VMware Horizon 6 には、ログイン時のセキュリティ強度を高めるために二要素認証を実装できる機能が用意されています。その実装例の一つが、EMC ジャパン株式会社様の RSA SecurID を使用した二要素認証です。そこで、RSA SecurID を使用した Horizon 6 の二要素認証に関する検証を EMCジャパン株式会社 と VMware にて実施しました。その結果に基づいて、本ブログにて RSA SecurID と Horizon 6 の連携に関する内容を Part 1 と Part 2 の 2 回に分けてご紹介します。Part 1では二要素認証や RSA SecurID について EMC ジャパン株式会社より当ブログ用の記事を執筆、ご提供いただきましたので、その内容をご紹介します。
1. 二要素認証
二要素認証は文字通り、利用者に固有な「 2 要素」を組み合わせることによって認証する方法です。要素の種類については選択の余地がありますが、通常は、利用者の知識(記憶)と利用者が保持する物理的なモノ(またはソフトウェアのインストールされたデバイス)を選択することが一般的です。知識には暗証番号のような文字列、物理的なモノはトークンと呼ばれるパスワードを表示する装置となります。このパスワードは、ワンタイムパスワードという一定時間で変更される文字列であることが殆どです。犯罪者が不正アクセスを働くためには、これらが同時に必要となるため、不正アクセスは格段に困難になります。
図1 二要素認証とその入力方法
2. RSA SecurID の概要
RSA SecurID は、グローバル 30,000 社以上の実績を持ち、日本でもシェアの高いワンタイムパスワード製品です。1 分ごとに 1 度しか使用できないパスワードを発生させて、不正アクセスのリスクを軽減します。
図2 パスワードが 1 分毎に変わる様子
RSA SecurID は、ハードウェアとソフトウェアから選択できます。
ハードウェアはワンタイムパスワードを発生するトークンという小さな装置で数種類から選ぶことができます。(図を参照) このトークンは携行に便利な形と見やすい数字が特長で、不正改造や複製ができない設計となっています。また、形のあるセキュリティデバイスを持つことで、ユーザーのセキュリティ意識の向上にもつながります。
図3 ハードウェアトークンの例 (RSA SID700)
ソフトウェアは、PC 版 (Windows 版、Mac 版) とスマートモバイル版 (Android 版、iPhone/iPad 版、Windows Phone 版、BlackBerry 版など) があり、最近では後者の導入が増える傾向にあります。ソフトウェアトークンは、スマートデバイスに入れて持ち歩くことが出来るため、トークンデバイスを紛失するということはありません。万が一スマートデバイスを紛失した場合は、サーバ側で使用を停止し、再発行できます。(紛失による再購入は必要ありません)
図4 ソフトウェアトークンの例 (モバイル(iPhone/iPad) 用 RSA SecurID)
3. RSA SecurID と VMware View 連携のメリット (セキュリティ強度の向上や RSA Ready など)
VMware View / VMware Workspace Portal と RSA SecurID を連携させて、仮想デスクトップやアプリケーションへのアクセスをセキュアに保つことができます。VMware View / VMware Workspace Portal は、RSA のテクノロジーパートナープログラム認定制度で連携が検証されており、インテグレーションガイド等も準備されています。
古くて新しい問題である「パスワードリスト攻撃」のような不正アクセス手段が昨今の Web やニュースで話題になっていますが、その原因はユーザーが固定パスワードを複数のサイトで使い回していることにあります。二要素認証の RSA SecurID を利用することにより、犯罪者が不正アクセスのために二つの要素を入手することが困難であることはもとより、遠隔からパスワードが盗まれたとしても、ワンタイムパスワードの特長 (1度しか使えない、1分でパスワードは変更される) により、非常に強力な認証となります。
次回の Part 2 では、RSA SecurIDと連携するためのHorizon 6の設定方法や構成例についてご紹介します。
Horizon