SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

検索表示
SB C&S

多要素認証によるCohesityの強固なセキュリティ

  1. ホーム
  2. 技術ブログ
  3. データマネジメント
  4. 多要素認証によるCohesityの強固なセキュリティ
データマネジメント
2022.05.17

こんにちは。SB C&Sでバックアップソリューションを担当している臼井です。

この2、3年の間にランサムウェアによるサイバー攻撃は進化を遂げ、大小さまざまな企業や自治体、病院にまで被害が及んでいます。攻撃者はセキュリティを突破するために、さまざまな工夫を凝らして侵入を試みますが、その大半はパスワードのみの認証が大きな要因となっており、今後はセキュリティ強化のためにゼロトラストに基づき、パスワードだけでなくパスワード以外の要素を組み合わせたMFA(多要素認証)の必要性が増していくものと考えられます。

重要なバックアップデータを保持するCohesityでは、MFAに対応しており、正しいユーザーのみをCohesityにアクセスさせることでランサムウェア対策にもなります。そこで、今回はCohesityのMFA機能とその設定方法についてご紹介します。

login.PNG

Cohesityの多要素認証の要件

■Cohesityバージョン

MFAはCohesityの6.5.1f以降 と6.6.0c以降のバージョンで利用可能です。既にCohesityをご利用でこれらのバージョンより古いバージョンを使用している場合にはバージョンアップが必要になります。

https://docs.cohesity.com/6_5_1/Web/UserGuide/Content/ReleaseNotes/WhatsNew651f.htm
※要Cohesityサポートアカウント
Multi-Factor Authentication for Local Users
Cohesity now supports Multi-Factor Authentication (MFA) for local users.

https://docs.cohesity.com/6_6/Web/UserGuide/Content/ReleaseNotes/WhatsNew660c.htm
※要Cohesityサポートアカウント
Multi-factor Authentication for Local Users
Cohesity now supports Multi-factor Authentication (MFA) for local users.

■MFAを利用できるアカウント

上記のドキュメントに記載がありますが、MFAを利用できるのはCohesityのローカルユーザーのみになります。CohesityではActive DirectoryやSSOプロダイダーのユーザーもアカウントとして利用できますが、CohesityのMFA機能との連携はできません。

■認証方式

認証方式としてはアプリケーションによる認証とメールによる認証を利用可能です。アプリケーションはTOTP(時間ベースのワンタイムパスワード)に対応した下記のアプリケーションをサポートしています。

CohesityクラスタでのMFA設定

アプリケーションとメールの2つの認証方式のMFAの設定手順ご紹介しますが、プライマリの認証としてはアプリケーションによる認証を推奨しており、メールによる認証をプライマリとすることは推奨しておりません。そのため、今回はプライマリの認証としてアプリケーションを設定後にセカンダリの認証としてメールによる認証を追加する手順をご紹介します。

■前提条件
・Cohesityバージョン: 6.6.0d_u2_release-20220226_5cca7024
・アプリケーション: Micorosoft Authenticator(Android スマートフォンにインストール済み)

尚、MFAを有効化するにはAdminロールを割り当てられた管理者もしくは、[Cluster Management]の[Manage MFA]の権限を持つカスタムロールを割り当てられたユーザーで実行する必要があります。

magage-mfa.png

①アプリケーションによる認証

まず、プライマリの認証としてアプリケーションを使用する手順をご紹介します。Cohesityのコンソールにログインし、[Settings]→[Access Management]を選択し、[MFA]タブを表示します。

totp01.png


「MFA」のトグルを右に移動し、「Authenticator App」のみにチェックを入れて「Save」をクリックします。

totp02.png




確認メッセージが表示されますので、「Enable」をクリックして有効化します。

totp03.png


以上でMFAが有効となります。アプリケーションによるMFAを設定するため、右上のアカウントメニューから「Log out」をクリックしてログアウトします。

totp04.png

ユーザー名とパスワードを入力し、「Sign In」をクリックします。

totp05.png

認証アプリケーションの画面でQRコードが表示されますので、スマートフォンで読み込みます。

totp06.png

QRコードで読み込んだリンクからMicorosoft Autheticatorを起動すると、自動でアカウントが登録されます。

totp07.png




登録されたアカウントをクリックすると、ワンタイムパスワードが確認できます。ワンタイムパスワードは30秒間隔で更新されます。

totp08.png


尚、QRコードが使用できない場合は、目のマークをクリックしてSecret Keyを表示し、手動でMicorsoft Authenticatorのアカウントを追加して表示されたSecret Keyを秘密キーに設定することも可能です。

totp09.png

manual-qr.PNG


アプリケーションで確認したワンタイムパスワードを「Secret Key」に入力し、「Verify」をクリックします。

totp11.png




「Security code verified successfully 」と表示され、セキュリティコードの検証が成功したことを確認し、「Complete」をクリックします。

totp12.png



Cohesityコンソールにログインできます。

totp13.png




尚、2回目以降のログインではユーザー/パスワードを入力した後にQRコードやSecret Keyの画面は表示されず、パスコードを入力する画面のみ表示されます。後でSecret Keyを確認することはできませんので、ご注意ください。

totp14.png

②メールによる認証

次にセカンダリの認証方法としてメールを追加する手順をご紹介します。メールによる認証を追加設定することでアプリケーションによる認証が使用できない場合の代替としてメールによる認証を行うことが可能です。

メール通知などでメールサーバーの設定をしていない場合は、まずメールサーバーの設定を行います。Cohesityのコンソールにログインし、[Settings]→[Summary]を表示し、[Summary]タブから「Configure」をクリックします。

email01.png

「Enable SMTP Server」のトグルを右に移動して有効化した後に、SMTPサーバーの情報(ホスト名やポート、認証情報等)を入力し、「Save」をクリックします。

email01a.png

email02.png



メールによる認証では各ユーザーのメールアドレスにパスコードが記載されたメールが送信されるため、適切なメールアドレスが設定されているか事前に確認します。[Settings]→[Access Management]を選択し、[Users & Groups]タブを表示します。認証を行うユーザーを選択して、「Edit」をクリックすることでメールアドレスの確認や設定が可能です。

email05.png

email06.png


メールによる認証を追加するため、[Settings]→[Access Management]を選択し、[MFA]タブを表示します。「Email」にチェックを追加し、「Save」をクリックして設定を保存します。

email03.png


確認メッセージが表示されますので、「Enable」をクリックして有効化します。

email04.png


以上でメールによる認証が有効になります。メールによる認証を確認するため、右上のアカウントメニューから「Log out」をクリックしてログアウトします。

email08.png


ユーザー名とパスワードを入力し、「Sign In」をクリックします。

totp05.png


「Email my Security Code」をクリックしてセキュリティコードが記載されたメールを送信します。

email09.png


メールソフト起動し、[Verification code for Cohesity Cluster]という件名のメールに記載されたコードを確認します。
※送信元(From)と送信先(To)のメールアドレスは各ユーザーのメールアドレスになります。

email10.png

メールに記載されているコードを「Secret Key」に入力し、「Verify」をクリックします。
※メールのパスコードの有効期間は2分になります。メール送信から2分以上経過した場合は、再度メールを送信する必要があります。

email11.png


「Security code verified successfully 」と表示され、セキュリティコードの検証が成功したことを確認し、「Complete」をクリックします。

email12.png


Cohesityコンソールにログインできます。

email13.png


尚、認証方式としてアプリケーションとメールの両方が有効になっている場合、2回目以降のログインではユーザー名/パスワード入力後の最初の画面ではアプリケーションによるコードの入力画面が表示されますが、「Use Alternative Verification Method」をクリックすることでメールによる認証画面に切り替えることが可能になります。

email14.png

email15.png

ユーザー単位のMFA有効無効化の設定

MFAはユーザーアカウント毎に有効無効を設定することも可能です。前述の手順でクラスタ全体でMFAを有効にした後、[Settings]→[Access Management]の[Users & Group]タブで「MFA」列のトグルを有効/無効に設定することにより、特定のユーザーのみMFAを使用させることが可能です。

mfa-select-user.png

尚、ユーザー毎にMFAの有効無効を設定するには、クラスタ全体のMFA設定を有効にする権限に加えて[Manage Users]の権限が必要になります。

manage-user.png

以上のようにCohesityでは簡単にMFAを設定でき、MFAを設定することで強固なセキュリティを実現できます。バックアップ製品のセキュリティを懸念しているお客様は、Cohesityをご検討いただければ幸いです。

login2.PNG







Cohesity関連の記事はこちらから

【Cohesity】投稿記事一覧

著者紹介

SB C&S株式会社
ICT事業本部 ICT事業戦略・技術本部 技術統括部 第3技術部 1課
臼井 守

Related Posts

関連記事