~FortiAuthenticator技術ブログ~
【第1回】FortiToken連携

セキュリティがますます重要視される現代において、企業はどのようにして堅牢な認証システムを構築するべきでしょうか。本稿では、Fortinet社が提供するセキュリティソリューションの中から、FortiAuthenticatorとFortiTokenに焦点を当て、それらがどのようにして強固な認証基盤を実現するのかを紹介します。組織のセキュリティを強化し、不正アクセスを防ぐための鍵となるこれらのツールがどのように役立つか、詳しく見ていきましょう。

FortiAuthenticator (フォーティオーセンティケーター) とは?

FortiAuthenticatorは、ユーザー認証、シングルサインオン(SSO)、証明書管理などの機能を提供する認証サーバーです。これにより、企業はネットワークアクセスを一元管理し、セキュリティを強化することができます。

FortiAuthenticator 300F

主な機能

ユーザー認証

RADIUS、LDAP、TACACS+などのプロトコルをサポートし、多様な認証方法を提供します。これにより、企業は異なるシステムやデバイスからのアクセスを一元的に管理できます。例えば、従業員が社内ネットワークにアクセスする際や、外部からのアクセス場合でも共通の認証ソース(RADIUS、LDAP)を使用することで、ユーザー管理の簡素化やセキュリティ自体も強化できます。

シングルサインオン(SSO)

シングルサインオン機能を提供し、一度のログインで複数のサービスにアクセス可能にします。これにより、ユーザーの利便性が向上し、パスワード管理の負担が軽減されます。例えば、従業員が一度ログインするだけで、メール、ファイル共有、社内ポータルなどの複数のサービスにアクセスできるようになります。

証明書管理

デジタル証明書の発行と管理を簡素化します。これにより、企業は安全な通信を確保し、認証プロセスを強化できます。例えば、従業員のデバイスにデジタル証明書を発行し、VPN接続時に証明書を使用して認証を行うことで、セキュリティを強化できます。

導入のメリット

セキュリティの強化

FortiAuthenticatorを導入することで、不正アクセスを防止し、ネットワークの安全性を向上させることができます。多要素認証やシングルサインオンの導入により、セキュリティレベルが大幅に向上します。例えば、従業員が社内ネットワークにアクセスする際に、パスワードに加えてワンタイムパスワード(OTP)を使用することで、不正アクセスのリスクを低減できます。

管理の簡素化

ネットワークアクセスの一元管理を可能にし、管理者の負担を軽減します。これにより、効率的な運用が実現し、管理コストの削減が期待できます。例えば、複数の認証システムを一元管理することで、管理者は一つのインターフェースから全ての認証設定を行うことができます。

コスト削減

FortiAuthenticatorの導入により、効率的な管理が可能となり、運用コストを削減できます。また、セキュリティインシデントの発生を防ぐことで、潜在的なコストも削減できます。例えば、不正アクセスによるデータ漏洩を防ぐことで、データ復旧や法的対応にかかるコストを削減できます。

FortiToken (フォーティトークン) とは?

FortiTokenは、ワンタイムパスワード(OTP)を生成するデバイスで、二要素認証(2FA)を実現します。これにより、ユーザー認証のセキュリティが大幅に向上します。

FortiToken シリーズ
モデル 機能
FortiToken Mobile モバイルOTP
FortiToken 410 パスワードレス
FortiToken 310 証明書ベース
FortiToken 210 ハードウェアOTP

主な機能

ワンタイムパスワード(OTP)生成

時間ベースのOTP(TOTP)を生成し、セキュリティを強化します。これにより、パスワードの使い回しや盗難のリスクを低減できます。例えば、ユーザーがログインする際に、パスワードに加えてFortiTokenが生成するOTPを入力することで、認証の安全性を高めます。

二要素認証(2FA)

パスワードに加えてOTPを使用することで、認証の安全性を向上させます。これにより、ユーザーはより安全にネットワークにアクセスできます。例えば、従業員がリモートから社内ネットワークにアクセスする際に、パスワードとOTPの両方を使用することで、不正アクセスを防止します。

導入のメリット

セキュリティの強化

FortiTokenを導入することで、パスワードだけでは防げない攻撃を防止できます。二要素認証により、セキュリティレベルが大幅に向上します。例えば、フィッシング攻撃によってパスワードが漏洩しても、OTPが必要なため、不正アクセスを防ぐことができます。

ユーザーエクスペリエンスの向上

簡単な操作で高いセキュリティを実現します。ユーザーは、手軽に二要素認証を利用できるため、利便性が向上します。例えば、スマートフォンアプリを使用してOTPを生成することで、ユーザーはいつでも安全にログインできます。

柔軟な導入オプション

ハードウェアトークンとソフトウェアトークンの両方を提供します。企業は自社のニーズに合わせて最適なソリューションを選択できます。例えば、セキュリティが特に重要な部門にはハードウェアトークンを配布し、一般の従業員にはソフトウェアトークンを使用させることで、コストを抑えながらセキュリティを強化できます。

FortiAuthenticatorとFortiTokenの連携

FortiAuthenticatorとFortiTokenを組み合わせることで、強力なセキュリティソリューションを構築できます。FortiAuthenticatorを使用してユーザー認証を行い、FortiTokenで二要素認証を追加することで、ネットワークアクセスの安全性を大幅に向上させることができます。また、FortiAuthenticatorは、LDAPやActive Directoryなどのディレクトリサービスと連携してユーザー情報を取得し、FortiTokenを自動的に割り当てることができます。更に、エンドユーザが自身でFortiTokenを管理できるセルフサービスポータルを提供します。これにより、管理者の負担を軽減し、ユーザーエクスペリエンスを向上させます。

FortiGate、FortiAuthenticator、FortiTokenを組み合わせた認証構成

FortiAuthenticator上に、FortiToken OTPや FortiToken FIDOを登録する画面を紹介します。

FortiAuthenticator上のFortiToken管理一覧

下記のメニューで購入したFortiTokenを登録します。
[Authentication] > [User Management] > [FortiTokens]

FortiGate、FortiAuthenticator、FortiTokenを組み合わせた認証構成

管理者によるユーザー登録とFortiTokenの紐づけ (OTPを使用する場合)

[Authentication] > [User Management] > [Local Users] OTP

FortiGate、FortiAuthenticator、FortiTokenを組み合わせた認証構成

管理者によるユーザーの登録とFortiTokenの紐づけ (FIDOを使用する場合)

[Authentication] > [User Management] > [Local Users] FIDO

FortiGate、FortiAuthenticator、FortiTokenを組み合わせた認証構成

セルフサービスポータルからのFIDOキーの登録、削除設定

FortiAuthenticatorには、FortiTokenをセルフ登録するためのサービスポータルを作成することもできます。
[Authentication] > [Portals] > [Portals]

FortiGate、FortiAuthenticator、FortiTokenを組み合わせた認証構成

リモートユーザがFortiToken FIDOを使用してSSLVPN接続を行う操作例を紹介します。

FortiTokenのセルフ登録

FortiAuthenticatorに用意されたセルフサービスポータルからFortiTokenを登録することもできます。

01

FIDOキー追加

画面キャプチャ
02

FIDOキー名入力

画面キャプチャ
03

FIDOキー接続

画面キャプチャ
04

PINコード入力

画面キャプチャ
05

FIDOキータッチ

画面キャプチャ
06

FIDOキー登録完了

画面キャプチャ

SSL-VPN接続

セルフ登録したFortiTokenを使って、SSL-VPN接続を行うことができます。

01

SSL-VPN接続開始

画面キャプチャ
02

ユーザーID入力

画面キャプチャ
03

PINコード入力

画面キャプチャ
04

FIDOキー入力

画面キャプチャ
05

SSL-VPN接続完了

画面キャプチャ

まとめ

FortiAuthenticatorとFortiTokenは、企業のネットワークセキュリティを強化するための強力なツールです。これらを導入することで、セキュリティの向上、管理の簡素化、コスト削減の効果を得られます。特に、リモートワークの普及に伴い、信頼性の高い認証システムの重要性はますます高まっています。FortiAuthenticatorとFortiTokenを活用することで、企業は安全で効率的なネットワーク環境を構築し、ビジネスの継続性を確保することができます。

ぜひ、これらの製品を活用して、より安全なネットワーク環境を構築してください。詳細な情報や導入に関するサポートが必要な場合は、弊社にお問い合わせください。

FIDO認証

FIDO認証(Fast Identity Online)は、パスワードを使わずにオンラインサービスの認証を行うための新しい技術です。FIDO認証は、公開鍵暗号技術を使用して、ユーザーのプライバシーを保護し、フィッシング攻撃を防止するよう設計されています。各ユーザーには一意のパスキー(暗号鍵ペア)が割り当てられ、これが特定のオンラインサービス専用に設定されます。これにより、異なるサービス間でユーザーの情報が共有されることはありません。
FIDO認証の大きな特長は、パスワードレスであることです。従来のID・パスワード認証の脆弱性を克服するために、生体情報やワンタイムパスワードなどの多要素認証が導入されています。これにより、認証のセキュリティが大幅に向上し、ユーザーの利便性も高まります。


著者

著者イメージ
小倉 秀彦
セキュリティプロダクト第一部
ネットワーク接続時の認証や、FortiTokenを使用した二要素認証などを主にご紹介していきます。

お問い合わせ

Fortinet製品に関する
問い合わせはこちらから

お役立ち資料

各種お役立ち資料も
取り揃えております

関連ブログ