ソリューションメニュー

多要素認証基盤:AccessMatrix™ UAS

AccessMatrix UAS banner

主な認証とデータ保護機能

OTP(One Time Password)トークン

AccessMatrix UASは、OTPトークンを使用したワンタイムパスワード認証機能を備えています。VASCO, Gemalto, RSA, ActiveIdentity等、主要ベンダーのハードウェア、ソフトウェア/モバイルトークン、oAuth準拠デバイスをサポートしており、お客様の既存のトークン資産を無駄にせず有効利用する事ができます。

otp tokens

Out-of-Band(OOB) One Time Password

OOB OTPは、ワンタイムパスワード認証の一種であり、サーバで生成した認証用ワンタイムパスワードをユーザのスマートフォンや携帯電話に送信する仕組みです。認証処理とOTP送付用のチャネルを分けることによって認証の安全性を高めます。この認証方式は一般的に2段階認証と呼ばれ、より安全なユーザ認証方式としてGoogleのサービス等でも使用されています。

OOB OTP概要

  1. ユーザはユーザID/パスワードによる認証を実行
  2. ユーザID/パスワード認証が成功すると、ワンタイムパスワードの認証ダイアログが表示される
  3. システムはワンタイムパスワードを生成し、ユーザのスマートフォンや携帯電話に送信(*1)
  4. ユーザは受信したOTPをワンタイムパスワードの認証ダイアログに入力し2つ目の認証を行う

(*1)OTPのスマートフォンへの送信方法はSMSやE-Mailの他、音声応答、HTTP POST/GETなどでも実現可能です

PIN情報の保護-金融サービス向けセキュリティソリューション

AccessMatrix UASは、顧客のPIN/Passwordを高度に保護する金融サービス向けソリューションを提供しています

E2EE(End-to-End Encryption) - PIN情報の保護

E2EE(End-to-End Encryption)は、ユーザが入力したパスワード/PINの値をシステム全体にわたり保護するセキュリティソリューションです。AccessMatrix UASは、鍵管理と暗号化処理を行う HSM (Hardware Security Module)と連携し、ユーザのPIN/パスワードに対する高度な保護を実現します

一般的なユーザID/パスワード認証

一般的なID/パスワード認証の例を示します。通常のインターネットサービス環境では、クライアントとウェブサーバの間はSSL/TLSにより通信経路が暗号化されるため、ユーザが入力した情報は暗号化通信により保護されます。しかしながら、SSL/TLS通信はウェブサーバで終端し、サーバ内部の認証プロセスではパスワードの値は保護されないため、わずかながらも情報漏えいのリスクが存在します。

一般的な認証

E2EEによるPINの保護

E2EEを適用したシステムでは、ユーザのアクセス機器とAccessMatrix UAS/HSMの間でセキュアなチャネルを作成します。ユーザのパスワードはアクセス機器で即座に暗号化され、復号は末端のHSM機器での認証時のみ行われます。中間に存在するサーバ機器やアプリケーションではパスワードの値を知ることはできないため、ユーザのPIN/パスワードは認証プロセス全体を通じて保護されます。

E2EEによるPIN保護

図をクリックすると別のウィンドウで拡大表示されます

  1. ユーザが入力したパスワードはブラウザやクライアントアプリケーションで暗号化され、ウェブ/アプリケーションサーバに送られます
  2. ウェブ/アプリケーションサーバは、認証サーバであるUASに暗号化パスワードの認証を要求します
  3. UASはユーザ入力のパスワードと認証DBの値をHSMに渡しパスワードの検証を要求します
  4. HSMは2つの暗号化パスワードを復号・検証し、認証結果を返します。復号した値はHSMの外部に出力されません
  • ブラウザ、ファットクライアント、各種モバイルアプリケーション向けの暗号化ライブラリを提供
  • パスワードの暗号化はセッション毎に異なる非対象鍵で行われるため、リプレイ攻撃などの不正な認証を防ぎます

PINMailer(E2EE Protection for Sensitive Documents)

PINMailerは、オンラインでの安全なPINの生成と配布を実現するソリューションです。一般的な金融サービスでは、新たに発行されたPINのユーザへの通知は文書の郵送によって行われています。PINMailerは、HSMを搭載したPIN生成用の専用サーバと連携し、PINを保護しつつオンラインでのPIN(再)発行と通知を可能とします。

PINMailerの導入による利点
  • PINの(再)発行に要する期間の短縮によるユーザの利便性向上
  • PIN発行に要する作業(印刷、郵送など)が不要になることによるコスト削減
  • PIN情報を別のチャネルで配送することにより伝送経路での情報漏洩のリスクを軽減

PINの安全な配布

  1. ユーザがPINのリセットリクエストを発行します
  2. UASは、PIN生成を行うセキュアサーバに新たなPINの発行を依頼します
  3. セキュアサーバは、新たなPINを生成し、暗号化PDFファイルにPINを記載します
  4. UASは、セキュアサーバが生成した暗号化PDFファイルとそのパスワードを異なるチャネルを使用してユーザに送付します
  5. ユーザは、受信したパスワードで暗号化PDFファイルを解凍し、新たに付与されたPINの値を知ります

このページのTOPへ↑

※i-Sprint、i-Sprintロゴ、AccessMatrix、AccessMatrixロゴは、i-Sprint Innovations Pte Ltdの登録商標です。その他の商標または登録商標はそれぞれの所有者の資産です。


お問合せ

問い合わせ・資料請求

電話でのお問い合わせ

プラットフォーム
ソリューション事業部

03-5730-8850

受付時間:平日9:00〜17:00