« Arcserve UDP 8.1 (8.x) のライセンス登録時に「ライセンス SDK のバージョンが一致しないため、ライセンス キーの追加に失敗しました。」と表示された場合の対処方法についてまとめました | トップページ | Arcserve UDP:Linux サーバのみの環境でバックアップをコマンド実行する方法 »

2021年10月 1日 (金)

Arcserve UDP 8.1新機能紹介(1):Arcserve UDP コンソールが多要素認証に対応!!

皆様、こんにちは。
2021年9月13日にArcserve UDP 8.1が登場しました!これから4回にわたって、8.1の新機能を紹介してまいります。第1回目の今回は、コンソールの多要素認証対応について解説します。
--------------------------------------------
[連載目次]
1)Arcserve UDP コンソールが多要素認証に対応!! (←本日はここ)
2)Wasabi オブジェクト ロックにバックアップ データをコピーしてみる。
3)CentOS 8.x ベースのカスタム Live CD
4)その他の新機能/拡張機能
5)プラットフォーム対応の強化
--------------------------------------------

 

Arcserve UDP 8.1はセキュリティ、ランサムウェア対策を大幅強化

昨今、身代金要求型のウィルスであるランサムウェアがまだまだ猛威を振るっています。
8月には国内の製粉大手の企業に対するサイバー攻撃により、同企業グループ全システムが被害に遭い、決算を延期する事態になったという衝撃的な事件もありました。
また、パスワード漏洩などにより不正アクセスが行われ、重要データを削除や改ざんされてしまう恐れもあります。
そんな中で登場したArcserve UDP 8.1では、特にセキュリティやランサムウェア対策が大幅に強化されています。ランサムウェア対策については、次回ご紹介しますのでお楽しみにしてください!
今回の記事でご紹介するのは、セキュリティを強化するための新機能となりますが、Arcserve UDPの管理用のユーザインタフェース(Arcserve UDP コンソール)へのログオン時に、多要素認証(MFA: Multi Factor Authentication)に対応したというものです。

 

コンソール ログオン時の多要素認証を有効にすることのメリットと設定方法

従来、Arcserve UDPのコンソールにログオンする際には、インストール時に設定した(もしくは後から追加した)UDP管理用のアカウント名とパスワードを入力して、ログオン ボタンを押していただいていました。Arcserve UDP 8.1でも、デフォルトではこのようなパスワード認証をご利用いただきます。
加えて、多要素認証を有効にしていただくことで、ログオン時に「確認コード」と呼ばれるワンタイム パスワードの入力が追加で求められるようになり、そちらもパスできればログオンが可能となります。
ハードルを1つ上げることにより、セキュリティ レベルを引き上げるわけですね。
以下は、多要素認証を有効にした環境でのログオンの流れです。

Mfa

管理者はArcserve UDPコンソールのログオン画面において、まず①で管理者アカウント名、パスワードを入力します。これは今まで通り ですね。そうすると、①’として、確認コードの入力を求める画面が出てきます。そこで、②として、UDPコンソールから送信された電子メール、もしくはお手元にご用意いただいたスマートフォン等のモバイル端末の認証アプリ画面に表示されたワンタイム パスワードを確認し、③として、それを入力します。これで、④ログオンが完了します。

確認コードを取得する方法は2つあるわけですが、モバイル アプリで確認する方法を、TOTP(Time-based One-Time Password)、電子メールで取得する方法をMOTP(Mail-based One-Time Password)などと呼んだりします。※この難しい名前は全然覚えなくても大丈夫です!

TOTPで使用する認証アプリは、Microsoft社製のものやGoogleブランドのものなど、サードパーティ製のワンタイム パスワード認証システムのアプリケーションがご利用いただけます。モバイル端末がiOSならApp Store、AndroidならGoogle Playストアからダウンロードしてご利用ください。
設定時には、Arcserve UDP コンソールの設定画面で多要素認証有効化時に表示されるQRコードを認証アプリからスキャンしていただくことで、認証アプリ側にUDPのアカウントが登録されます。

Mfa_20210924104601

以後、アプリの画面からワンタイム パスワードの確認が可能となります。
電子メールによる確認コード送信を使用する場合も、こちらの画面から設定が可能です。

 

Arcserve UDP コンソール環境をインターネットに繋ぐ必要性は?

ここで1つポイントとして、モバイルで認証アプリを使用する場合は、モバイル端末の時刻設定と、Arcserve UDP コンソールを稼働させているサーバのタイムゾーンや時刻設定を一致させておく必要があるということです。なぜなら、ワンタイムパスワードは、それぞれの環境のローカルで、時刻を元に生成しているからです。
そのため、両者の時刻がずれてしまっていると、生成されるパスワードが食い違ってしまい、認証が通りません。
通信によってどこかからパスワードを取得するとか、そういった仕組みではないんですね。
だから、Arcserve UDP コンソールや、モバイル端末は基本的にインターネット接続されている必要はありません。そもそも、この仕組みはインターネット接続などができない、セキュリティが強固なデータセンターなどでの利用まで想定された仕組みなんだそうです。
 ※認証アプリ側で必要な権限についてはストア内で各アプリの説明をご確認ください。
そのため、サーバやモバイル端末の時刻のズレにはご注意いただき、時刻同期ができるような環境でご利用ください。
なお、電子メールで確認コードを受け取る場合には、Arcserve UDP コンソールと電子メールサーバとで通信が必要となります。外部のメールシステムを利用する場合はインターネット接続が必要ですが、社内に立てたSMTPサーバをご利用いただくのであれば、それと通信さえできればインターネット接続は不要なります。

 

スマホを紛失してしまったらどうするの?! ご利用の際の注意点

モバイル認証をご利用時の注意点として、もしモバイル端末を紛失したり、機種変更をして登録済みのアカウントにアクセスできなくなってしまうと、確認コードを取得できなくなってしまい、ログオン認証を通る術が無くなってしまいます。
そのため、以下の対策を講じてください。
① 電子メール認証も併せてご利用いただく
② 認証アプリ側でアカウントのバックアップを取る方法や機種変更時の移行方法を確認して備えておく

さて、今回のご紹介については以上となります。
多要素認証は、不正アクセスを防止する上で極めて有効な機能でありますので、是非、ご利用を検討ください。
次回もセキュリティ関連のお話なのですが、Wasabi オブジェクト ストレージのオブジェクト ロック機能のご利用方法をご紹介いたします。ランサムウェア対策として強力な機能になっているとともに、安価なクラウド バックアップを探しているお客様にとっても耳寄りなお話になるかとお思います。
どうぞお楽しみに!

<関連記事>

Arcserve UDP 8.1 公開!「8.0」とは何が違う!?

Arcserve UDP 8.x ソリューション ガイド - 多要素認証の設定

 

(2022年11月17日追記)

Arcserve UDP Cloud Hybrid でも多要素認証をご利用いただけるようになっています。ご利用を希望される方は Arcserve テクニカル サポートまでお問い合わせください。

Arcserve UDP Cloud Hybrid 注意/制限事項 - 共通 - BaaS (Backup as a Service)

番号13

Arcserve UDP Cloud Hybrid コンソールの多要素認証を有効化するには、Arcserve テクニカル サポートまでご連絡ください。その際、メールによる確認コードの受信も希望される場合は、基本認証が利用可能なメール サーバ情報、およびアカウント情報を予めご準備ください。

« Arcserve UDP 8.1 (8.x) のライセンス登録時に「ライセンス SDK のバージョンが一致しないため、ライセンス キーの追加に失敗しました。」と表示された場合の対処方法についてまとめました | トップページ | Arcserve UDP:Linux サーバのみの環境でバックアップをコマンド実行する方法 »

Arcserve UDP」カテゴリの記事

コメント

コメントを書く

コメントは記事投稿者が公開するまで表示されません。

(ウェブ上には掲載しません)

« Arcserve UDP 8.1 (8.x) のライセンス登録時に「ライセンス SDK のバージョンが一致しないため、ライセンス キーの追加に失敗しました。」と表示された場合の対処方法についてまとめました | トップページ | Arcserve UDP:Linux サーバのみの環境でバックアップをコマンド実行する方法 »