Cisco DuoCisco Duo IAM機能

Cisco Duo

概要

「認証から“統合管理”へ――Cisco DuoにIAM機能、誕生。」

ゼロトラストを強化する次の一手として、Cisco Duoに新たにIAM（アイデンティティ・アクセス管理）機能が加わりました。これにより、多要素認証（MFA）だけでなく、ユーザーのアクセス権限やポリシーの一元管理が可能になります。業種、企業規模問わず様々なお客様の情報システム部門に求められる統合的なセキュリティ対策を、Cisco Duoがさらに一歩先へと導きます。

IAMとは？企業における“アイデンティティ管理”の新常識

IAM(Identity and Access Management)とは、ユーザーやデバイスの「誰に」「何を」「どこまで」許可するのかを一元的に管理し、適切なアクセスを保証する仕組みです。
しかし昨今は、SaaSの普及によって企業データは多様なクラウドへ分散し、アクセス管理はより複雑化しています。さらに、入退社や異動が絶えない組織では、ユーザー属性や権限も常に変化し続けます。

こうした環境では、パスワード中心の認証だけでは十分な防御を維持できません。ID発行・権限変更・廃止といったライフサイクル運用を統制すると同時に、デバイスの健全性、アクセスのコンテキスト、ユーザーのリスク状況を踏まえて動的にアクセス可否を判断する“ゼロトラスト型IAM”が不可欠です。

なぜ今IAMが必要なのか？
〜外部攻撃にも、社内の油断にも備える「現実的な防衛」〜

攻撃対象は「システム」ではなく「ID」へ

外部攻撃者が狙うのは「従業員ID」！サイバー攻撃の80%以上が“正規アカウントの悪用”から開始

外部の侵入者は“なりすまし”で内側に入る
内部関係者による“正規手段を使った不正”は発見が遅れる

【外部攻撃者】による不正アクセスの例と対策

リスク	攻撃内容	IAMでの対策
パスワード窃取	フィッシング、情報漏えい	MFA＋異常検知
リスト型攻撃	ID/パスワードの総当たり	ログイン試行制限＋SSO連携
横展開（ラテラルムーブ）	一度侵入後、他の資産へ拡大	最小権限設定＋アクセスログ監査

【内部不正】を許さないためのIAMの役割

リスク	攻撃内容	IAMでの対策
退職者のアカウント残存	休眠アカウントを利用した不正アクセス	IDライフサイクル管理＋自動無効化
業務を越えた情報閲覧	広い権限を活用され様々な情報にアクセスされる	ロール／属性ベースのアクセス制御（RBAC/ABAC）
管理者アカウントの乱用	特権ユーザを乗っ取られる攻撃	ポリシー管理＋証跡の取得／定期棚卸

IAMは「信頼しないことを前提に設計する」セキュリティ

ゼロトラストの原則に基づき、「誰であっても、何をするにも、都度チェックする」ことが不可欠です。
IAMはその中心となり、外部からの侵入者にも、内部からの逸脱者にも一貫した制御と可視性を提供します。

Duo IAMは唯一のセキュリティファースト IAM ソリューション

これまでCisco Duoに搭載されていた「認証」の仕組みに加えて、ITDR、IAMの機能も加えてセキュリティ強化されたID管理環境へ。

Cisco Duoのさらなる進化 → Duo IdP機能拡張

簡単かつ安全な
MFA
デバイスの認証
デバイスポスチャ
SSO
パスワードレス

ITDR
アイデンティティ
リスクの最小化
IDP
完全なセキュア
IAMソリューション

Cisco DuoをIdPとして利用する

Duo IAM では主に３種類の構成イメージが選択可能に。
既存でIdPを持っていない／様々なIDが乱立していて統合が難しい環境／既存のIdPとは別の用途で活用したい環境様々なお客様要望に柔軟に対応できるIdP。それがCisco Duoです。

スタンドアロン型

既存でIdPを持たないお客様向け

【ユースケース】

従業員が増え統合的なアカウント管理が必要になった
クラウドサービスの拡大（SSOの検討）、MFA等セキュリティ強化の必要性が出てきた

IDブローカー型

既存でIdPが構築されているお客様向け

【ユースケース】

グループ企業で、すでに各会社にてIdPが構築されていて、集約が難しい。SAML IdPのプライマリとして連携しブローカーとして動作する仕組み

代替えディレクトリ型

既存のIdPとは別用途で新たにIdPが
必要なお客様向け

【ユースケース】

既存のIdPに対象のユーザ情報を登録できないパターン
SSEのPoCでIdPが必要となる際のパターン（検証環境としてご利用いただき、そのまま本番環境にも移行可能）

統合的なセキュリティ対策をまずは無料トライアルから。

ICisco DuoのIAM機能を、既存環境を変えずにお試しいただけます。
Cisco Systems ゴールド認定パートナーが導入をサポートします。

無料トライアルに申し込む

Cisco DuoはIdPとして使える！でもセキュリティは？

ID利用におけるそれぞれの工程を攻撃者は狙っている！

IDの作成工程からユーザの利用、それの運用における様々な工程において、攻撃者は攻撃手法を充実させており、脅威は拡大しています。単なるMFA（多要素認証）ではもはや対策が不十分な状態です。Cisco Duoは、MFA機能はもちろんのこと、人・端末・セッションをまとめて守ることが可能です。

ID利用における工程

攻撃者による攻撃

パワードスプレー/
ブルートフォース

よくある初期パスワードを全アカウントに試し脆弱なユーザの穴をねらう手口。

MFA疲労/フィッシング

事前に盗んだID・PWを使いMFA認証要求を大量に送付。ユーザに誤って承認させて不正アクセスを成功する手口。古いSMSや認証フロー、脆弱なMFAを狙った手口。

セッションハイジャック

ログイン後のセッション情報を抜き取る手口。ブラウザのCookie情報を抜く、セッショントークンを傍受。上記を利用し、なりすまし操作をする。

社員になりすまし

SNSなどで社員情報を集め、その社員らしく振舞いヘルプデスクへパスワードリセットを依頼する。

Cisco Duoはそれぞれの工程でフィッシング耐性プロセスを提供可能！

例）OSログイン、Applicationログインにおける近接認証

万が一、ID/PWが盗まれていても・・・Cisco Duoなら大丈夫！

侵入後のふるまい検知：ITDR（ ID Threat Detection and Response）機能が搭載されています。 ITDRとは、2022年にGartnerに提唱された考え方で、Active DirectoryなどのIDインフラ上で行われる認証トラフィックの挙動を、AIによる機械学習を活用してリアルタイムに分析します。

Cisco Duo Editionの詳細

Cisco Secure Access パッケージライセンス（セキュアなアクセス）

まとめ

CiscoDuoでは、これまでの多要素認証MFA（Multi-Factor Authentication）に加えて

・ IAM（Identity and Access Management）：

ユーザの身元を正しく把握、正しい権限で、正しいリソースにアクセスさせる

・ ITDR（Identity Threat Detection & Response）：

認証を突破された後に、IDの不正利用や異常な挙動を検知・対応する

上記2つの機能が追加されました。
これにより、「ユーザーの認証状況とデバイスの状態をリアルタイムで可視化」することが可能になり、どのユーザーが、どの端末から、どのクラウドアプリにアクセスしているかを一目で把握でき、リスクの高いアクセスを拒否できます。 Cisco Duoは、ID運用及び、IDインフラにおける「侵入を防ぐ門番（IAM＆MFA）」、「門を突破された後の監視と緊急対応（ITDR）」が搭載されたセキュリティプロダクトです。トライアル、PoCを通して、効果が確認できますので、是非ご検討ください。

まずはトライアルでお試し

今なら、Duo多要素認証機能が無料でトライアルできます。

当社は、Cisco Systems ゴールド認定パートナーとして企画、設計、導入、運用・保守をワンストップで提供。事前調査から導入・運用支援まで総合的なサービスメニューをご用意しています。高度なセキュリティの要望や大規模な導入には、専門家による導入支援が欠かせません。豊富なネットワーク知識を持ったSEが導入を支援します。