Windowsへのログオンをプッシュ通知に移行する時が来ました

絶えず進化するサイバーセキュリティリスクに照らして、企業は従業員による内部およびリモートネットワークアクセスを保護するための強力な対策を講じる必要があります。

今日の労働力は、ウェブ、モバイル、クラウドのネットワーク、アプリケーション、リソースへのいつでもどこでも便利なアクセスを必要としています。明らかに、情報へのタイムリーなアクセスがビジネスを前進させます。

同時に、組織はセキュリティ違反を防止し、GDPRやPCI DSS 3.2などのセキュリティおよびプライバシーに関する法律、規制、標準への継続的なコンプライアンスを維持する必要があります。 セキュリティチームは、強力なセキュリティと最適な従業員エクスペリエンスの両方を実現するために、プッシュ通知によるWindowsログオンの採用または移行を検討する必要があります。

使用する二要素認証従業員のWindowsログオン（および関連するネットワークログイン）は、静的パスワードを大幅に改善しています。Verizonの最新によればデータ侵害の調査報告によると、ハッキング関連のデータ侵害の81％は、弱いパスワードまたは盗まれたパスワードを使用しています。Verizonは、サイバー攻撃から保護し、資格情報の紛失または盗難による被害を制限するための基礎の1つとして、2要素認証を推奨しています。

法律と業界標準

企業に対するサイバー攻撃の増加は、新しい法律と業界標準を引き起こしました。グローバルデータ保護規則（GDPR）とペイメントカード業界データセキュリティ基準（PCI DSS）3.2は2つの例で、どちらもリスクを軽減するための対策を定義しています。

たとえば、GDPRの第32条は、企業が「リスクに適切なレベルのセキュリティを確保するための適切な技術的および組織的対策」を実施することにより個人データを保護することを義務付けています。

これは曖昧に見えるかもしれませんが、EUのネットワークおよび情報セキュリティ機関（ENISA）は、2018年5月25日に発効するGDPRを実装および遵守する方法を助言する役割を担っています。

の中に個人データ処理のセキュリティに関する中小企業向けガイドライン ENISAは、GDPRのアクセス制御と認証の要件への準拠に対応しています。政府機関は、リスクの高いケースや中程度の影響がある特定のケースでは、2要素認証を実装することを推奨しています。

「個人データを処理するシステムへのアクセスには、2要素認証を使用することをお勧めします。認証要素には、パスワード、セキュリティトークン、シークレットトークン付きのUSBスティック、生体認証などがあります。」

ENISAは、モバイルデバイスを使用すると、デバイスの盗難や偶発的な紛失の危険性が高まることにも言及しています。モバイルデバイスは個人的な目的でも使用される可能性が高いため、ビジネス関連のデータを侵害しないように特別な注意を払う必要があります。その結果、ENISAガイドラインは次のようにアドバイスしています。

「 モバイルデバイスへのアクセスには2要素認証を検討する必要があり、モバイルデバイスに保存されている個人データは暗号化する必要があります。」

PCI DSS 3.2

2018年2月1日、PCI-DSS 3.2の要件8.3が施行され、カード会員データを処理するコンピューターおよびシステムへの非コンソールアクセス、およびカード会員データ環境（CDE）へのリモートアクセスに多要素認証が必須になりました。

• 要件8.3.1は、カード会員データ環境（CDE）へのコンソール以外の管理アクセス権を持つすべての担当者の多要素認証に対応しています。非コンソールアクセスとは、直接的な物理接続を介してではなく、ネットワークを介して実行されることを意味します。内部または外部またはリモートのネットワーク内から発生する可能性があります。
• 要件8.3.2は以前の要件8.3を組み込んでおり、CDEへのリモートアクセスのための多要素認証に対応しています。この要件は、一般ユーザー、管理者、ベンダー（サポートおよびメンテナンス用）を含むすべての担当者に適用されることを意図しています。

 

 

2要素認証を使用したWindowsログオン

従業員のWindowsログオン（および関連するネットワークログイン）に2要素認証を使用すると、すべての重要なアプリケーションと従業員のラップトップおよび企業ネットワークに保存されている機密データへのアクセスが保護されます。Windowsログオンと2要素認証の組み合わせにより、仮想プライベートネットワークまたは仮想デスクトップインフラストラクチャを介したリモートアクセスも保護されます。

Windowsログオンの2要素認証により、従業員はワンタイムパスワード（OTP）を使用してネットワーク上のWindowsデスクトップにログオンできます。必要な2つの認証要素は次のとおりです。

• ワンタイムパスワード（OTPを生成するための安全なキーでプロビジョニングされた、ハードウェアトークンやOTPアプリを備えたスマートフォンなど、ユーザーが持っているもの）
• 静的パスワード（ユーザーが知っているもの）

どちらの認証要素も独立しており、ワンタイムパスワードは再利用できません。これは、2要素認証の要件に準拠しています。

Windowsログオンの2要素認証は、従業員のWindows環境に小さなソフトウェアモジュールとしてインストールされます。デスクトップPC、ラップトップ、サーバーにインストールできます。これがセットアップされるとすぐに、元のログオンウィンドウが、ソフトウェアまたはハードウェアクライアントによって生成されたOTPを検証するバージョンに置き換えられます。

プッシュ通知

WindowsパスワードフィールドにOTPを入力する代わりに、従業員には別のオプションがあります。

スマートフォンのOTPアプリを使用して、ログオンプロセスを容易にすることができます。Windowsへのログオン時の認証プロセス中に、従業員はモバイルデバイスで通知プロンプトを受け取り、デバイスをタップするだけで認証されます。

このプッシュ通知は、プッシュモードを使用して従業員のモバイルデバイスのOTPアプリが自動的に認証できるようにする、帯域外（OOB）認証方法です。

プッシュ通知は、より高い総所有コストでより高いセキュリティとユーザーエクスペリエンスの向上を組み合わせているため、認証市場に大きな影響を与えます。これは認証の聖杯を表し、アナリストは現在、組織がモバイルプッシュ通知を採用または移行することを推奨しています。

プッシュ通知の実装を検討する主な理由：

• 強力なセキュリティ 。OTPを入力する必要はありません。たとえば、キーロガーがパスワードを傍受することはできません。さらに、OTPアプリは、PINまたは生体認証だけでなく、モバイルデバイス管理またはアプリケーションのシールド 。
• ユーザーエクスペリエンスの向上。 OTPに入力するステップを保存することに加えて、通知にログインまたはトランザクションの詳細が表示されるため、従業員はコンテキストについて事前に通知されます。従業員がプッシュ通知を受け取ったことを確認するためのシングルクリックは、認証するのに十分かもしれません。より高いセキュリティが必要な場合、組織は電話のPINなどのローカル認証要素を階層化できます。生体認証 、指紋や顔認識など。

追加情報

プッシュ通知でWindowsログオンを実装するためのVASCOのソリューションコンポーネントの詳細をご覧ください。

• プッシュ通知付きDIGIPASSアプリ
• IDENTIKEY認証サーバー