テクニカルトピックス

　ご存知のように、Swivel認証システムでは、Windowsログイン認証時にSwivelのワンタイムパスワード（OTP/OTC）認証を使用することができます。PINPadやTURingイメージを使用したトークンレスワンタイムパスワード認証も、各種トークンを使用した二要素認証も全ての認証が使用可能です。
　（下図は、PINPadによるトークンレスワンタイムパスワード認証時のWindowsログイン認証画面です）

　これは、各PCに、Swivel Seccureが用意する「AuthControl Desktop」というエージェント・ソフトウェアを配信・インストールすることで実現しています。
　Windowsログイン認証時には、このAuthControl DesktopがAuthControl Cloud（Swivel Cloud）やAuthControl Sentry（Swivelサーバ）と通信を行い、OTP認証を行っています。

　AuthControl Desktopの設定には、「オフライン認証を許可する」（Allow Offline Authentication）という項目があります。（下図）

　このAllow Offline Authenticationの項目で「If Sentry Not Available」または「Always」を選択すると、Windows PCがAuthControl CloudやAuthControl Sentryと通信できない状況においてもSwivelのOTP認証を行うことができるようになります。
　この機能は、ログイン認証時に、AuthControl Desktopがそのユーザが今後使用するべきOTPを最大100作成し、暗号化して、「OTPキャッシュ」としてローカルに保存することで実現しています。また、この機能はSwivelが採用しているOTPの生成アルゴリズムである、HOTPによって実現可能になっています。

　では、この「OTPキャッシュ」が更新されるタイミングですが、AuthControl Desktop v5.2.x.x以前のバージョンでは、「オンライン状態での認証が成功した」タイミングでのみ、更新されていました。
　この場合、ユーザは100個のローカルにキャッシュされたOTPを全て使用してしまう前に、必ずオンライン状態での認証を行わなければならないという制約が発生します。
　これに対して、AuthControl Desktop v5.2.x.x以降のバージョンでは、オフラインであっても、認証に成功すれば、OTPキャッシュが更新されるという仕様になりました。
　これにより、常時オフライン状態のPCを使用した運用環境下でも、SwivelのOTP認証を行うことができるようになります。
　例えば、Windowsログイン前の状態では、安全のためにオフライン状態にしておくといった運用を行われているお客様でも、ワンタイムパスワード認証を採用することができるようになります。
　また、AuthControl DesktopはWindowsパスワードのキャッシュ機能も持っていますので、オフライン状態であってもドメイン配下のWindows PCのログイン認証を行うことができます。