- ブラウザからIceWallへ証明書発行要求を送信
- IceWallがユーザ認証とユーザの証明書発行権限を確認
- IceWallは許可されたユーザの証明書発行リクエストをRAへ送信
- RA → IAへ証明書発行依頼
- IA → RAへ証明書発行
- IAから発行された証明書情報をRAがフォワーダ経由でブラウザへ送信
- ブラウザは証明書のインストールを実行
ではHP IceWall SSO+PKIが、なぜ上記のように多くの支持を受けているのでしょうか。Verisign
Onsiteとの接続事例から、その理由をご理解いただきましょう。
<PKI技術実装に関する問題>
安全性を確保するために当たり前のように利用され始めたPKI技術ですが、実際にPKIを利用した認証システムを実装し、運用、管理をおこなうには、多くの手間とコストがかかるのも事実です。電子証明書を利用した認証システムに関しても、自社で認証局(CA)を構築し、証明書の発行、更新、失効、失効リストの新などの業務をおこない、管理を続けていくのには、非常に多くの手間がかかります。HP IceWall SSOでは、第三者信頼機関として一般によく知られているVerisign社が提供したOnsiteサービスとの組み合わせにより、クライアント証明書を利用したシステムを容易に構築、運用することができる機能を提供しております。
<Verisign Onsite>
Verisign社のOnsiteは、認証局(Certificate Authority, CA)としての機能を提供するサービスです。CAは、ユーザの身元確認業務を行うRA(Registration Authority)と、証明書の発行業務を担当するIA(Issuing Authority)の2つから成り立ちます。RAの登録承認機能はOnSite導入企業で管理し、IAの証明書発行業務はVerisign社が受け持ちます。アウトソース認証局という形で運用される VeriSign OnSite を利用することにより、企業は迅速かつ容易に PKI を導入し、PKI バックボーンを設計/準備/運用/維持するために必要となる多額の出費を節約することができます。
<HP IceWall SSO+Verisign Onsiteのメリット>
HP IceWall SSOをOnsiteサービスと組み合わせる最大のメリットは、証明書発行までのプロセスを自動化し、運用の負担をさらに削減が可能となることです。通常、証明書の発行にはユーザの本人性の確認が必要となるため、ユーザは事前に詳細なユーザ情報を認証局に提出し、認証局はその情報に基づいてユーザに証明書発行を許可するかの判断をおこなう必要があります。
発行する証明書情報だけでなく、発行を許可するユーザ個人情報も管理しなければならず、証明書発行側の管理者の負担は多大なものとなります。
このソリューションでは、IceWallの基本機能であるユーザ認証をおこなうと共に、許可されたユーザのみ証明書発行システムへアクセスさせることによって、本人性の確認、証明書の発行を自動化しています。
また、RA構築サービスを利用する事で、ユーザにひもづけられた証明書情報を自動的に取得し、IceWallの認証データベースに保存する機能が加わります。そのため、発行局であるVerisign社のIAに問い合わせることなく、ユーザの証明書ライフサイクルの状態を管理者が把握することが可能です。
このように、HP IceWall SSO+Verisign Onsiteのソリューションでは、PKI技術を導入した強固なセキュリティ機能を提供しておりますので、金融商取引のインフラとしても安心してご使用いただけます。
また、その信頼性の高さから、すでに金融機関を始めとする多くのBtoBシステムにて導入いただいております。
|