WEBブラウザーからの入力によって認証する仕組みだけでは、他人のIDとパスワードを使った「なりすまし」の予防が大変な上に限界もあります。
ワンマン・ワンウェーブを導入すると、WEBブラウザーからログインするときに、ユーザーのスマートフォンにリアルタイムで認可要求を発行し、ユーザーが認可したときだけログインが成功する仕組みに変更できます。
ユーザーは身に覚えのない認可要求に対して、無視するか却下を選択することで、ログインを失敗させることができますので、「なりすまし」を阻止することができるようになります。
WEBサイト(WEBアプリケーション)のオーナーは、「なりすまし」の脅威が大幅に減ると同時に、ユーザーに安心という付加価値を提供できるようになります。
ユーザーは、スマートフォンが手元にあることで「なりすまし」の被害に合わないという安心感が手に入ります。
(もし身に覚えのない認可要求が来て、自らの手でそれを阻止した時は非常にエキサイティングでしょう)
ワンマン・ワンウェーブは、スマートフォンに認可(認可・却下の2択)をリアルタイムで問い合わせるシンプルなサービスです。
すでにあるWEBサイト(WEBアプリケーション)に、この問い合わせ機能を追加することができます。
導入すると、1ログインアカウントにつき、1台スマートフォンを登録できるようになります。
そして、ログインなど任意のタイミングで、WEB APIを使って(ログインアカウントに登録されている)スマートフォンに認可を問い合わせることができるようになります。
スマートフォン上の認可操作は、アプリストアから無料のアプリ「UpsN」(アップスン)を入れてもらい、そのアプリを使って認可・却下の選択をしてもらいます。
導入後のご利用イメージは以下になります。
ワンマン・ワンウェーブは、既存のWEBサイトを極力変更しなくても実現できるよう、配慮した設計になっています。
WEBサイト(WEBアプリケーション)のオーナーが導入する際の手順は以下のようになります。
例:https://your.registered.url/
<div id="omow_upsn"></div> <!--アイコンを表示する場所に左記DIVを配置します --> <script src="https://www.mellow-fellows.com/UpsN/?script=your_api_key"></script> <script type="text/javascript">//<![CDATA[ window.addEventListener('load', function(){ var omow_agent = new UpsNOneManOneWaveAgent('omow_upsn'); }, false); //]]></script>
※「your_api_key」はカスタマーサイトにログインすると表示されるAPIトークンに差し替えてください。
curl https://www.mellow-fellows.com/OMOW/ \
-d "secretKey=your_secret_key" \
-d "url=https://your.registered.url/" \
-d "uniqueId=your_login_id@example.com" \
-d "remoteAddr=optional_client_ip" \
-d "userAgent=optional_client_agent"
require_once('UpsNOMOWAgent.class.php');
$agent = new UpsNOMOWAgent();
$success_boolean = $agent->getDeviceAuth('your_secret_key', 'https://your.registered.url/', $user->login_id);
using UpsN; var agent = new UpsNOMOWAgent(); var success_boolean = agent.getDeviceAuth("your_secret_key", "https://your.registered.url/", model.EMail, Request);
※「your_secret_key」はカスタマーサイトにログインすると表示される秘密キーに差し替えてください。
以上です。
認可の問い合わせに必要な情報はUpsNサーバーが保管しますので、既存のWEBサイト(WEBアプリケーション)のデータベースは一切変更していただく必要はありません。
登録されたスマートフォンの管理も、UpsNカスタマーサイトに管理画面がございますので、新たにご用意いただく必要はありません。
ワンマン・ワンウェーブをログインと組み合わせると、以下の状況を作り出すことができます。
ワンマン・ワンウェーブを設置したときのログイン手順は以下のようになります。
※1分以内に認可されなかった場合や、認可画面でキャンセルが選択された場合は、IDとパスワードが合っていたとしても、ログインに失敗します。
具体的には下図のような流れになります。
たとえ現在が下記のような状況でも、ワンマン・ワンウェーブがあれば「なりすまし」のリスクを大幅に低減できます。
SSLクライアント証明書による端末認証と比べると、以下の利点もしくは欠点があります。
ワンマン・ワンウェーブには、以下の機能があります。
WEBサイトのユーザーはWEBブラウザーとスマートフォンアプリ「UpsN」を使って以下の事ができます。
それぞれの詳しい手順につきましては「ユーザーマニュアル」ページをご参照ください。
動作概要は「アカウントにスマートフォンを登録。」の場合、下図のようになります。
(その他の操作も同じ流れになります)
また、ユーザー向け機能の動作環境につきましてはコチラの「UpsNエージェントのサポートブラウザおよび動作条件」をご参照ください。
WEBサイトの運営者(UpsNカスタマー)様は、UpsNカスタマーサイトにて以下の事ができます。
シンプルな機能ですので、応用の幅も広くなります。
たとえば、オンラインのカード決済時に適用するケースが考えられます。
知人・他人、故意・偶然に関わらず、あなたの知らない所で、あなたのクレジットカード情報で決済される心配がなくなります。
また、社内の稟議システムで決済の承認を行う場合などにも有効です。
本人以外が承認するリスクが減り、誤って承認ボタンを押してしまっても、認可のタイミングでキャンセルできるようになります。
ワンマン・ワンウェーブは、適用ルールに柔軟性を持たせられます。
スマートフォンを持っている人だけ使ってもらう。社内システムだから全員必須とする。今だけ利用を停止する。など。
導入後に適用ルールを変更することになっても、再度アプリケーションロジックを変更していただく必要はありません。
UpsNカスタマーサイトの設定画面からワンマン・ワンウェーブの有効・無効および判定条件を変更することによって、適用ルールを調整していただけます。
ワンマン・ワンウェーブを導入したシステムは、ログインなど任意のタイミングで、必ず認可要求を発行します。
その際、指定されたアカウントにスマートフォンが登録されていない場合は、認可を「失敗とする」or「成功とする」の選択が可能です。
「成功とする」を選択すると、スマートフォンによる認可を任意とすることができるようになります。
※スマートフォンを持っていない人も従来どおりIDとパスワードによる認証でログインできます。
「失敗とする」を選択すると、スマートフォンによる認可を必須とすることができるようになります。
セキュリティレベルを上げると、手間が増え、利便性が犠牲になるケースがあると思います。
ワンマン・ワンウェーブとログインの組み合わせも「IDとパスワードの入力」から、「IDとパスワードの入力+スマートフォンによる認可」に増えてしまいます。
しかし、UpsN(アップスン)を併設すると、スマートフォンの紛失・盗難時のセキュリティは落ちますが、利便性が犠牲になりません。
特にスマートフォンのWEBブラウザー上では、1タップでログインが完了します。セキュリティは従来方式より上がっているにもかかわらずです。
ぜひUpsNもご検討ください。
※UpsNの使用を強制する機能はございませんので、併設しても併用するかどうかは個々のユーザーの判断、もしくは運用ルールに委ねることになります。
プッシュ通知によりアプリを起動する手間を省く事ができましたが、Apple WatchがあればiPhoneを取り出す手間も省けます。
Apple WatchがUpsNの利便性を1ランク上に引き上げてくれます。
