガジン2023年12月号記事一覧

リスクベース認証を実装した認証システムの導入事例の先頭へ