top of page
Blog article

Blog article

Windows端末のパスワードレスMFA-小規模導入事例


製造系の企業様が、YubiOn FIDO Logonを小規模導入した事例をご紹介します。こちらの企業様では、社員と社外の作業者が同じ環境で作業することがあり、この環境で使用するPC端末のログオンをMFA(多要素認証)にする方法を検討されていました。この問題に対して、弊社からは「YubiOn FIDO Logon」の導入を提案し、問題解決に導きました。今回はその具体的な内容をご紹介します。


導入組織

製造系の企業様


  • YubiOn FIDO Logonの導入 Windows端末 10台程度 ローカルアカウントを利用


  • 外部認証器の導入 社員は自身のスマートフォンを利用。 社外の作業者はSecurity Key NFC by Yubicoを手配。

課題

今回の企業様は、社員と社外の作業者が特定の場所に設置しているPC端末に、ローカルアカウントのIDとパスワードでログオンして作業を行っています。セキュリティの見直しタイミングにて、このPC端末のログオンを外部認証器を利用したMFA(多要素認証)に変更する方法を検討していました。この企業様ではBYOD(私物端末の業務利用)の利用が認められており、社員に関しては私物のスマートフォンを、社外の作業員に関してはセキュリティキーを外部認証器として利用できないかという案があげられました。これらの認証器を利用したMFAの検討を進める中、その実現可否について弊社にご相談いただきました。


まとめると下記の課題を解決する必要があります。

  • 特定PC端末のログオンをMFA(多要素認証)化すること。

  • 認証器にはスマートフォンやセキュリティキーを利用したい。


解決
  • YubiOn FIDO LogonによるMFA(多要素認証) YubiOn FIDO Logonのソフトウェアをインストールし、社員アカウントとスマートフォンの紐づけ、社外の作業員アカウントとセキュリティキーの紐づけを行うことで、対象PC端末のログオン部分をスマートフォンやセキュリティキーを利用したMFA(多要素認証)に強化することができました。本製品はクラウドサービスのためお客様で別途サーバー等を準備する必要はありません。登録して直ぐにご利用いただけます。 認証器の選定については後述します。

PC端末ログオン時に、社員はスマートフォンによる生体確認、社外の従業員はセキュリティキーによるPINの入力で、パスワードレスなログオンが可能になりました。認証器の所持、PIN(知識)や生体での本人確認によMFA(多要素認証)を行うことで、パスワードのみのログオンよりも遥かに高いセキュリティ強度を確保することができます。さらに、ログオン時の操作も簡単になるため、利用者のユーザビリティを損なうことはありません。


認証操作の違いは下記になります。 スマートフォンの場合

iOS / iPadOS

PC端末のログオン時にカメラでQRコードを読み取り、スマートフォンの生体認証(顔 / 指紋)に成功することで、ログオンが完了します。


Android

Androidの場合は「通知によるHybrid認証」に対応しており、PC端末のログオン時、スマートフォンに認証開始の通知が送られます。通知をタップし、スマートフォンの生体認証(顔 / 指紋)に成功することで、ログオンが完了します。

※生体情報は機器上の認証のみに使用され、サーバー側に送信されることはありません。


セキュリティキーの場合

FIDO2対応セキュリティキーには認証操作に「PINを入力するモデル」と「生体を確認するモデル」があります。


PINモデル (今回採用したモデル)

PC端末のログオン時にセキュリティキーを挿し込み、PINによる認証に成功すると、ログオンが完了します。 ※採用理由については後述します。


生体モデル

PC端末のログオン時にセキュリティキーを挿し込み、生体(顔 / 指紋)による認証に成功すると、ログオンが完了します。


  • 認証器の選定について YubiOn FIDO LogonはスマートフォンやFIDO2に対応したセキュリティキーがご利用いただけます。スマートフォンの利用に関しては、社用のスマートフォンまたはBYODの利用が認められている場合は最適な選択になると思います。しかし、企業・組織のポリシーによってはスマートフォンの利用を禁じていることもあるでしょう。そのような場合はセキュリティキーをおすすめしています。今回はできるだけコストを抑えたいというご希望があったため、比較的安価なPINモデルのセキュリティキーを採用することにしました。セキュリティキーの選び方については、また別の記事でご紹介したいと思います。

最後に

YubiOn FIDO Logonはスマートフォンやセキュリティキーを利用したPC端末ログオン部の多要素認証化に最適なソリューションとなります。FIDO認証を採用することでパスワード認証に比べて高いセキュリティを確保できます。小規模導入から大規模導入までサポートしているので、お求めの際にはお気軽にご相談ください。


  • YubiOn FIDO Logon YubiOn FIDO LogonはPC端末のログオンにFIDO2プロトコルを使用した多要素認証を提供するクラウドサービス。Web管理コンソールでの統合管理機能や遠隔制御機能など便利な機能もございます。製品情報の詳細は製品紹介ページをご確認ください。また、導入手順の詳細はこちらの設定ガイドをご参照ください。


  • セキュリティキーの販売 Amazonからお買い求めいただけます。

※大量購入やお見積のご要望はお問い合わせページからお問い合わせください。

Comments


bottom of page