フィッシング耐性のあるID
Entrustのフィッシングに強いIDソリューションは、完全なIDおよびアクセ ス管理プラットフォームと包括的な証明書ライフサイクル管理プラットフォームを提供し、ユーザおよびデバイ スに高信頼性の証明書ベースの認証を実装します。
アカウント乗っ取り(ATO)攻撃からの保護
IDは引き続き最大の攻撃ベクトルであり、漏洩した認証情報とフィッシングが侵害の主な原因となっています。 従来のパスワードは、ユーザエクスペリエンスを低下させ、簡単に漏洩してしまいます。 SMSワンタイムパスワード(OTP)やプッシュ認証のような従来の多要素認証(MFA)でさえ、攻撃者には簡単にバイパスされてしまいます。
主な特徴
証明書ベース認証(CBA)
ユーザとデバイスの両方がデジタル証明書を使用して検証および認証されるようにすることで、リモートATO攻撃を防御できる最高保証のIDを使用して、ユーザにリソースへの安全でシームレスなアクセスを提供できます
リスクベースの適応型ステップアップ認証(RBA)
行動バイオメトリクスを評価し、さまざまな脅威インテリジェンスフィードに基づいて侵害の指標(IOC)を探すリスクインプットにより、詐欺を防止し、高価値の取引を保護します。
堅牢で自動化された証明書ライフサイクル管理(CLM)
当社のCLMは、環境全体にわたるお客様の証明書資産を完全に可視化し、一元管理します。 これは、証明書の強力な発行保護に役立ちます。
シングルサインオン(SSO)
ユーザは、アクセスする必要がある固有のクラウドまたはオンプレミスのアプリケーションごとに再認証するのではなく、一度認証すればすべてのアプリケーションにアクセスできます。
パスワードレス
パスワードレスMFAオプションにより、ログイン時の要素の1つとしてパスワードを使用する必要がなくなります。 Entrustは、高保証PKIベースのモバイルスマートクレデンシャルログイン、FIDO2キー、パスキー(FIDO2マルチデバイスクレデンシャル)などのユニークなMFA認証機能を提供しています。
アクセス管理
すべてのユーザのために、アプリ、ネットワーク、デバイスへのセキュアなアクセスを確保します。 オーケストレーションの活用によりユーザとアプリのプロビジョニングを自動化し、シームレスなオンボーディングとオフボーディングを実現するとともに、セキュリティを強化し、運用コストを削減します。
フィッシング耐性のあるIDソリューションの概要
アカウント乗っ取り(ATO)攻撃から、安全な高保証IDで守る
フィッシングに強い認証
従来のMFAが破られた今、組織はユーザを認証および認可するためにフィッシングに強いオプションを必要としています。 FIDO2キー、パスキー、および証明書ベースの認証は、組織がユーザの安全な認証を可能にするために使用できるいくつかのフィッシングに強いMFA認証メカニズムです。 主なメリットは以下の通りです:
パスキー
パスキーは、さまざまなアプリケーションに対してユーザーを認証するために使用される暗号化鍵のペアです。 公開鍵はアプリケーションサーバーに保存され、秘密鍵はユーザーのデバイスに保存されます。 パスキーはBluetooth®を使用して、ユーザーのスマートフォン(FIDOオーセンティケーター)とユーザーが認証しようとしているデバイスとの間で通信します。 Bluetoothは物理的な近接性を必要とし、認証時に、ユーザーのスマートフォンを利用したフィッシングを防ぎます。
FIDO2キー
FIDOトークンはUSBのような物理的な鍵であり、デスクトップに差し込みます。 中には、第二認証要素として指紋のスキャン機能を持っている物もあります。 鍵には、プラグイン時にユーザの身元を認証する暗号化された情報が含まれています。 ユーザは自動的にシステムにログインし、1回のセッションですべてのアプリケーションにアクセスできるようになります。
証明書ベース認証(CBA)
証明書ベース認証(CBA)は、セキュリティに関して最高の保証を提供し、パスワードレスログイン機能に関して最高のユーザエクスペリエンスを提供します。 資格情報ベースのパスワードレス認証は、従業員の電話にデジタル証明書をプロビジョニングし、それを信用できる職場のIDに変換します。 Bluetooth/NFC機能により、ユーザがワークステーションに向かって歩くと、ユーザの携帯電話(スマートクレデンシャルが存在する)とデスクトップとの間に接続が確立されます。 ここからパスワードなしでログインするには、2つの選択肢があります。スマートフォンで指紋/顔IDの入力を求められるとシステムのロックが解除されるか、デスクトップがログインするためにユーザにPINの入力を促すかのどちらかです。 どちらの方法もパスワードは必要ありません。 同じセッションで、ユーザはリモートデスクトップとSSHで安全に接続することもできます。 ユーザの証明書を発行するだけでなく、ユーザが使用するデバイスに証明書を割り当てることで、リソースの認証やアクセス時に、より高いレベルのセキュリティを確保することができます。 これにより、ユーザが検証され、認証されるだけでなく、リソースにアクセスするデバイスも検証され、認証されるため、高いレベルの保証が保証されます。
リスクベースの適応型認証(RBA)
認証プロセスにリスク評価を追加することは、成熟したゼロトラストフレームワークの重要な要件であり、より高いレベルのセキュリティを提供すると同時に、必要な場合にのみ認証プロセスに摩擦を加えるため、より良いユーザエクスペリエンスを実現するのに役立ちます。 ログインの時間帯、曜日、移動速度、IP アドレス、行動バイオメトリクスなどのコンテキス ト情報とともにリスクスコアを評価することで、認証要求の妥当性をより正確に評価し、 不正行為から保護することができます。 リスクレベルが事前に定義されたしきい値を超えた場合、設定された第2のMFA認証機 関を介してユーザに認証を要求するか、リスクスコアが極端に高い場合はアクセスをブロックします。 RBAはまた、高額取引の安全性を確保する上でも有効です。
シングル サインオン
CBAとRBAをシングルサインオンと組み合わせることで、一度認証されたアプリケーションやサービスへのシームレスかつ安全なアクセスが可能になります。 SSOは、ユーザとアプリのプロビジョニングのオーケストレーションと自動化と組み合わせることで、パスワードの疲労と再利用から保護し、管理者が役割と権限に基づいてユーザを簡単に有効化または無効化できるようにすることで、オンボーディングとオフボーディングのプロセスを合理化します。
デバイスID
デバイスの数がユーザの数を容易に上回り、IoT分野が爆発的に拡大する中、重要なリソースやデータへのアクセスをさらに確保するためには、ユーザがどのデバイスを使ってネットワークに接続しているかを組織が確実に把握することが重要です。 一元化された使いやすい証明書ライフサイクル管理ツールでデバイスIDを管理することで、管理、コンプライアンス、およびガバナンスが向上します。