JP2015534138A - セキュアな認証及び情報の共有と分析のための方法及びシステム - Google Patents

セキュアな認証及び情報の共有と分析のための方法及びシステム Download PDF

Info

Publication number
JP2015534138A
JP2015534138A JP2015524446A JP2015524446A JP2015534138A JP 2015534138 A JP2015534138 A JP 2015534138A JP 2015524446 A JP2015524446 A JP 2015524446A JP 2015524446 A JP2015524446 A JP 2015524446A JP 2015534138 A JP2015534138 A JP 2015534138A
Authority
JP
Japan
Prior art keywords
information
user
access
password
authentication process
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015524446A
Other languages
English (en)
Inventor
エリック・ゲリノ
ウィリアム・ネルソン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
/ Financial Services/information Sharing & Analysis Center
Financial Services/information Sharing & Analysis Center
Original Assignee
/ Financial Services/information Sharing & Analysis Center
Financial Services/information Sharing & Analysis Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by / Financial Services/information Sharing & Analysis Center, Financial Services/information Sharing & Analysis Center filed Critical / Financial Services/information Sharing & Analysis Center
Publication of JP2015534138A publication Critical patent/JP2015534138A/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/405Establishing or using transaction specific rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

異なる複数の機密レベルが割り当てられている情報の2つ又はそれよりも多くのセットへの、コンピュータネットワークを介したアクセスを選択的に許可する方法において、より低いレベルの機密性を有する情報へのアクセスは、ユーザID及びパスワードのみを要求する認証処理を必要とし、より高いレベルの機密性を有する情報へのアクセスは、ユーザID、パスワード、及びハードウェアトークンを要求するが、更なるPINは要求しない認証処理を必要とする。

Description

本発明は、ポータル及びウェブサイトの情報の会員認証、共有、及び分析サービスに関する。認証処理は、情報のリスク分類に基づいた、複数のレベルの情報への会員のアクセスに対する鍵管理を意味する。
出願人である金融サービス情報共有及び分析センター(FS−ISAC)は、銀行、保険会社、支払処理業者、及び証券会社によって考案され発展された非営利民間部門イニシアチブである。FS−ISACの目的は、その会員に対して、物理的な及びサイバーセキュリティ情報の、関連性があり且つ実用的な情報及び分析の適時の共有を提供することである。FS−ISACのポータル及びウェブサイトは、脅威データ、脆弱性情報、ITリスク管理における先進的な経験、物理的なセキュリティ管理において現れる経験、並びに業務回復性のアプローチと経験を含む、金融サービス会社との信頼性のある情報の共有に良い1つの場所を会員に提供し、業務回復性、ITリスク、セキュリティに関連する企業における最良の知性 − 知識、情報、リソース、及び分析の、他には無い組み合わせへの直接的なアクセスを提供する。
会員は、関連性のある/実行可能なサイバースペースの及び物理的な警報(アラート)、iDEFENSEの概要/白書、会員コンタクトディレクトリ、リスク緩和ツールキット、文書リポジトリ、会員匿名提出、脅威インテリジェンスリストサーブ、会員概要、観点、政府の及び部門横断の情報共有、及び政府によって提供される情報を含む、本質的な情報へのアクセスのために、ポータル及びウェブサイトを使用する。
2003年において、銀行及び金融部門(以下金融サービス部門という)は、国家安全保障大統領指令7(HSPD−7)に従って、重要な基盤部門として見なされていた。また、米国財務省は、部門のための部門特定省庁(SSA)として見なされていた。SSAのように、財務省は、その公共部門パートナー及び民間部門パートナーと連携して、人為的な又は自然的な事象に対して回復力を有する頑強な部門を維持する。金融サービス部門は、世界の経済活動の効率のために必須である。
民間部門と公共部門の双方は、重要な基盤保護及び国家安全保障のための金融サービス部門調整協議会(FSSCC)、並びに金融及び銀行情報基盤委員会(FBIIC)を介して、それぞれ、金融サービス部門の重要基盤及び重要資源(CIKR)保護プログラムの規定及び実施において、重要な役割を果たす。直接的な指令及び規制権限を介して、連邦及び州の金融規制当局は、部門の事業機能に影響を与える危機に応答して金融規制当局が実施することができる特定の規制手段を有する。更に、財務省は、FBIIC、FSSCC、金融サービス情報共有及び分析センター(FS−ISAC)、及び地域のパートナーシップと共に、金融サービス部門の目標を達成するために、多数の、保護のための、探知のための、並びに応答性のあるプログラムを実施することを、発展させており、また継続する。保護プログラムは、頑強な緊急通信プロトコルを発展及び試験することから、重要な金融サービス部門の脅威を識別すること、サイバーセキュリティの脅威及びリスク緩和ストラテジに取り組むことまで及ぶ。官民連携の成功は、信用に関して且つ流動性のあるリスクに関して部門に対して最も困難な期間のうちの1つを通して、金融サービス部門の成功に重要であることが証明された。
金融サービス部門の範囲は、資金の預金の主要な部門の機能、決済を行うこと、信用及び流動性の提供、投資、及び金融リスクの移転の実行に関わる、公共機関と民間機関を含む。多数の組織はこれらの機能を遂行して、精算機関、商業銀行、信用格付け機関、交換/電子通信ネットワーク、金融顧問サービス、保険会社、金融ユーティリティ政府及び企業規制機関、政府補助を受けている企業、投資銀行、売買業者、小売銀行、及び電子決済業者を含む金融サービス部門を集団で代表する。
金融サービス部門の3つの部門の目標は、部門の物理的な及びサイバースペースの基盤に対する、無数の意図的な、非意図的な、人為的な、及び自然的な脅威に向かい合って最良の可能なポジションを獲得して、部門の通信、情報技術、エネルギー及び輸送システム部門に対する部門の依存によって引き起こされるリスクに対処して管理して、そして法執行及び情報コミュニティ、金融規制機関、民間部門、及び我々の国際的な相手先と連携して、金融サービス部門が直面している脅威に対処することである。
FSSCC及びFS−ISACは、アドバンストパーシステントスレット(APT)のリスク緩和に対する白書の作成を含む、部門に対する特定の脅威プロダクトの準備に協力して取り組む。FS−ISACの会員は日常的に情報を共有して、重要な金融サービス基盤の事業者をより良好に調整して、金融市場に潜在的に損害を与え得る又は混乱これを潜在的に混乱させ得る及び/又は金融機関の顧客に重大なリスクをもたらし得る、業務の混乱及び回復性のリスクに対処する。情報は他の会員と共有される。
現在、FS−ISAC会員ポータルは、一要素認証(ユーザ名/パスワード)と多要素認証(RSAセキュアID(SecurID)ハードウェアトークン)との両方をサポートする。ユーザは、彼らの会員組織の会員権限レベルに基づいて、ユーザ名/パスワードか、ユーザ名/セキュアIDトークンかのいずれかが割り当てられる。更に、GISFプログラム及びCSISFプログラムは多要素認証の使用を必要とするため、そのようなプログラムの参加者には、セキュアIDトークンが割り当てられる。
会員は、ホームページ上の「会員ログイン」ボタンを選択して彼らの会員権限レベルを選択することによって、FS−ISAC会員ポータルにログインする(例えば、図5参照)。これにより、ユーザの会員権限の種類に応じて、ユーザにユーザ名とパスワードの入力を要求するログインページ、及びRSAセキュアIDログインページの2つのログインページのうちの1つが開かれる。
別の方法として、ユーザは、ポータルにおける特定のレコードに、そのレコードのための電子メール通知における「深いリンク」をたどることによって、アクセスできる。この「深いリンク」は、各受信者の会員権限レベルに基づいてポータルによってカスタマイズされ、それによって、リンクは、ユーザを、彼らの会員権限レベル(ユーザ名/パスワード、又はRSAセキュアID)に適する正しいログインページに導き、次いでユーザをポータル内の特定のレコードにリダイレクトする。
以下の表は、FS−ISAC会員ポータル上で用いられる認証のメカニズムを示す。
UAG及びシェアポイント(SharePoint)がユーザ認証及びセッション管理を処理する方法が原因で、どのユーザが彼らのセキュアID認証に基づいているのかを、UAGが適切に識別する簡単な方法はない。セキュアIDクッキーからユーザ名を抽出してそれらをシェアポイントにプログラムで識別するようにカスタムコードが書かれることは可能であるが、この解決手段は既存の適応認証統合コードと適合しない。
本発明によれば、ユーザが、彼らのセキュアIDトークンを用いてログインするとき、認証モデルは、彼らのセキュアIDトークンコードと共に、彼らのパスワードを入力することをユーザに要求するであろう。ユーザが彼らのユーザ名/パスワードを用いてログインする場合、ユーザ認証処理に変化は生じることはないであろう。
このことがユーザ経験に大きな影響を与えることを防止するために、本発明の一実施形態は、セキュアIDトークンのためのPIN要求を省く。本質的には、ユーザが彼らのトークンを用いて認証を行うとき、ユーザのパスワードは彼らのセキュアID PINの代わりとなろう。本発明のこの特徴によって、UAG及びシェアポイントが、ユーザ名/パスワードの組み合わせを用いてユーザを識別でき、またセキュアIDが、ユーザ名/パスワード認証の上部の、セキュリティの付加的な層としての機能を果たすことができる。
要するに、システムは、ユーザ名とパスワードを用いて常に認証を行うこととなる。高度に制限されたすなわち「赤」のコンテンツにユーザがアクセスを試み、且つ個別のセキュアID PINが必要とされないときのみのために、セキュアIDが要求される。セキュアID認証の要求に応答するとき、ユーザは、ユーザ名、パスワード、及びトークンコードを入力することとなる。
FS−ISACポータル及びウェブサイトに関する全ての情報は、図2に示すプロトコルに従って分類される。
使用事例#1:ユーザが、ユーザ名/パスワードを用いて、FS−ISACポータルにログインする。
「標準的な」ユーザログインのために、ユーザはログインページに行き、そして彼らのユーザ名とパスワードを入力し得る。例えば、図6参照。一度認証されると、ユーザは、全てのFS−ISACの白、緑、及び黄のコンテンツにアクセスでき得る。
使用事例#2:ユーザが、セキュアIDトークンを用いて、FS−ISACポータルにログインする。
ログインページ上にて、ユーザは、ユーザ名とパスワードよりもむしろ、彼らのセキュアIDトークンを用いてログインするオプションを有し得る。図6の「セキュアIDトークンを用いたログイン」のオプション参照。ユーザは、彼らのユーザ名、パスワード、及びセキュアIDトークンコードを入力するように要求され得る。例えば、図7参照。これは、PINではなく、6桁のトークンコードのみであり得る。一度認証されると、ユーザは、彼らが得る権限が与えられている、全てのFS−ISACの白、緑、黄、及び赤のコンテンツにアクセスでき得る。
使用事例#3:ユーザ名/パスワードを用いてFS−ISACポータルにログインしているユーザが、FS−ISACの赤のコンテンツにアクセスを試み、彼らのセキュアIDトークンコードの入力が要求される。
ユーザがFS−ISACの赤のコンテンツにアクセスを試みるとき、彼らは、彼らのセキュアIDトークンを用いて認証するように要求され得る。例えば、図8参照。本発明の一実施形態によれば、ユーザは、セキュリティの強化のために彼らのパスワードを再入力するように要求され得る。本発明の別の実施形態によれば、ユーザは、彼らのパスワードを再入力するように要求されることはない。
使用事例#4:彼らのセキュアIDトークンを用いて既に認証されているユーザが、FS−ISACの赤のコンテンツにアクセスを試みる。
ユーザは彼らのセキュアIDトークンを用いて既に認証されているため、彼らは再認証するように要求されることはなく、且つ、FS−ISACの赤のコンテンツにアクセスすることが許可される。
全てが同一の初期認証制御を使用することとなる、異なる複数の会員権限レベルがある。
異なる複数の会員権限レベルは、情報分類モデルに基づいて、特定の許可を有する:プレミアム会員は白、緑、及び黄に分類された情報にアクセスする権利を有し、スタンダード会員は白及び緑に分類された情報にアクセスする権利を有する。
会員権限レベルに対する許可要求は、ポータル情報の情報分類に基づいて異なることとなる。任意の赤に分類された情報は、ハードウェアトークン認証を必要とする。全ての黄に分類された情報は、少なくとも2つの認証制御、又は任意のより低い分類からの「強化した」認証を必要とする。任意の緑に分類された情報は、ユーザ名とパスワードを必要とする。任意の白に分類された情報は公開された情報であり、如何なる認証も必要とされない。
会員に対する認証処理は、ポータルにアクセスするために使用されている機器の種類を判別する機能を含み、特にスマートフォンか携帯機器が使用されているかを判別する機能を含む。携帯機器が使用されている場合(例えば、アンドロイド、アイフォン、アイパッド(登録商標)、ブラックベリー、パーム、タブレット、スマートフォン等)、付加的な確認用質問、又は強化した認証が要求されてもよい。
本発明の別の実施形態によれば、リスクベースの認証等(また、適応認証、強化した認証、知識ベースの認証、アウトオブバンド許可等といわれる)の付加的な認証方法が用いられてもよく、これらは、情報の感度を用いて、又はアクセスのために用いられる機器の種類及び位置に基づいて、制御を増大させるであろう。特定の地理的位置がアクセスのために用いられるとき、システムは、特にパスワードリセットトランザクション要求の場合に身元(識別)を判別/確認するために、付加的な確認用質問を提供して身元を確認してもよい。
会員の取扱い及びサイバーセキュリティイベントの分析提出を示すフローチャートである。 セキュリティ分類レベル及びそれらの対象顧客を示す図である。 FS−ISACポータル及びウェブサイト上で共有する情報の例である。 FS−ISACのセキュリティオペレーションセンターを介した情報の流れを示す図である。 会員ホームページの実施形態である。 ログイン画面の第1の実施形態である。 ログイン画面の第2の実施形態である。 ログイン画面の第3の実施形態である。 リスク評価メカニズムのフローチャートである。 会員提出処理の実施形態のフローチャートである。
セキュリティアーキテクチャ
FS−ISAC情報は、白、緑、黄、及び赤を含む信号灯プロトコル(TLP)を用いて、フラグが立てられる。図2参照。これらのセキュリティレベルは、その固有のサイト/リスト/アイテムが継承されるセキュリティモデルを用いて、シェアポイント(SharePoint)において構成される。システムは、RSA適応認証の形式で、2種類の認証に加えてリスク評価メカニズムを用いてUAGサーバを利用して、コンテンツへの未許可のアクセスを防止する。ネットワークを介したデータ転送は、SSLを用いて暗号化される。図7は、サイトのコンテンツにアクセスするためにユーザが経験し得る経路を示す。
認証
アクティブディレクトリ(AD)のシステムは信頼できる認証ストアであり、本システムでは、セキュアIDが、赤のレベルのコンテンツ以外の全てのコンテンツにアクセスする際のオプションである付加的な保護を付加する。全てのユーザは、RSAトークン/セキュアIDに加えて、アクティブディレクトリのためのユーザ名とパスワードを有することとなる。システムは、アクティブディレクトリからのユーザアカウントを、RSA認証マネージャに同期させるように構成されることとなる。この同期は、ユーザの一貫性が2つの認証ソースの間で自動的に維持されることを確実にする。例えば、アクティブディレクトリにおいて無効にされたユーザは、RSA認証マネージャにおいても無効にされる。その固有の機能性の一部として、UAGログインページによって、任意に、ユーザは、彼らが選択した場合には彼らのセキュアIDを入力することができることとなる。赤のレベルのコンテンツは、ユーザが彼らのセキュアIDを用いてログインしていることを要求することとなり、これはUAGを用いたポリシーとして強化されることとなる。
使用事例#1 − ユーザが、彼らのセキュアIDを入力することなく、彼らのAD認証情報を用いてサイトにログインして、赤としてマークが付されていない全てのコンテンツを自由に閲覧することができる。ユーザは、サイト上のランディングページ上のいくつかの新たな赤のレベルのコンテンツの表題を見ることができる。ユーザはこれらの表題のうちの1つをクリックするが、この場合、ユーザは、ユーザが彼らのセキュアIDを用いてログインすることを赤のレベルのコンテンツが要求することを示すログインページにリダイレクトされる。一度ユーザが彼らのセキュアIDを用いてログインすると、彼らは、彼らがアクセスを試みていた元の赤のコンテンツに、リダイレクトされて戻される。
使用事例#2 − ユーザがブラウザを開き、ユーザ名とパスワードに加えて彼らのセキュアID認証情報を用いてサイトにログインする。このユーザは、全てのコンテンツを閲覧することができ、彼らが赤のレベルのコンテンツ上をクリックしたときに再ログインするように要求されることはない。
使用事例#3 − ユーザが会議に参加している。彼らは、彼らの携帯機器上にて赤のレベルの通知を受信して、そのコンテンツを閲覧するために電子メールにおけるリンクをクリックする。ユーザは彼らのセキュアIDを有さないため、彼らはコンテンツを閲覧できない。
RSA認証マネージャサーバは、アクティブディレクトリとRSAデータベースとの間でユーザを同期させるように構成されることとなる。このことは、ユーザが両方の場所において生成され/無効にされることを確実にするべきであるが、まだユーザにトークンを発行してアクティブディレクトリの細部を管理するために運用サポートである必要がある。
アウトオブザボックスのUAGは、シェアポイント、アクティブディレクトリ、RSAセキュアIDの間の統合と共に、ログインページのために必要とされるロジックを含む。RSA適応認証を用いたUAG統合はカスタム構成である。
アクティブディレクトリは、FS−ISACサイトユーザがただ1つの組織単位(「OU」)内に含まれるような方法で、構成されることとなる。UAGは、このOU内のユーザがログインすることを許可のみするように構成されることとなる。任意の管理ユーザ及びサービスアカウントは個別のサービスアカウントOUにおいて存在することとなり、また、(公然とUAGを通過することなく)シェアポイントに直接的に接続される内部ネットワーク内で使用されることのみが可能である。
UAG終点クライアントユーティリティは、構成において停止される。これにより、ユーザは、ActiveX及びJava(登録商標)プラグインのいずれもアクティブにすることを必要とされることなく、サイトにアクセスできることとなる。
シェアポイントが継承されるセキュリティモデル
シェアポイントは、許可が、リストされるサイトからユーザへ、そして最後に実際のコンテンツアイテムへ流れ落ちる、継承されるセキュリティモデルを使用する。このセキュリティチェイン内に種々のレベルで一意的なセキュリティを配置することが可能である。この継承は、特定のセキュリティが与えられない限りにおいて、ファイルが配置されるフォルダのセキュリティをファイルが継承する手段に、非常に類似している。ユーザはまた、以下のセキュリティグループに設定可能である。
アクティブディレクトリグループ − アクティブディレクトリグループは、シェアポイントにおいて特定の許可セットが許可されることが可能である。このADグループに追加される任意のユーザは、該グループに割り当てられる許可を自動的に継承する。複数のADグループにおいて現れるユーザがシェアポイントに追加される場合、ユーザは、競合がある場合には、より特権を有するグループを継承することとなる。ADグループの欠点は、会員権限を管理する唯一の方法がアクティブディレクトリツールを使うことであってシェアポイントを使うことではない、ということである。
シェアポイントグループ − シェアポイントグループは、あなたがグループにおいて現れるユーザを管理できるグループ所有者を宣言できることを除いて、ADグループと同様の方法で使用可能である。これは、あなたがサイトへのアクセスを管理するための指定されるユーザのセットを必要とするチームサイトにおいて役に立つこととなる。
RSA適応認証
FS−ISACは、認証メカニズムの上部にセキュリティの層を追加することを提供するRSA適応認証リスク評価クラウドを使用することとなる。このリスク評価は、RSAがユーザに対するリスクスコアの全体を確定するために使用する複数の因子に基づく。例えば、通常であればユーザが標準的な勤務時間にニューヨークからサイトにアクセスするところ、真夜中にモスクワから該ユーザからの要求が来る場合、より高いリスクとしてフラグが立てられることとなり、ユーザは確認される。このリスクはユーザに個別化され、そのためユーザが1ヶ月に一度モスクワに訪れる場合にはシステムは学習してこの状況に「適合」することとなる。
使用事例#1 − ユーザが初めてサイトにログインする。ユーザが彼らの認証情報を用いて認証に成功した後、適応認証は、ユーザを登録するために、ユーザに、質問プールから選択されたランダムな質問のセットを用いて、彼ら自身を識別するように要求する。一度ユーザがこれらの質問に回答すると、彼らはサイトにログインできる。
使用事例#2 − 適応認証を用いて予め登録されているユーザが、彼らの認証情報を用いて認証に成功する。適応認証は、ユーザが、彼らの通常の使用形態内で、且つ、サイトへのアクセスに成功した際に以前使用されたコンピュータから、システムにアクセスしていることを認識する。ユーザのリスクスコアは低く、そのためユーザは、付加的な要求無しに、シェアポイントサイト内に直接的に入れられる。
使用事例#3 − 適応認証を用いて予め登録されているユーザが、彼らの認証情報を用いて認証に成功するが、彼らは、彼らが他の州において休暇中に購入した新しいコンピュータを使用している。適応認証はこの場合、彼らが適応認証登録の間に以前提供した回答に基づいて、彼らの識別を確認するために、付加的な質問を用いて、彼らに入力を要求する。ユーザがこれらの質問に対する回答の提供に成功した後、彼らはサイト内に入れられる。
カスタマイズオプション
パスワードリセットセルフサービス
UAGサーバは、ユーザに彼らのパスワードの変更を許す能力を有するが、あなたのパスワードをリセットする要求に対するアウトオブザボックスの機能はない。この機能はログインページ上のリンクとして追加されることとなる。このリンク上をクリックすると、ユーザは、彼らの電子メールアドレスを入力するように要求される。ユーザが彼らの電子メールアドレスを入力し、且つ電子メールアドレスがアクティブディレクトリにおける有効なユーザに合致することをシステムが確認した後、電子メールがユーザに送信されて、彼らは、彼らのパスワードをリセットするための埋め込まれたリンクをクリックするように要求されることとなる。このリンクは、彼らが新しいパスワードを選ぶための、サイト内のページを開くこととなる。一度ユーザが新しいパスワードを生成すると、ページはアクティブディレクトリにおけるパスワードを更新することとなる。
このカスタマイズの一部として、リセット要求のために生成されることとなる一意的な識別を格納するカスタムデータベーステーブルが生成されることとなる。このテーブルは、リセットを要求しているユーザから、IPアドレス等を含むユーザ情報を収集することとなる。このテーブルは、セクション3.5において収集されるロギング情報とともに、セキュリティ目的のために評価されることができる。
赤のレベルのコンテンツ − セキュアID強化
「赤の警報(緊急警報)」と呼ばれる警報リスト内のフォルダが生成されることとなる。赤のコンテンツが常にこのフォルダに含まれることを確実にする、リスト上のイベントレシーバが生成されることとなる。このフォルダは次いで、任意の赤のコンテンツへのURLパスを常に表示することとなる。UAGは、パスが「赤警報」を含む場合、セキュアIDログインを強化するポリシーを用いて構成されることとなる。この解決のために必要とされる唯一のカスタムコードは、赤のレベルのコンテンツが赤の警報フォルダに含まれることを強化するイベントレシーバである。
パスワード変更、及び期限切れセルフサービス
UAGは、ユーザに、期限切れまでの一定の日数内のうちに彼らのパスワードが期限切れになろうとしていることを通知する能力を有する。UAGはまた、ユーザに、任意の時点において彼らのパスワードを変更することを許可する能力を有する。しかしながら、この機能性は使用しているUAGポータルラウンチページ上で表示されるのみである。この制限を回避するために、「パスワードの変更」リンクは、シェアポイントの「パーソナルアクション」メニューの「ログアウト」のすぐ上に生成されることとなる。このリンクをクリックすると、ある簡単な区分けが適用されたネイティブのUAGのパスワード変更ページが開かれる。ユーザは既にアクティブセッションにあるため、ユーザは、彼らを戻してサインインさせるために、ログインページに送り戻されることが「できる」。
セキュリティ、及びユーザロギング
任意のセキュアなシステムと同様に、ユーザ認証動作及びサイトの使用を追跡するのに使用可能な監視メカニズムを提供する必要がある。システムの管理者は、システム内のユーザ活動を追跡する手段を必要とし、サイト内の普通ではない活動を見つける手段を有する。サイトは、認証、コンテンツアクセス、及びサイト使用を含む種々の層におけるユーザの活動を追跡することができることとなる。アクティブディレクトリ、RSA、IIS、シェアポイント等の複数の層があるため、完全な追跡可能性は、種々のログをマニュアルで組み合わせることを含む。警報の観点から、管理者は、ビルトインシェアポイントログを使用して、どのユーザが所与の警報を見ているかを理解できることとなる。このシステムは、現在のシステムよりも非常に多くの、ユーザロギング/監視に関する機能を提供することとなる。以下のメカニズムは、任意の他のネットワークファイアウォール及び配置済みであり得るセキュリティ機器に加えて、システムによって直接的に用いられることとなる。
アクティブディレクトリ監視 − アクティブディレクトリは、信頼のある認証ソースとして使用されることとなり、またロギングが重要となる主要な位置となる。アクティブディレクトリロギングは、サイトのユーザのために設定されたOU上で有効にされることとなる。このロギングは本質的に、パスワード、グループ会員権限、及び他の特性を含む、ADにおける各ユーザオブジェクトに対して行われる全ての変更を追跡することとなる。このデータは、イベントによって検索可能、ソート可能にされることを可能にするADイベントログを介して表に現れる。ログ上の分析を行うサードパーティツールが利用可能である。
RSA認証マネージャ − RSA認証マネージャサーバは、セキュアIDトークンの使用に関連する全ての活動をログに記録することとなる。サーバは、トークンに関連する全ての他の管理イベントとともに、成功した認証の試み及び失敗した認証の試みをログに記録する。
RS適応認証 − 本明細書の別の場所で説明されるように、適応認証クラウドホスト型の製品はまた、システムへのユーザの接続に関するリスクベースの評価を提供している。監視ロギングは、アクセスの試み並びに失敗した確認及び記載の試みに関する情報を追跡するように維持されることとなる。
IISログ − 全てのユーザは、IISを用いてサイトにアクセスすることとなる。IISロギングはオンされて、現在使用されるAWStatsパッケージはこれらのログ上で分析を行うために使用可能である。これらのログは、使用されるブラウザ、発信元の国等に関する情報を収集することとなる。セキュリティの観点から、ログは、入力されるIPアドレス及びユーザ名、並びにアクセスされたページを収集し得る。任意の標準的なIISトラフィックログ分析ツールが使用可能である。
シェアポイント監視 − シェアポイントは、サイト内の種々のレベルにおいて「監視ロギング」をオンにする能力を有する。これらのログは、シェアポイントコンテンツの観点からの、アクセス及び変更の情報を追跡する。例えば、それは、警報に関する生の監視ビュー情報を示すであろう。これらの監視ログは、ある日付範囲に基づいた更なる分析のために、エクセルスプレッドシートにコンパイルされる。
シェアポイント分析、及びクエリロギング − シェアポイントは、IISログのそれと同様の分析を追跡する能力を有する。これらのログは上述のIISログに類似するが、それらはシェアポイントコンテンツに特有であり、且つ、ナビゲーション等のために調整を行うことが可能なようにコンテンツがどのようにアクセスされているのかに関して管理者がある洞察を有することができるように設計される。シェアポイントのクエリロギングの機能によって、管理者は、どの人々が検索を行っているかを見ることができ、また調整を行うことができる。これらは特定の種類のログを監視する「セキュリティ」ではないが、それらによってあなたは、サイトがどのようにアクセスされているかにおいて、通常ではない振る舞いを見つけることができる。これらのログは、IISログとともに使用されるべきである。
会員提出
サイト会員は会員提出を生成することが可能になる必要があり、会員提出はその場合分析者によって受信される(図1参照)。ユーザは、他のユーザによって生成された提出を見ることが可能であるべきではない。これらの提出は、分析者によって行われる調査に応じて新たな警報を生成するために、使用される場合があり、又は使用されない場合がある。インフォパス(InfoPath)「スマートフォーム(Smart Form)」プロトタイプは予め生成されて、提出を生成するときにユーザが経験するであろう情報収集経験の一部を形作る。このプロトタイプ用のインフォパスは、ユーザが入力している回答に適合するようにルールを形成する。例えば、ユーザが動作の種類として「マルウェア」を選んでいる場合、フォームはマルウェアに関連する質問を表示する。
インフォパスを用いてユーザ提出を収集することは、技術に対する完璧な使用事例である。本発明の一部として、システムは、全ての種々の動作の種類及び質問を含むように拡張されることとなる。更に、アウトオブザボックスのレビューフローのうちの1つは利用されて、一度会員が提出すると自動的に開始する。このワークフローはレビューグループを割り当てるように構成されることとなり、またこのグループの会員は新しい提出が生成されていることが通知されることとなる。ユーザは、提出の後、彼らの提出の閲覧が許可されることはない。これは、多くのウェブサイト上で「問い合わせ」フォームがどのように機能するのかと、同様である。技術的側面において、インフォパス「スマートフォーム」は、データを、提出の記録を保持することとなる標準的なシェアポイントリスト(ライブラリではない)に提出するように構成されることとなる。それは、管理者のみがこれらの提出を閲覧でき且つこれに対して動作を起こすことができるように、保護されることとなる。図8は、受信されるデータに基づいて提出をレビューする動作並びに警報を生成する動作とともに、ワークフローにおいて使用される通知点を例示する。
ユーザは、匿名で提出にマークを付すことができ、又は彼らはシステムに対して彼ら自身を特定できる。
カスタムセキュリティイベントレシーバ − ユーザが彼らの以前の提出を閲覧することが可能となることを必要とする場合、単純なコードが、特定のセキュリティを、提出される各アイテムに適用するために実行可能である。このコードはイベントレシーバとして実行し、提出者に対して読み出し専用とするセキュリティを設定し、また閲覧している分析者グループに対して寄与許可を与えるであろう。
警報への自動変換 − 分析者に対して、収集されたフィールドのいくつかを新たな警報にコピーすることを許す、カスタムワークフロー動作は使用されてもよい。この処理は、他の重要な側面とともに、警報の種類を識別でき得る。
リストベースの収集 − 通常のシェアポイントリストは、ユーザが彼らが生成したアイテムを閲覧することのみを許可されるように、許可を管理することをあなたに任せる設定を有する。この設定は、インフォパスフォームライブラリ等の、文書ライブラリベースのリスト上で利用可能ではない。これらのセキュリティ設定は、どのユーザが閲覧可能であるかの、あるレベルの制御を許可し得る。
入力されるデータ供給
FS−ISACは現在、NC4警報を、特定の入力される電子メールアドレスを介して、添付されたXMLファイルとして受信する。パイソン(Phython)コードはこの場合、このXMLを抜き出して、ノードを読み出し、次いでそのAPIを用いることによってアーチャー(Archer)内の対応する警報を生成する。新たなシステムは、同様の方法でNC4警報を処理できるであろうが、特徴のXML供給がサポートされることを可能とするように構成されることとなる。
NC4xmlを例として用いることで、ウェブサービスは、入力されるXMLデータを受信するように、且つそれを、「管理者」(設定可能)のみがアクセス可能である「入力される供給」と呼ばれるシェアポイントフォームライブラリに配置するように生成する。このリストは、全ての入力される供給データのログとして動作することとなり、ソート可能/検索可能であろう。インフォパスは、UIを供給データに提供するように使用可能であり、またカスタムワークフロー動作を使用して実際の警報を生成することができる。これが機能するために必要とされる構成要素について、以下に説明する。
カスタム入力供給ウェブサービス − カスタムソープ(SOAP)ベースのウェブサービスは、入力されるデータ供給XMLファイルをサポートするように、生成されることとなる。ウェブサービスはユーザ名/パスワードを用いて保護されることとなり、また接続パーティは適応認証を用いて白にリストされる。ウェブサービスは、型(「NC4」、「他」)を識別するために、入力されるXMLファイルのための1つのパラメータと、別のパラメータとを必要とすることとなる。ウェブサービスは、入力されるXMLが、特定された型のスキーマに一致することを確認する。ラウンチ時において、いかなる外部ユーザもウェブサービスを直接的に使用することはないが、NC4警報を同時に処理する同一のパイソンコードはまた、それらを処理してそれらをシェアポイントに追加することとなる。
インフォパスフォーム、及びコンテンツの種類 − インフォパスは、構造化されたXMLの周辺のUIを提供する能力を有する。インフォパスベースのフォームは、NC4警報構造化XMLに基づいて生成されることとなる。フォームは、読み出し専用ではあるが、入力されるデータを閲覧する良い方法をユーザに対して提供することとなる。
入力されるXML処理動作 − 入力されるXMLにおけるデータに基づいて通常の「警報」リストにおけるNC4警報を生成することとなるシェアポイントワークフロー動作が生成可能である。ワークフロー動作は、必要に応じて、付加的な処理及び通知ステップを付加するように、ある柔軟性を与えるように使用されることができる。
これらのステップは、ウェブサービス及びXML処理動作のために、適切な量のコーディングを必要とする。フォーム、リスト、及びコンテンツの種類はまた全て、相対的に直接的である。
全ての入力される供給データは、XMLである。
全ての入力されるXML供給は、構造化されたXSD文書によって規定されることとなる。
データはサーバに押し出され/送信されることとなり、またサーバは設定可能なスケジュールに基づいてデータを引き出すことを必要とすることとはならない。
入力される供給データをライブラリの形式のXMLとして格納することの代わりに、XMLはSQL統合サービスを用いて処理されてもよい。このシナリオでは、XMLはウェブサービスによって受信され、SQL統合サービスによって処理され、またテーブル構造にマップされ得る。そのことはBCS外部リストを介してユーザに明らかにされるであろう。入力されるフォーマットがCSVである場合において、若しくはデータが複数のアイテムを含み且つそれらがインポートされる前にある変換を必要とする場合において、この設計は良いアプローチである。
出力されるデータ供給
警報情報を供給として引き出す能力。これらの供給は、外部の消費アプリケーションが警報情報をセキュアに読み出す能力をもたらし、それは本発明の更なる実施形態である。「黄」のレベルまでのコンテンツのみが供給に含まれ得る。なぜならば「赤」はセキュアIDを必要とするからである。ユーザは、彼らのユーザ名/パスワードを使用して供給情報にアクセスすることが可能であり得る。
シェアポイントは基本的なRSSの機能を含むが、シェアポイントはまた、フィルタ及びクエリを消費アプリケーションが特定することを許可することによって、それらが受信する情報に対するより高い管理能力を利用アプリケーションが有することを許可する「REST」ベースのインタフェースを提供する。消費アプリケーションはまた、JSON、Atom、及びAtomPubを含む、返される結果をそれらが受信することを望む出力フォーマットを特定することができるであろう。アウトオブザボックスのrestAPIは、このサービスの周辺にラッパを生成して「赤」のコンテンツを除外するであろう「ListData.svc」サービスを介して存在する。以下は、コンポーネントに関するいくつかの詳細である。
データ供給サービス - 「AlertDataFeed.svc」は、アウトオブザボックスREST APIの周辺のラッパとしての機能を果たすこととなるが、「赤」のコンテンツを除外して「警報」リストへのアクセスのみを許すこととなる。
制限されたURL - データ供給がアクセスされる「data.fsisac.com」等のデータ特有のURLを設定することが必要であり得る。
各ユーザ/クライアントシステムは、データ供給URLにアクセスするように個別に要求される場合があり、データ供給URLは今度はクエリをシェアポイントに送信してデータを返し得る。このようにAPI機能を開くとき、呼び出しアプリケーションことは過度に多くの要求を送信して、意図しないサービス妨害攻撃を実質的に引き起こしてしまうという懸念が常にある。デフォルトでは、シェアポイントは、クライアントアプリケーションがマークを付してそのためこれがサイトの性能全体に悪影響を及ぼし得る、呼び出しの数を制限する如何なる種類の機能も有しない。また、クライアントシステムが警報の集合全体をダウンロードすることができることを必要とする場合、これはシステムに付加的な負荷を課し得る。以下は、これらの点に対処し得るいくつかの考察である。
データ供給サーバ - シェアポイント上でデータ供給をホスティングすることに代えて、データ供給は、夜間のジョブの一部として、シェアポイントから別のサーバにダンプされてもよい。この2次的なサーバは、データを消費アプリケーションに供給し得、従って最新のデータダンプであり得、しかしエンドユーザの性能に悪影響は与えないであろう。
API不正検出 - APIロックアウトは、クライアントシステムがマークを付している呼び出しの数を検出でき、設定可能な閾値を超える全ての呼び出しをブロックでき得る。これにより確実に、データ供給URLが応答できる状態を保てる。
フルデータダンプ、及び差分 - 夜間のデータダンプを用いて、設定可能な差分ダンプはもちろん、警報のフルエクスポートを行うことが可能となり得る。これは、加入しているユーザが、彼らの受信することを欲するデータを選ぶことができることを可能にし得る。テキストベースのデータのみがダンプ(添付無し)に含まれ、且つ実際の警報の数が与えられるため、実際のダンプファイルサイズは、まだ管理可能であろう。ダンプファイルは、更なる圧縮のためにジップ圧縮され得る。
VERISフレームワーク分類
VERISフレームワークの一部として使用されるタクソノミーの実施は、望ましい。
現在の実施において収集されるメタデータの一部との重複がある。これらの重複のマッピングは、データの種類の互換性とともに実行され得る。標準的な分類種類、並びにサポートしている検索リスト及び値のいくつかは、実施され得る。関連性のあるメタデータを用いた新しいVERIS準拠コンテンツタイプは生成され得、また警報リストと関連付けられ得る。既存の非準拠コンテンツタイプは、隠し(hidden)としてマークが付され得るが、以前に生成されたコンテンツはもとのままの状態を保ち得る。更に、これらの新しいコンテンツタイプのために編集及び閲覧ページは生成されてもよい。
任意に、既存のコンテンツの全てがVERISフォーマットに移行すべきである場合、ある移行処理は設定され得る。アーチャー(Archer)からの移行のために使用される同じMetaLogix移行ツールはこの目的のために使用されてもよい。価値変換は、移行構成の一部として設定され得る。例えば、列1に対する「価値A」は今や、列2における「価値B」になる。
CINSプロファイル同期
FS−ISACは、「CINS」(重要基盤通知システム)と呼ばれるデル/メッセージワン(Dell/MessageOne)によってホストされる「警報発見(AlertFind)」と呼ばれるサービスを利用する。FS−ISACの全会員は、ポータルな通知のためには使用されないが他の重要な/障害に関連するシナリオのために使用されるこのサービスを用いて登録される。現在の会員は、CINSにおいて彼らのコンタクト情報を維持する必要があり、また彼らのシェアポイントプロファイルにおいて彼らの情報を維持することが必要であることとなる。本発明の実施形態によれば、シェアポイントにおける変更は、CINS内の、ユーザの、対応するプロファイルに同期されてもよい。
CINSシステムは、このデータを同期させるために利用可能なAPIを有する。アクティブディレクトリに対するプロファイル同期の一部として、しかしながら、同期を、CINS等の他のカスタムの場所に設定することはまた可能である。これを行うためにSharePoint.NET BCSコネクタは生成されてもよく、これはシェアポイントプロファイルフィールドとCINSを介して利用可能なフィールドとの間のマッピングを含み得る。「ユーザ名」は、これら2つを一緒にマップするための鍵として使用され得るが、これはAPIを見ることによって確認される必要があり得る。
プロファイル同期ジョブは、同期されている情報の種類と量に依存する。典型的には、ユーザプロファイルデータベースに対するBCSコンテナは、それを完全にライトバックすることとは対照的に、付加的な情報をシェアポイントに引き出している。コンテナをCINSサーバに統合する1つの方法は、如何なるフィールドマッピングも行われないが、コードがプロファイルサービス同期タイマージョブの一部として実行することであろう。別のオプションは、CINSに対する同期がADプロファイル同期に独立して起きるカスタムタイマージョブを生成することである。
CINSに対する同期は、シェアポイントからCINSへの、1つの方法である。
ユーザが彼らのCINSプロファイルを更新する場合、値は、次の更新時に、シェアポイントによって上書きされる。
「ユーザ名」は、CINSにおける記録にアクセスするための鍵として使用可能であり、他の特定の「ID」フィールドは使用される必要はないであろう。
警報発見(AlertFind)製品はまた、XMLフォーマット又はCSVフォーマットでのある種のデータダンプを受け入れる。重要なユーザプロファイル情報をこのデータダンプフォーマットにエクスポートするジョブを生成することが可能であり、次いでこのファイルはCINSに送信される。ファイルのCINSへの送信はマニュアル処理であり得る。これは、どの程度の頻度でプロファイル情報が変化するかに依存して、より経済的なアプローチであってもよいことが可能である。

Claims (12)

  1. 異なる複数の機密レベルが割り当てられている情報の2つ又はそれよりも多くのセットへの、コンピュータネットワークを介したアクセスを選択的に許可する方法であって、
    コンピュータを用いて、許可されるアクセスの第1のレベルを有する情報の第1のセット又はデータの集合を指定するステップと、
    コンピュータを用いて、許可されるアクセスの第2のレベルを有するデータの集合の情報の第2のセットを指定するステップであって、前記情報の第1のセット及び前記情報の第2のセットは、非一時的コンピュータ読み出し可能な媒体上に格納される、ステップと、
    ユーザID及びパスワードのみを要求する認証処理を介して、前記情報の第1のセットへの、コンピュータネットワークを介したアクセスを許可するステップと、
    ユーザID、パスワード、及びハードウェアトークンのみを要求する認証処理を介して、前記情報の第2のセットへの、コンピュータネットワークを介したアクセスを許可するステップと、
    を含む方法。
  2. 同一セッションにおいて、ユーザID及びパスワードを用いて、前記情報の第1のセットへのアクセスの権限が既に与えられている場合、ハードウェアトークンのみを要求する認証処理を介して、前記情報の第2のセットへのアクセスを許可するステップを含む、
    請求項1記載の方法。
  3. ユーザID及びパスワードのみを要求する認証処理を介して、前記情報の第1のセットへのアクセスを許可し、次いで、同一セッションにおいて、ハードウェアトークンのみを要求する更なる認証処理を介して、前記情報の第2のセットへのアクセスを許可するステップを含む、
    請求項1記載の方法。
  4. 前記パスワードは、前記ハードウェアトークンのためのPINとしての役割を果たす、
    請求項1記載の方法。
  5. コンピュータを用いて、許可されるアクセスの第3のレベルを有する情報の第3のセット又はデータの集合を指定するステップであって、前記情報の第3のセットは、非一時的コンピュータ読み出し可能な媒体上に格納される、ステップと、
    認証処理を必要とすることなく、前記情報の第3のセットへの、コンピュータネットワークを介したアクセスを許可するステップと、を更に含む、
    請求項1記載の方法。
  6. 単一のセッションにおいて、認証処理を必要とすることなく前記情報の第3のセットへのアクセスを許可し、次いで、前記情報の第3のセットへのアクセスを許可した後、ユーザID及びパスワードのみを要求する認証処理を介して、前記情報の第1のセットへのアクセスを許可し、次いで、前記情報の第1のセットへのアクセスを許可した後、ハードウェアトークンのみを要求する認証処理を介して、前記情報の第2のセットへのアクセスを許可するステップを含む、
    請求項5記載の方法。
  7. 電子メッセージ配信リストを、オンラインディスカッションフォーラムと統合する方法であって、
    配信リストに送信される全てのメッセージを、前記オンラインディスカッションフォーラムに投稿するステップを含む方法。
  8. 前記配信リストに送信されるメッセージの、前記オンラインディスカッションフォーラム上への投稿は、前記メッセージと関連付けられるディスカッションスレッドを含む、
    請求項7記載の方法。
  9. 前記オンラインディスカッションフォーラムへのアクセスは、ユーザID及びパスワードのみを要求する認証処理を介して許可される、請求項7記載の方法。
  10. 前記オンラインディスカッションフォーラムへのアクセスは、ユーザID、パスワード、及びハードウェアトークンのみを要求する認証処理を介して、許可される、
    請求項7記載の方法。
  11. 前記情報の第1のセットは、オンラインディスカッションフォーラムを含む、
    請求項1記載の方法。
  12. 前記情報の第2のセットは、オンラインディスカッションフォーラムを含む、
    請求項1記載の方法。
JP2015524446A 2012-07-25 2013-07-25 セキュアな認証及び情報の共有と分析のための方法及びシステム Pending JP2015534138A (ja)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
US201261675610P 2012-07-25 2012-07-25
US61/675,610 2012-07-25
US201261675939P 2012-07-26 2012-07-26
US61/675,939 2012-07-26
US13/950,817 2013-07-25
US13/950,817 US20140164249A1 (en) 2012-07-25 2013-07-25 Method and system for secure authentication and information sharing and analysis
PCT/US2013/052035 WO2014018743A2 (en) 2012-07-25 2013-07-25 Method and system for secure authentication and information sharing and analysis

Publications (1)

Publication Number Publication Date
JP2015534138A true JP2015534138A (ja) 2015-11-26

Family

ID=49997974

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015524446A Pending JP2015534138A (ja) 2012-07-25 2013-07-25 セキュアな認証及び情報の共有と分析のための方法及びシステム

Country Status (5)

Country Link
US (1) US20140164249A1 (ja)
JP (1) JP2015534138A (ja)
AU (1) AU2013295701A1 (ja)
CA (1) CA2879735A1 (ja)
WO (1) WO2014018743A2 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10922034B2 (en) 2019-03-25 2021-02-16 Fuji Xerox Co., Ltd. Information processing apparatus, information processing system, and non-transitory computer readable medium storing information processing program
US11283811B2 (en) 2019-03-20 2022-03-22 Fujifilm Business Innovation Corp. Information processing apparatus, information processing method, and non-transitory computer readable medium
US11677731B2 (en) 2020-04-29 2023-06-13 Wells Fargo Bank, N.A. Adaptive authentication
US11973747B2 (en) 2023-05-12 2024-04-30 Wells Fargo Bank, N.A. Adaptive authentication

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10430779B2 (en) * 2014-04-08 2019-10-01 Capital One Services Llc Systems and methods for transacting at an ATM using a mobile device
US10708778B2 (en) * 2014-04-29 2020-07-07 Taliware, Inc. Method and system for authenticating an individual's geo-location via a communication network and applications using the same
US11039314B2 (en) * 2014-04-29 2021-06-15 Taliware, Inc. Method for passive authentication of an individual using an individual's geo-location via a communication network and blockchain associated recording of individual's authentication data
RU2623903C2 (ru) * 2014-09-19 2017-06-29 Открытое акционерное общество "Концерн "Системпром" Средство вычислительной техники для одновременной обработки информации разной конфиденциальности
US20160315927A1 (en) * 2015-04-21 2016-10-27 Zte (Usa) Inc. Method and system for establishing and managing personal black box (pbb) in virtually-networked big-data (vnbd) environment
US10146915B2 (en) * 2015-09-14 2018-12-04 Salesforce.Com, Inc. Publication of collaborative file to library
US10140267B1 (en) 2015-12-28 2018-11-27 EMC IP Holding Company LLC Efficient operation of GRC processing platforms
US10205738B2 (en) 2016-07-12 2019-02-12 Cisco Technology, Inc. Advanced persistent threat mitigation
CN108171390A (zh) * 2016-12-07 2018-06-15 中国科学院大连化学物理研究所 一种保密部门设备台账信息化动态管理系统
US11831688B2 (en) * 2021-06-18 2023-11-28 Capital One Services, Llc Systems and methods for network security
WO2023208742A1 (de) 2022-04-29 2023-11-02 Hte Gmbh The High Throughput Experimentation Company Vorrichtung und verfahren zur herstellung von feststoffpartikeln
DE202022102465U1 (de) 2022-04-29 2022-05-12 Hte Gmbh The High Throughput Experimentation Company Vorrichtung zur Herstellung von Feststoffpartikeln

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008242926A (ja) * 2007-03-28 2008-10-09 Nomura Research Institute Ltd 認証システム、認証方法および認証プログラム
JP2008257492A (ja) * 2007-04-05 2008-10-23 Fuji Xerox Co Ltd 認証処理プログラム、情報処理プログラム、認証処理装置、認証処理システムおよび情報処理システム
JP2009288846A (ja) * 2008-05-27 2009-12-10 Nomura Research Institute Ltd 情報提供装置および情報提供方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7606865B2 (en) * 2002-11-29 2009-10-20 Grouptivity Collaboration system and method
CA2464797A1 (en) * 2003-04-16 2004-10-16 Wms Gaming Inc. Remote authentication of gaming software in a gaming system environment
WO2006004815A1 (en) * 2004-06-25 2006-01-12 Accenture Global Services Gmbh Single sign-on with common access card
US20060031174A1 (en) * 2004-07-20 2006-02-09 Scribocel, Inc. Method of authentication and indentification for computerized and networked systems
US7596697B2 (en) * 2005-02-14 2009-09-29 Tricipher, Inc. Technique for providing multiple levels of security
US20070266428A1 (en) * 2006-03-06 2007-11-15 James Downes Method, System, And Apparatus For Nested Security Access/Authentication
US8713705B2 (en) * 2009-08-03 2014-04-29 Eisst Ltd. Application authentication system and method
US8301653B2 (en) * 2010-01-25 2012-10-30 Glenn Adamousky System and method for capturing and reporting online sessions

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008242926A (ja) * 2007-03-28 2008-10-09 Nomura Research Institute Ltd 認証システム、認証方法および認証プログラム
JP2008257492A (ja) * 2007-04-05 2008-10-23 Fuji Xerox Co Ltd 認証処理プログラム、情報処理プログラム、認証処理装置、認証処理システムおよび情報処理システム
JP2009288846A (ja) * 2008-05-27 2009-12-10 Nomura Research Institute Ltd 情報提供装置および情報提供方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
実森 仁志: "インターネット・システム構築 成功への道", 日経インターネットテクノロジー 第62号 NIKKEI INTERNET TECHNOLOGY, JPN6017004532, 22 August 2002 (2002-08-22), JP, pages 98 - 101, ISSN: 0003499691 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11283811B2 (en) 2019-03-20 2022-03-22 Fujifilm Business Innovation Corp. Information processing apparatus, information processing method, and non-transitory computer readable medium
US10922034B2 (en) 2019-03-25 2021-02-16 Fuji Xerox Co., Ltd. Information processing apparatus, information processing system, and non-transitory computer readable medium storing information processing program
US11677731B2 (en) 2020-04-29 2023-06-13 Wells Fargo Bank, N.A. Adaptive authentication
US11973747B2 (en) 2023-05-12 2024-04-30 Wells Fargo Bank, N.A. Adaptive authentication

Also Published As

Publication number Publication date
AU2013295701A1 (en) 2015-02-19
US20140164249A1 (en) 2014-06-12
WO2014018743A3 (en) 2015-04-23
WO2014018743A2 (en) 2014-01-30
CA2879735A1 (en) 2014-01-30

Similar Documents

Publication Publication Date Title
US11847197B2 (en) System and method for identity management
US11563728B2 (en) System and method for identity management
JP2015534138A (ja) セキュアな認証及び情報の共有と分析のための方法及びシステム
Uddin et al. A dynamic access control model using authorising workflow and task-role-based access control
AU2014308610B2 (en) System and method for identity management
CA2899996C (en) Customizable secure data exchange environment
US8793804B2 (en) Computer implemented method, computer system and nontransitory computer readable storage medium having HTTP module
Wheeler et al. Cloud storage security: A practical guide
US20210141932A1 (en) Data processing systems and methods for managing user system access
CN114117264A (zh) 基于区块链的非法网站识别方法、装置、设备及存储介质
Singh et al. Compliance and regulatory standards for cloud computing
Rogers An Overview of the Candware Program
Carvalho et al. Portuguese Concerns and Impact on Behaviour About Cybersecurity: A Comparison with the European Average
Ahmad et al. The information privacy domain
Johnson Robust identity and access management for cloud systems
EP2878095A2 (en) Method and system for secure authentication and information sharing and analysis
Aljohani et al. A Brief Overview of E-Government Security
Alhamdani Resilent Access Control Model
Neuman Civil Law and Privacy
Xiang et al. A Study on the Policies and Regulations of Cyber Electronic Identity Management
Guoquan Secure cloud computing implementation study for Singapore military operations

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160205

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170131

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170221

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20170519

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20170721

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170821

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20180130