重要なお知らせ

当ページでご案内中の「二要素認証追加機能(β版オプション)」は、2014年6月より正式オプションサービス「SMS認証追加機能」として提供を開始いたします。
詳細につきましては2014年2月26日付プレスリリースをご参照ください。
※2014年3月開始の導入費用半額キャンペーンについてもプレスリリース内にてご紹介しております。

  ▼以下、現行のβ版サービスに関する情報となりますのでご注意ください。

新サービス「二要素認証追加機能(β版オプション)」提供開始しました

Scutumでは、パスワードリスト攻撃へのより強固な対応策として、Scutum利用中のサイトにWebアプリケーションの追加開発なしで「二要素認証」を追加できる新機能をβ版オプションサービスとして提供しております。
(2013年8月より提供開始)

本オプションのお申し込み、お問い合わせはこちらまで

「二要素認証追加機能」のサービス概要

WAF「Scutum」では、導入中のWebサイトへ「二要素認証」を簡単に追加できる機能を実装しました。
本機能では、携帯電話を利用した「SMS認証」を用いており、ログインするためには携帯端末を所有している必要があるため、一般的なパスワードリスト攻撃ではこの認証を突破できません。これまでユーザーIDとパスワードのみで認証を行っていたWebサイトに「Scutum」を導入するだけで、一切の開発なしに二要素認証に対応したウェブアプリケーションへと進化させることができます。

SMS認証について

携帯電話のSMSを利用した個人認証の仕組み。ユーザーがWebサイトへのログイン時に、携帯電話の番号を入力して送信し、WebアプリケーションがSMSを通じて一時的なトークンを発行します。ログインには、発行されたトークンを使うため、ユーザーはログイン時に実際に携帯電話を持っている必要があります。

ご提供イメージ

Scutum 二要素認証追加機能 構成図  
  • 二要素認証に用いるSMS送信機能は、KDDIウェブコミュニケーションズが提供する Twilio for KDDI Web Communications(以下、「Twilio」) を利用しており、スマートフォン/フィーチャーフォンを問わず、DoCoMo、AU、Softbank、イーモバイルの4社のSMS対応端末でご利用いただけます。
  • SMS送信先の電話番号は、原則として「日本国内」の「携帯電話」に制限しているため、携帯電話以外の番号や、海外の携帯番号が入力された場合はSMSが送信されず認証不可となります。この制限は、ご希望により解除することも可能です。
  • さらに、認証に利用可能な携帯電話番号のリストをあらかじめ指定することが可能です。この場合、リストにない番号が入力された場合はSMSが送信されず認証不可となります。管理画面や、企業内でのみ利用するサイト、BtoBサイト等でよりセキュアにご利用いただけます。
  • BASIC認証のみで認証を行っているサイトにも導入可能です。
  • 同じIPアドレスから一定時間内に一定回数以上ログインを試みている場合に制限を掛けます。
  • 同じ携帯番号を利用して一定時間内に一定回数以上ログインを試みている場合に制限を掛けます。
  • 二要素認証完了後、同じ端末から再度ログインする際は、一定期間は二要素認証なしでログインさせることが可能です。(都度二要素認証が必要とすることも可能)
  • 回数/期間/頻度等に関する設定は、カスタマイズ可能な項目もございます。
    詳しくはお問い合わせください。

期待できる効果

 
  • 海外からのパスワードリスト攻撃の排除
  • 国内からの自動化されたパスワードリスト攻撃の抑制
  • 国内から手動でなりすましを狙った攻撃を受ける場合も、実際に認証に使う電話番号が記録されるため抑止効果大
  • (SMS送信可能番号をリスト化しておく場合)指定電話番号を持つ利用者以外のログインを排除

特に高い効果が見込まれるサイトのタイプ

・管理画面
・BtoBサイト
・BASIC認証のみで認証

ご注意事項

 
  • 本オプションはβ版での提供となります。利用を希望されるお客様には、事前のヒアリングの際、β版仕様について合意をいただいた上で提供いたします。対象サイトのWebアプリケーション仕様によってはご利用できない場合もありますのでご了承ください。
  • 二要素認証時の画面(電話番号入力画面、一時トークン入力画面、エラー表示画面など)は、対象サイトと同じホスト名で新たにURLが追加される形となります。通常はScutum標準の共通デザインとなりますが、一定の範囲でカスタマイズも可能です。ご希望の場合はヒアリング時にご相談ください。
  • トラフィック超過等の理由から、対象サイトへのWAFサービス適用を一時的に切り離す場合、本機能も同時に解除されますのでご了承ください。WAFサービスの再適用後、本機能も再開いたします。
  • 本機能によるSMS送信が可能な携帯電話キャリアは、2013年8月現在、DoCoMo、AU、Softbank、イーモバイルの国内4社に限られます。送信可能な番号と機種は、Twilio for KDDI Web CommunicationsのSMS仕様に依存いたします。同社サービスの詳細につきましては下記情報が提供されております。

    http://twilio.kddi-web.com/sms/index.html
    https://twilioforkwc.zendesk.com/home

「二要素認証追加機能」の導入フローと料金

Scutum 二要素認証追加機能 導入フローとご利用料金

※その他、導入やご利用に関する詳細はお問い合わせください。

本オプションのお申し込み、お問い合わせはこちらまで

Twilio for KDDI Web Communications について

「Twilio for KDDI Web Communications」は、株式会社KDDIウェブコミュニケーションズが提供するクラウド電話APIサービスです。WAF「Scutum」では二要素認証の際に同サービスのSMS送信機能を利用しております。
※Scutumでの利用事例はこちらのページで紹介されております。

「Twilio for KDDI Web Communications」 公式サイト