1. はじめに
IceWall MFAでは、Webアプリケーションへのログインのセキュリティを強化しユーザビリティを高くするために、パスワードを使わない2要素認証を追加しログインを行うことができます。
Mamoru PUSHは、株式会社ISAOが特許技術を所有しているパスワードレスなプッシュ通知型の2要素認証方式 [※国内特許取得済み(特許番号:6104439号)(特許番号:6321834号)国際出願済み]です。2要素認証に代表されるワンタイムパスワードでは防ぎきれないフィッシングサイト対策に強くパスワードを使わない点が特徴です。通常のワンタイムパスワードではIDとパスワードに加えワンタイムパスワードを正規なユーザーがフィッシングサイトに入力してしまった場合、不正にログイン情報を取得した者が一定時間内に正規サイトになりすましログインすることができてしまいます。一方でMamoru PUSHは、不正にログイン情報が取得され不正なユーザーがなりすましログインをしようとしても正規なユーザーの所有認証がない限りなりすましログインをすることができません。さらに、未知な環境からのログインは都度正規なユーザーに対して警告通知が行われます。
また、数十億件流出しているパスワードの懸念やアカウントロックなどの運用負荷が高いパスワードの代わりに、ログイン時に都度生成され一定時間に一度しか有効でなく鍵長の長い2種のトークンを使用した安全で便利な認証方式となっています。
本レポートでは、株式会社ISAOが提供するMamoru PUSH認証とIceWall MFAの連携について説明します。
2.Mamoru PUSHとは
Mamoru PUSHとは、スマートフォンを利用したパスワードレスなプッシュ通知型認証サービスです。
Webサービスや各種アプリケーションに組み込むことで、ユーザビリティとセキュリティを両立した認証を実現します。
ご参考:Mamoru公式Webサイト(https://mamoru-secure.com/)
3. 連携フロー
IceWall MFAの認証プラグインとしてMamoru PUSH認証を連携させることにより、スマートフォンを利用したプッシュ認証を導入することができます。
以下に連携フローと処理説明を記載します。
① ユーザがアプリケーションにアクセスを試みます。
②MFA未認証状態であるためログイン画面を表示します。認証IDを入力しMamoruサーバへアクセスします。
③あらかじめアクティベートした(※)Mamoru PUSHアプリにプッシュ通知が届きます。通知をタップすることで認証が成功し、ブラウザへ処理が戻ります。
(※)アクティベートはMamoruサーバから発行されたQRコードをMamoru PUSHアプリで読み取ることで行います。本レポートでは割愛します。
④ブラウザから認証IDとMamoru認証パラメータがMFAプロキシへPOST送信され、MFAコントローラからMamoru認証プラグインが起動されます。
⑤Mamoru PUSH認証プラグインはPCからPOSTされたMamoruパラメータの正当性チェックのため、
Mamoru APIインターフェース仕様に基づきMamoruサーバとのパラメータ検証を行います。
⑥パラメータの正当性チェックが成功した場合、IceWall認証モジュールの基本機能であるログイン機能により、認証IDの識別認証が認証DBに対し行われます。
⑦すべての認証処理が正常に行われた場合、アプリケーションへリダイレクトされます。
4. 連携設定
1.Mamoru PUSH認証プラグインを配置した後、ID識別認証として下記例のようにアクセスコントロール設定を行います。
http://mfa.example.com/iwproxy/bk01/=ALL;;MAMORU
2.ID認証ログイン画面HTMLから「パスワード」入力フィールドを削除し、「Mamoru PUSH」開始ボタンを設置します。
※その他設定はIceWall MFAプラグイン標準仕様に従い設定します。
5. 検証結果
ブラウザでアプリケーションURLを開くと、IceWallログインページが表示され、Mamoru PUSH認証を行うことでログインが成功しました。
6. まとめ
以上、Mamoru PUSH認証とIceWall MFAの連携について説明しました。
「ニッポン発!新感覚な2要素認証」 Mamoru PUSHを利用した本ソリューションを是非ご活用ください。
2018/05/07 新規掲載
株式会社ISAO
執筆者 :株式会社ISAO
菊池 宏幸