Keeperビジネスまたは
エンタープライズ
(法人のお客様向け)
サイバー犯罪から企業を保護します。
無料トライアルを始めるKerberos は、デジタル「チケット」のシステムを使用してユーザーまたはホストのアイデンティティを検証するコンピュータネットワーク認証プロトコルです。秘密鍵暗号と信頼できるサードパーティを使用して、ユーザーの身元を確認し、クライアント/サーバーアプリケーションを認証します。
Kerberos プロトコルは、1988 年にマサチューセッツ工科大学(MIT)で開発されたもので、同大学がネットワークユーザーを安全に認証し、ストレージやデータベースなどの特定のリソースへのアクセスを許可するためのものです。当時のコンピュータネットワークでは、ユーザー ID とパスワードでユーザーを認証していましたが、これらは暗号化されず、平文で送信されていました。そのため、脅威者はユーザーのクレデンシャルを傍受し、それを使って MIT のネットワークに侵入することが可能でした。
Kerberos は、信頼できるホストが、信頼できないネットワーク(特にインターネット)上でパスワードを平文で送信したり保存したりすることなく通信できるようにしました。さらに、ユーザーが 1 つのパスワードだけで複数のシステムにアクセスすることを可能にする、シングルサインオン(SSO)技術の初期バージョンとなりました。
Kerberos は、現在最も広く使われているネットワーク認証プロトコルの 1 つです。大規模な企業ネットワークで SSO をサポートするために頻繁に使用されており、Windows のデフォルトの認証方法であり、Windows Active Directory(AD)において不可欠な役割を果たしています。Kerberos の実装は、Apple OS、FreeBSD、UNIX、Linux でも可能です。
チケットは、Kerberos 認証プロトコルの中核をなすものです。
Kerberos(ケルベロス)という名前は、ギリシャ神話に由来しています。ケルベロスは、死者の世界への門を守る 3 つの頭を持つ犬でした。この名前は、Kerberos プロトコルの 3 つの「頭」、すなわちクライアント、サーバー、Kerberos の「チケット」を発行するKerberos Key Distribution Center(KDC、Kerberos 鍵配布センター)を指しています。
Kerberos の「チケット」は、認証サーバーが発行するデジタル証明書であり、サーバーの鍵を使って暗号化され、ホストが安全な方法でお互いの身元を証明することを可能にします。これは、相互認証として知られています。
Kerberos チケットのリクエストと付与は、エンドユーザーに対して透過的に行われます。クライアントは Kerberos 認証チケットを受け取ると、クライアントの身元を確認するための追加情報とともに、チケットをサーバーに返します。次にサーバーは、Kerberos サービスチケットとセッション鍵を発行し、そのセッションの認証プロセスを完了させます。すべての Kerberos チケットは、タイムスタンプ、時間制限、セッション固有であるため、脅威者が漏洩したチケットを使用してシステムにアクセスするリスクを最小限に抑えることができます。
ここでは、Kerberos プロトコルの動作を非常に簡略化して説明します:
Kerberos は、成熟した堅牢な認証プロトコルであり、すべての一般的なオペレーティングシステムに統合され、現代の分散コンピューティング環境をサポートしています。特に SSO の導入に適しており、ロールベースのアクセス制御(RBAC)とデジタルリソースへの最小特権アクセスをサポートしながら、エンドユーザーがスムーズに利用できるようにするバックエンドのテクノロジーを提供します。
Kerberos は数十年前から広く使われている技術なので、脅威者は Kerberos を侵害する方法を見つけ出しています。Kerberos に対してのよくあるサイバー攻撃は以下の通りです:
しかし、100%ハッキングされないテクノロジーはありませんが、Kerberos は適切に設定、維持されていれば、かなり安全です。Kerberos の展開を安全に保つには、Kerberos が常にアップデートされており、エンドユーザーが多要素認証(MFA)で支えられた強力な独自のパスワードを使用していることを確認する必要があります。