Zの保護についてZユーザーよりも詳しい人は誰か?

Zの保護についてZユーザーよりも詳しい人は誰か? 今すぐZセキュリティー・コミュニティーに参加する (英語)

IBM Z Multi-Factor Authentication - Updated for V2.0の製品の詳細をご確認ください。

IBM Z Multi-Factor Authenticationの機能

z/VMオペレーティング・システムへの拡張(2.1の新機能)

z/OSでサポートされるほとんどの機能は、すべて1つのライセンス下でz/VM上で動作します。ShopZから注文し、両方のオペレーティング・システムを入手して、どちらをインストールするかを選択します。既存のMFAインフラストラクチャーを活用できます。

z/OSシスプレックスの境界を超えた保護(2.1の新機能)

資格情報が生成されたシスプレックスの境界の内外で使用できるセキュアな資格情報の生成をサポートします。これにより、大規模環境におけるMFA構成が簡単になります。

監査とプロビジョニングでRACFの拡張

IBM RACF®のユーザー関連コマンドのコンポーネントに要素の拡張を導入します。Security Authorization Facility(SAF)のプログラミング・インターフェースを拡張して、ユーザー認証要求中にサポートされるトークンを定義し、MFA認識型アプリケーションでRACFのパスワードまたはフレーズに加えて要素を指定できるようにします。RACFのユーザー関連コマンドを使用して拡張を監査し、MFAトークンをプロビジョニングおよび定義します。

RADIUSのサポート: RSA、Gemalto、および汎用

IBM Z MFA RADIUSゲートウェイにより、RADIUS標準プロトコルに基づくあらゆる要素を使用できます。時間ベースのアルゴリズム、ハード・トークンあるいはソフトウェア・ベースのトークンにより、RSA SecurIDトークンをサポートします。RSA SecureIDおよびGemalto SafeNetの実装により、より堅固できめ細かいメッセージングが実現します。

IBM CIV統合

既存の要素のサポートに加えて、IBM Z MFAには、CIV RADIUSゲートウェイおよびIBM Z MFA汎用RADIUSプロトコル要素を使用した、IBM Cloud Identity Verify(CIV)統合が含まれています。CIV統合では、RACFパスワードまたはパスワード・フレーズと併せて、CIVが生成したOTPを使用できる、複合インバンド認証がサポートされます。

IBM TouchTokenおよび汎用TOTP

IBM TouchTokenにより、ユーザー認証をz/OS上で直接判定できるようになり、プラットフォーム外での追加検証なしで2要素認証の実施手段を確保できます。汎用TOTPサポートには、AndroidデバイスおよびMicrosoft Windowsデバイス上の標準準拠TOTPサード・パーティー・アプリケーションを含む、汎用TOTPトークン・アプリケーションが含まれます。

複合認証

認証プロセスに複数の要素が必要となる複合認証を実施します。複合インバンド認証では、ユーザーは有効なMFA資格情報と一緒にRACF資格情報(パスワードまたはパスワード・フレーズ)を指定する必要があります。

RACFデータベース・サポートの一元化

認証データをRACFデータベースに保管し、RACFコマンドによりMFAデータの定義や変更を行い、DBUNLOADユーティリティーを使用してRACFデータベース内の機密でないMFAフィールドをアンロードします。z/OS®セキュリティー・サーバーのRACFイネーブルメントは、RACFデータベース、RACFコマンド、呼び出し可能サービス、ログオン・プロセス、および RACFユーティリティーの更新から成ります。

IBM ISAM統合

「ワンタイム・パスコード(OTP)の選出プロシージャー」を使用して、IBM Security Access Manager(ISAM)から認証を開始します。z/OSへのログオン時は、パスワードの代わりにOTPが使用されます。ISAM統合は、ユーザーのRACFパスワードまたはパスフレーズと併せて、ISAMが生成したOTPを使用できる、複合インバンド認証をサポートします。

Yubicoのネイティブ・サポート

Yubico OTPアルゴリズムをサポートするさまざまなYubikeyデバイスを使用できます。IBM Z MFAは外部認証サーバーを必要としません。またすべてのOTP評価は、IBM Z MFAが開始したタスクによってz/OSシステム上で実行されます。

証明書ベースの認証、PIV、CACカードのサポート

証明書ベースの認証システムをサポートするための基盤を確立します。連邦政府で通常使用されているPersonal Identity Verification(PIV)およびCommon Access Card(CAC)のスマート・カードの認証が可能になります。

フォールト・トレランスおよびアプリケーションの除外

MFAが正しく動作しないようにできる認証プロパティーで、アプリケーションのMFA処理を除外します。特定のアプリケーションにMFAから除外するというマーク付けをするSAFプロファイルを定義して、ユーザーが、パスワード、パスワード・フレーズ、またはパスチケットのいずれかでアプリケーションにログオンできるようにします。逆に、SAFプロファイルを使用して組み込みポリシーを作成し、選択されたユーザーやアプリケーションにMFAを適用しやすくすることもできます。

技術的詳細

技術仕様

IBM Z MFAの前提条件:

  • z/OS V2.2 Security Server RACF 2.2以降(MFAサポート用のPTF適用)

ソフトウェア要件

IBM Z MFAには、以下のものが必要です。

  • RSA SecurIDのRSA Authentication Manager 8.1活用
  • SafeNetサポートの場合、外部のGemalto SafeNet Authentication Serviceサーバーへのアクセス権限
  • Webブラウザー: TLS 1.2セッション対応。スマート・カードが使用される場合は、ローカルのスマート・カード・ドライバーで稼働
  • 汎用RADIUSサポートの場合、RADIUS PAPプロトコルをサポートする外部サーバーへのアクセス権限
  • オンプレミスのISAMインスタンスV9.0.6、またはこのサポートを使用する場合はCIVインスタンスへのアクセス権限
  • IBM Z MFAがサポートする要素またはISAMのいずれかと互換性のあるトークン

ハードウェア要件

IBM Z MFAでは、以下のいずれかのZファミリー・サーバーが必要です。

  • IBM z14
  • IBM z13
  • IBM z13s
  • IBM zEnterprise EC12(zEC12)
  • IBM zEnterprise BC12(zBC12)

おすすめ関連製品

IBM Security Access Manager

IBM Security Access Managerは、Web、モバイル、IoT、クラウドの技術をより安全に導入すると同時に、ユーザーのアクセスを簡素化します。また、オンプレミス、仮想アプライアンス、またはハードウェア・アプライアンスに導入したり、Dockerを使用してコンテナ化したりすることができます。ISAMは、リスク・ベースのアクセス、シングル・サインオン、統合アクセス管理制御、ID連携、モバイル対応の多要素認証を使用することで、使いやすさとセキュリティーの両立を支援します。IBM Security Access Managerにより、アクセス管理の制御を取り戻すことができます。

IBM Cloud Identity

IBM Cloud Identityでは、クラウドで提供されるシングル・サインオン(SSO)、多要素認証、ライフサイクル管理によって、ユーザーの生産性への影響を最小限にすることができます。一般的なSaaSアプリケーションに素早くアクセスできる数千のコネクターと、社内アプリケーションを統合できるテンプレートが事前に構築されています。

IBM Security zSecure Admin

RACFのセキュリティーとコンプライアンス管理を自動化して簡略化できます。