WINDOWSやRDP (リモートデスクトップ)などの
二要素認証ソリューション

UserLockの二要素認証が選ばれる15の理由

UserLockによる二要素認証(2FA)は、オンプレミス、またはクラウドとのハイブリッドでのActive Directory(AD)環境下において、従業員がどこからでも、企業ネットワークやクラウドアプリケーションに安全にアクセスできるようにするものです。UserLockのアクセス管理によって、高い生産性を維持しながら安全なネットワークを実現します。

1. 二要素認証をActive Directoryに後付け

UserLockの二要素認証は、既存のWindows環境のインフラに簡単に導入できるため、新たなシステム構築の必要はありません。また直感的なインターフェイスにより、簡単に管理することが可能です。UserLockは、お客様のActive Directory(AD)アカウント、構造、スキーマなどに変更や修正を加えることはありません。

2. リモートデスクトップ接続(RDP)に
二要素認証を適用

リモートデスクトップ接続(RDP)時に二要素認証を追加することが可能です。ネットワーク内の別の端末(リモートコンピュータや仮想マシンなど)に接続するエンドユーザーも、二要素認証の対象とすることができます。社内ネットワークの外からのRDP経由のログインに二要素認証を適用するか、ネットワーク内外の両方を含む、すべてのRDP経由のログインに二要素認証を適用するかを選択できます。

 

3. RD Gatewayの二要素認証をカスタマイズ

リモートデスクトップゲートウェイ(RD Gateway)は、インターネット経由のリモートアクセスを可能にします。リモートデスクトップとHTTPSプロトコルを利用することで、安全に暗号化された接続を行うことができます。
RD Gatewayを通過するRDP接続は、通常「ネットワーク内部」からのアクセスと見なされますが、UserLockはRD Gateway接続時のIPアドレスを特定して「ネットワーク外部」と見なすことも可能です。
すべてのRD Gateway接続のうち、ネットワーク外部からアクセスされるRDP経由のログインに対してのみ、二要素認証を有効にすることを選択する、ということもできます。

4. VPNとIIS接続に二要素認証を適用

VPNやIISの接続では、フィッシング攻撃やスピアフィッシング攻撃など、特定のセキュリティ脅威に対しての脆弱性が認められます。保護すべき端末やIISサーバーにUserLockエージェントをインストールすると、VPNやIISの接続に対し、二要素認証を簡単に適用することができます。これにより、漏えいした認証情報等を悪用した攻撃者によるネットワーク内へのアクセスの防止、そしてVPNやIISの接続のセキュリティ強化となります。

5. ドメイン接続を伴わない
リモートワークへの二要素認証

例えば、遠方にいる社員が、VPNもネットワーク接続をしていない場合、リモート経由のログインを安全に行うことが可能でしょうか? この抜け道は二要素認証の盲点になりがちです。UserLockは、ドメインに接続されていない場合でも、リモート接続を保護するため、二要素認証の適用、ユーザーアクティビティの監視、セキュリティポリシーの適用を維持することができます。

6. クラウドリソースへの二要素認証の適用

UserLockは、二要素認証とシングルサインオン(SSO)を組み合わせ、複数のクラウドリソースにセキュアかつスムーズにアクセスすることが可能です。ユーザーは、既存のオンプレミスADの認証情報と、オプションの二要素認証により、一度ログインするだけで、Microsoft 365やクラウドアプリケーションなどのリソースに、どこにいても安全にアクセスすることができます。
またSSOと多要素認証を組み合わせることで、認証を行う頻度を管理できるため、セキュリティと生産性のバランスをとることができます。

7. タイムベース、またはカウンターベースの
ワンタイムパスワード(TOTP・HOTP)
による二要素認証の利用

UserLockでは、二要素認証の認証方式として、認証アプリとハードウェアトークンの2種類から選択することができます。多くの企業では、セキュリティ、使いやすさ、コストのバランスを考えて、認証アプリを選択しています。
プログラム可能なセキュリティ・トークンやセキュリティ・キーは、特に企業のスマートフォンにアクセスできないエンドユーザーにとって、安全でシンプルな多要素認証を実装する方法となります。トークンはOTP(ワンタイムパスワード)の数値コードの生成を行います。OTPのコードは一回のみの使い捨てであり、常に変化していることでセキュリティが担保されています。TOTPはタイムスタンプが使用されるOTPとなり、HOTPはタイムスタンプの代わりに認証カウンターが使用されるOTPとなります。

8. 二要素認証のカスタマイズ

任意のユーザー、グループ、部署などによって、二要素認証を実行するタイミングを指定することができます。接続方式や端末、またはサーバー接続や接続のタイミング(すべてのログイン時、日単位、一日の最初のログイン時など)によってカスタマイズが可能です。

9. 特権アカウントを含むすべての
ユーザーに二要素認証を義務化

二要素認証により、すべてのユーザーからのアクセスを保護することで、重要なデータやリソースにアクセスするActive Directoryアカウントを保護することになり、企業や団体のセキュリティに重要なポイントとなります。
また、Windowsのローカル管理者アカウント、ドメイン管理者アカウント、Active Directoryのサービスアカウントなどといった、特権的なアカウントも対象とすることで、緊急時の対応力を向上させることができます。

10. 安全で常時利用可能な
オンプレミス型ホスティング

最大限のセキュリティを確保するため、UserLockはお客様のオンプレミスAD環境に直接インストールされます。どの端末からでもリモートで管理できるため、ITチーム全体で企業内のすべての二要素認証のアクティビティを可視化して、アラートやレポートを共有することが可能となります。

11. ワンクリック対応でエンドユーザーをサポート

UserLockの管理画面から、あらゆるセッションに簡単に対応でき、特定のユーザーの認証設定のリセットやバイパスも可能です。

12. 個々のセキュリティポリシーに応じた設定で
二要素認証の手間を最小限に

UserLockの詳細なカスタマイズ機能により、それぞれのセキュリティポリシーに沿った設定を行うことで、例えば「1日に10回以上二要素認証が要求される」といったことを回避することができます。
ユーザーの生産性を妨げることなく、攻撃者にとって大きな障壁となります。また、管理者は詳細な設定条件(場所、端末、時間、接続方式や同時セッション数など)により、細かいカスタマイズが可能です。

13. セキュリティと生産性の両立を実現する
邪魔にならない二要素認証

UserLockの二要素認証はユーザーと管理者の両方にとって最適な仕組みを提供します。

  • ユーザーにとって登録は直感的で、ユーザー自身が簡単に行うことができます。また、管理者は、携帯電話やセキュリティキーがない場合でも簡単にアクセスを回復できるように、リカバリーコードのセットをユーザーに提供することもできます。また、自分の認証情報が使用された場合(成功したかどうかに関わらず)、アラートがユーザーに通知されるため、ユーザーは身に覚えのないアクセスを直ちに確認できます。
  • ヘルプリクエストはリアルタイムで管理者に通知されるため、管理者はワンクリックで即座に簡単に対応することができ、ユーザーは本来の業務に専念することができます。

14. インターネットアクセスなしでも
二要素認証を適用

UserLockは、インターネットに接続されていなくても適用できるオンプレミス二要素認証機能を提供しています。つまり、ユーザーの安全な認証がどこからでも可能になるのです。

15. 費用対効果の高い二要素認証を選択

UserLockは、効果的な企業レベルの二要素認証を使いやすく、導入しやすい形で提供しています。大企業から中小企業まで企業規模を問わずお使いいただけます。

オンプレミスADのアイデンティティを保護するUserLockの包括的なソリューション

二要素認証は、UserLockの6つの主要機能の1つで、オンプレミス、またクラウドを含めたハイブリッドのActive Directory環境へのアクセスを保護します。

  • 二要素認証(2FA)
    Windowsログイン、RDP、VPN接続時に二要素認証を安全に行うことができます。ワンタイムパスワードを使用し、すべてのユーザーの身元を確認する状況を定義します。
  • シングルサインオン(SSO)
    多要素認証やセッション管理と組み合わせることで、クラウドのリソースにシームレスかつ安全にアクセスできるようになります。
  • セキュリティポリシーに応じたアクセス制御
    ログインのタイミング、端末、デバイス、IPアドレス、接続方式(Wi-Fi、VPN、IISなど)、同時セッション数などの制限を設定し、不適切なログインのリスクを低減することが可能です。
  • リアルタイムのモニタリングとレポーティング
    すべてのログインを監視し、既存のポリシーと照らし合わせて、ログインが許可されるべきかどうかを判断します。完全な可視化により、潜在的な脅威を示す可能性のある異常なアカウント動作を把握することができます。レポーティングにより、あらゆる調査のための詳細な洞察を得ることができます。
  • 管理者とユーザーへのアラート通知
    不適切なログイン行為や失敗をIT部門とユーザー本人に通知します。
  • 緊急対応
    不審なアクセスに対し、ユーザーを強制的にログオフさせ、さらにログインできないようにすることができます。