クレジットカード取り扱い企業において、PCI DSS対応のためネットワーク閉鎖領域にあるPC端末の認証強化がしたいという相談を受けました。YubiOnではこの問題に対して、エンドポイントセキュリティ製品であるYubiOn WindowsLogon Standaloneの導入によるPC端末の2要素認証と認証デバイスYubiKeyの使用を提案し、問題解決に導きました。今回はその具体的な内容をご紹介します。
導入組織
クレジットカード取り扱い企業 導入規模:
YubiOn WindowsLogon Standalone 社内ネットワーク閉鎖領域にある二十数台のPC端末に適用
認証デバイスYubiKey 利用者分のYubiKeyを手配 ※上記ソフトウェアで使用できるように、YubiKeyの設定を書き換えたものを手配。
課題
PCI DSS対応によるPC端末の認証強化問題 ネットワーク閉鎖領域にあるPC端末はActive Directory (AD)で管理されており、PC端末のログオン時はID / パスワードでの認証でした。閉鎖領域にある既存のAD環境に影響を与えることなく、PC端末の認証を強化することが今回の課題となります。
解決
YubiOn WindowsLogon Standaloneの導入 弊社のソフトウェアをPC端末にインストールすることで、認証デバイスYubiKeyによるPC端末の2要素認証化が可能になります。スタンドアロン版の特徴としては、ネットワーク通信を必要としないため、閉鎖領域での使用が可能です。また、既存のActive Directory環境に影響を与えることなく導入が可能です*1。さらに、本ソフトウェアの導入により下記の効果を得ることができました。 YubiOn WindowsLogon Standaloneによるセキュリティ
PC端末ログオン時にYubiKeyでの2要素認証 (OTP)
YubiKey引き抜き時の自動スクリーンロック →離席の際も安心してPC端末から離れることができます。
マスターキー設定 →どのアカウントでもログオンできるマスターキーが設定可能です。 YubiKey紛失の際の緊急時のログオンなどにご利用いただけます。
*1 なぜ既存のADに影響を与えないのかについてご説明します。
YubiOn WindowsLogon Standaloneを導入すると、通常のWindows認証を行う前に認証デバイスYubiKeyによる認証を行います。Windowsの認証部分に影響を与えないため、AD環境下でも現在の設定を変更することなく導入が可能です。
YubiKeyの採用 今回はカスタマイズ設定が可能なYubiKey 5シリーズを採用しました。弊社のソフトウェアで使用できるように予めYuiKeyの設定を書き換えて使用しています*2。PC端末のログオン時はYubiKeyをUSBポートに挿してタッチするだけなので、使いやすいというお声を頂いております。また、「YubiKeyを紛失したらどうするの?」という相談も受けていますが、弊社では下記のような方法でYubiKeyのバックアップができるよう提案しています。 YubiKeyバックアップについて 1ユーザーに対して2本YubiKeyを購入していただき、1本はバックアップとして保管します。また、どのアカウントでもログオンできるマスターキーを設定するためにYubiKeyを1本購入します。YubiKey紛失の際には、バックアップキーを使用するか、一時的にマスターキーを利用してログオンします。新しいYubiKeyでログオンできるようになった際には、紛失したYubiKeyとアカウントの設定を解除しておきます。 *2 使用するYubiKeyについて 本ソフトウェアで使用するYubiKeyは一部設定の書き換えが必要になります。Amazon等で購入されたYubiKeyに関してはご利用できないため、弊社よりソフトウェアとセットでお買い求めください。
最後に
今回ご紹介した製品や認証デバイス情報を下記にまとめています。お求めの際にはお気軽にご相談ください。
YubiOn WindowsLogon Standaloneの導入 製品の詳細に関しては製品紹介ページを参照ください。 ※本ソフトウェアで使用するYubiKeyは設定が必要になるため、ソフトの購入とセットでお買い求めください。