...

ARCACLAVIS Ways V5.0 製品説明資料

by user

on
Category: Documents
370

views

Report

Comments

Transcript

ARCACLAVIS Ways V5.0 製品説明資料
ARCACLAVIS Ways V5.1
製品説明資料
ジャパンシステム株式会社
2015年5月
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
こんなお客様に
ICカードや生体情報、ワンタイムパスワードを使って、Windowsログオンなどの
認証強化を行いたい
ID/パスワード管理(シングルサインオン)を行いたい
フォルダ/ドライブ単位のデータ暗号化を行いたい(USBメモリの暗号化含む)
外部(USB)デバイス制御を行いたい
端末の利用履歴や業務システムへのログイン履歴を残したい(ログ収集)
安価にセキュリティ対策を実施したい
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
2
目次
1.課題
1-1. 情報漏えいの現状
1-2. 情報セキュリティの脅威
1-3. ID/パスワード管理やアクセス管理の重要性
1-4. お客様の課題
2.課題解決策
2-1. 認証セキュリティ&アクセス管理ソリューション
2-2. 期待される効果(メリット)
3.ARCACLAVIS Ways 概要
3-1. 主な機能
3-2. 特長
3-3. 多要素認証のイメージ図
3-4. システム構成図
4.機能詳細
4-1~4-6. 多要素認証
4-7. 仮想化(VDI)環境にて別端末からアクセスした時の動作
4-8~4-15. シングルサインオン
4-16~4-17. 暗号機能
4-18. ログ収集機能
4-19. Active Directory連携機能 (オプション)
4-20. IDM連携機能 ~ JINPRO連携例
※ ARCACLAVIS Ways V5.1の新機能
※ お問合わせ先
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
3
1.課題
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
4
1-1. 情報漏えいの現状
●2013年の個人情報漏えいインシデント
漏えい人数
931万2543人
漏えい件数
1333件
想定損害賠償額
2020億6575万円
一件あたりの漏えい人数
●業種別の漏えい件数
7385人
一件あたり
平均想定損害賠償額
1億6024万円
一人あたり
平均想定損害賠償額
2万7675円
●2013年 インシデント・トップ10
漏えい人数
業種
原因
1
400万人
情報通信業
不正アクセス
2
169万2496人
情報通信業
不正アクセス
3
47万人
卸売業、小売業
不正アクセス
4
42万6000人
公務
紛失・置き忘れ
5
24万3266人
情報通信業
不正アクセス
6
17万5297人
情報通信業
設定ミス
7
15万165人
卸売業、小売業
不正アクセス
8
12万616人
卸売業、小売業
管理ミス
9
10万9112人
情報通信業
不正アクセス
9万7438人
情報通信業
不正アクセス
10
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
source:JNSA 2013年 情報セキュリティインシデントに関する調査報告
5
1-1. 情報セキュリティの脅威
●2014年版 IPA 10台脅威
【1位】標的型メールを用いた組織へのスパイ・諜報活動
【2位】不正ログイン・不正利用
【3位】ウェブサイトの改ざん
・ID/パスワードが窃取され、サービス/システムが不正利用
・パスワードリストを使った手口が拡大
・ID/パスワードの使い回しユーザが被害に
2013年の事例
不正に入手したID/パスワードリストを使用する攻撃
クレジットカード会社、ECサイトなど幅広く狙われた
大規模ユーザ:0.15%の成立率でも23,926件が不正ログイン成功
対策
・長く複雑なパスワードを設定
・パスワードを使い回さない
・パスワード以外の認証方式の利用
※ワンタイムパスワード/二要素認証方式の利用
source:IPA2014年版 情報セキュリティ 10大脅威
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
6
1-3. ID/パスワード管理やアクセス管理の重要性
「PCには、IDとパスワードを設定してあるから大丈夫」と安心していませんか?
多くの情報漏えい事件が世の中を騒がせる中、ITシステムへの入口となる、クライ
アントPCの”ID/パスワード管理”や”運用の重要性”がますます高くなっています。
ID/パスワードによる認証は、以下のようなリスクが考えられます。
個人の記憶に頼らなければならない
漏えいしたことが分かりにくい
生産性の向上と
セキュリティの
他人にも簡単に類推できてしまう
両立か…
を導入すれば、データはサーバ上に
保存されるためセキュリティ強化につながると思われがちですが、
ID/パスワードでの認証では「不正アクセス・なりすまし」の
リスクは従来(ファットPC)の環境と変わりません。
一方で、
を活用したビジネスのスピードアップ
と生産性の向上が、経営層および現場からも求められています。
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
7
1-4. お客様の課題
利用者
たくさんのID/パスワードが管理できない
・ 業務システム等で利用するID/パスワードが多くて覚えられない…(定期的なパスワード変更も面倒)
・ 入力間違い、パスワード忘れで業務がストップしてしまう…
スマートデバイスを安全・便利に活用したい
・ スマートデバイスで業務システムを利用する際、ID/パスワードの入力が大変…
管理者
端末の利用者を特定したい(有効なログを収集したい)
・ 不正利用があった場合に備え、ログを取ってはいるが利用者を特定できない。
・ 共有IDを利用しているので、誰がどの端末を使ったか分からない。
パスワード忘れ対応を減らしたい
・ パスワードリセットの問い合わせが多く、他の作業ができない…
・ 新しいシステムの導入時やシステムの入れ替え時に人手不足になる。
ユーザに意識させることなくセキュリティを高めたい
・うっかりミスで重要なデータが平文のまま。しかし、煩雑な操作はさせたくない。
経営者
情報漏えい対策を行いたい
・ モバイルPC、スマートデバイスなどの盗難・紛失時の対策を行いたい。
・ 業務システムのパスワードをメモや付箋に書いて、持ち歩いている。
・ 顧客情報が漏えいしたら、会社の信用喪失・高額な損害賠償を支払うことも…
クラウドサービスを強固な認証で安全に利用させたい
・ 外部でも利用できるクラウドサービスの利便性を享受しつつ、より強固な認証で安全に利用させる
環境を作りたい。
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
8
2.課題解決策
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
9
2-1. 認証セキュリティ&アクセス管理ソリューション
「ARCACLAVIS」シリーズの統合版
【
】
これまでのID/パスワードによる認証を、ICカードや生体(指紋、指紋&指静脈)情報、ワンタイムパスワードに
よる多要素認証に置き換え、セキュリティ強化を実現。
シングルサインオン機能により、業務アプリケーションのID/パスワードを自動入力するため、ユーザの利便性
は格段に向上します。ユーザに「実際のパスワードを教えない運用」も可能になるため、パスワード漏えいの危
険がなくなります。
更に暗号機能により、ユーザに意識させることなく、フォルダ/ドライブ単位での自動暗号/復号が可能。
多要素認証
シングルサインオン
暗号機能
暗号
ICカード、生体、OTPなど
Web以外のC/SやWindows系アプリに
SSO可能
ファットPC
シンクライアント
ゼロクライアント
スマートデバイス
に対応
ログの送信
マルチプラットフォーム
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
ドライブ、フォルダの自動暗号/復号
ログ収集
10
2-2. 期待される効果(メリット)
利用者
♪
管理者
利便性の向上
・
・
・
・
システム毎に異なるID/パスワード入力が不要になり生産性向上!
パスワード忘れもなくなり、スムーズな業務運用に移行できる。
「パスワード自動変更機能」により、パスワード変更操作が不要に。
スマートデバイスでの煩わしいパスワード入力が不要に。
端末の利用者を特定できる(有効なログを収集可能)
・ インシデント発生時に、ログを確認することで追跡調査が可能。
・ 共有PC/共有IDを利用していても、ログの認証情報を元に利用者の特定が可能。
・ 業務アプリへの認証・パスワード変更履歴も一元管理できる。
パスワード忘れ対応が軽減
・ 「パスワード忘れ」対応がなくなり、管理者本来の業務に専念できる。
・ 新しいシステムの導入時も、管理者側でパスワードを登録することで通知の手間を削減。
ユーザに意識させずにセキュリティ強化が可能に
・ 特別な操作をせずに、データの暗号化/復号化を実現。外部デバイス制御もラクラク!
経営者
情報漏えい対策を実現
・ 多要素認証を利用することで、「不正アクセス・なりすまし」防止。
・ ユーザに「パスワードを教えない運用」が可能なため、パスワード漏えいの心配が不要。
・ USBデバイスの利用制限を実現。
社外からでも強固な認証で安全に利用可能に
・ 多要素認証、シングルサインオン、暗号化、外部デバイス制御、ログ収集機能等あらゆる機能で
セキュリティ対策は万全!
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
11
3.ARCACLAVIS Ways 概要
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
12
3-1. 主な機能
多要素認証
シングルサインオン
ID/パスワードでの認証ではなく、ICカードや生体
(指紋、指紋&指静脈)情報、ワンタイムパスワードな
どを用いて本人認証を強化します。
クラウド、イントラWeb、C/Sなどの様々なアプリに
対してシングルサインオンを実現します。パスワード
を自動生成・自動変更する機能でユーザの利便性とセ
キュリティは大幅に向上します。
Windows以外のAndroid/iOSにも対応しているため、
スマートフォンなどの入力しづらい小さな画面での
パスワード入力も自動化できます。
マルチプラットフォーム
ファットPCはもちろん、タブレットやスマートフォン、
ゼロクライアント/シンクライアント端末でもご利用頂
けます。
フォルダ/ドライブ暗号機能
指定された暗号フォルダは自動暗号/復号され、ユーザ
は暗号フォルダ、非暗号フォルダなどを意識することな
く確実にファイルを暗号化した状態で保持できます。ま
た、ドライブ単位(C:¥、D:¥など)で暗号対象を指定
するだけの「ドライブ暗号」機能では、指定されたロー
カルドライブ全体を暗号対象にすることもできます。
※外部メディア/ネットワーク上の共有フォルダ、USB
メモリの暗号/復号も可能。
ログ収集機能
デバイス認証やシングルサインオン利用時のログを
記録します。ログオンアカウントが共有アカウント
でもICカードや生体などの認証要素に固有に付与で
きる識別子で個人を特定できます。
緊急パスワード
Active Directory・IDM連携対応
ICカードなどの認証デバイスを自宅に忘れたり、指をケ
ガしてしまって指紋認証が通らないなどの緊急時には、
管理者が発行した期限付きの緊急パスワードで認証デバ
イスが無くても一時的に本人認証をすることが可能です。
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
Active Directoryと連携し、ユーザの追加/削除を自動化
できます。
また、ID管理システム「JINPRO(クレメンテック社)」と
の連携が可能です。JINPROの申請ワークフローを用いた
シングルサインオンの利用管理が可能になります。
13
3-2. 特長
マルチ(多要素)認証・マルチプラットフォーム対応により、お客様に最適なご提案が可能!
更に、代行入力型のシングルサインオンでクラウドアプリ・イントラWebアプリ・C/Sアプリなど様々
なアプリケーションに対応!
国産自社開発製品の強みを活かし、お客様のニーズに沿ったカスタマイズ要求にも柔軟に対応!
ARCACLAVISシリーズは1998年より開発・販売を続ける信頼のセキュリティ製品。
官公庁、自治体、金融、生保など多くのお客様へ導入。トータル100万ライセンスの販売実績!
自社/国内で開発・サポートを行っており、あらゆるお客様のニーズに応える運用性と信頼性を提供!
管理者の負担を軽減する機能を多数搭載。
Active Directory連携によりユーザ情報の追加や削除を自動化。ログ収集機能で万が一の備えを。
緊急時対応もラクラク。SSOを利用すれば業務システムの「パスワード忘れ対応」が不要に!
本製品をアプライアンスのように「後からカチャッとはめる」イメージで導入できます。
短期間導入を実現できるので、SI費用も大幅に削減することができます!
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
14
3-3. 多要素認証のイメージ図
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
15
3-4. システム構成図
(ファットPCやスマートデバイス環境の場合)
ARCACLAVIS Ways
サーバ
Active Directory
Ways認証/権限情報をダウンロード
連携
可能
クラウドWebアプリ
ファットPC
イントラWebアプリ
スマートデバイス
Waysクライアントインストール対象
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
16
レガシーC/Sアプリ
3-4. システム構成図
(デスクトップ仮想化(VDI)方式の場合)
ARCACLAVIS Ways
サーバ
クライアント仮想化サーバ
Active Directory
Ways認証
仮想OS
仮想OS
ハイパーバイザー
権限情報
ダウンロード
連携
可能
クラウドWebアプリ
ファットPC
ゼロクライアント
シンクライアント
イントラWebアプリ
Waysクライアントインストール対象
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
17
レガシーC/Sアプリ
3-4. システム構成図
(サーバーベースコンピューティング(SBC)方式の場合)
ARCACLAVIS Ways
サーバ
リモートデスクトップサーバ
Active Directory
Ways認証
権限情報
ダウンロード
連携
可能
クラウドWebアプリ
ファットPC
ゼロクライアント
シンクライアント
イントラWebアプリ
Waysクライアントインストール対象
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
18
レガシーC/Sアプリ
4.機能詳細
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
19
4-1. 多要素認証
ICカードや生体(指紋、指紋&指静脈)情報、ワンタイムパスワードを使った二要素認証により
ログオン認証の強化が可能です。
ファットPC環境やシンクライアント/ゼロクライアント環境など、あらゆる環境で使えます。
【対応環境】
◆ファットPC
【対応認証方法】
◆ICカード認証
(FeliCa,Mifare)
◆指紋認証
◆シンクライアント/ゼロクライアント
(指紋認証、指ハイブリッド認証には未対応)
・Microsoft RDS
・Citrix XenApp,XenDesktop
・VMware Horizon View
◆指ハイブリッド認証
(指紋&指静脈)
◆ワンタイムパスワード認証
◆スマートデバイス
(SECUREMATRIX)
(指紋認証、指ハイブリッド認証には未対応)
◆ID/パスワード認証
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
20
4-2. 多要素認証 – [ICカード認証] (1/3)
<ICカード認証のメリット>
パスワードのように、盗まれても気付かず、また容易に複製が可能な
ものとは違い、ICカードは手元から無くなればすぐに分かり、紛失・
盗難時も再発行が可能なため運用性に優れています。
また、ARCACLAVIS WaysはICカード内にはログオン情報などを
一切書き込まないため、社員証や入退室で使用中のカードをそのまま
認証デバイスとして利用することができます。これによりICカードを
回収することなくユーザ設定の登録・編集が可能になります。
<ファットPCでの認証イメージ>
①PCを起動
※WaysクライアントをファットPC上にインストール
②ICカードをセット
③ICカードパスワードを入力
(本操作をスキップすること
も可能)
④Windowsログオン完了 ※1
※1:ログオン後はICカードをかざしたままでなくともICカードをタッチするたびにARCACLAVIS機能の「利用可/不可」を切り替えるモードと、
ICカードをかざした状態で「利用可」、ICカードを外すと「利用不可」と切り替えるモードを選択することができます。
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
21
4-2. 多要素認証 – [ICカード認証] (2/3)
<デスクトップ仮想化(VDI)方式での認証イメージ>
①シンクラ/ゼロクラ端末を
起動し、リモート接続用イ
ンターフェースから仮想デ
スクトップに接続
※Waysクライアントを仮想デスクトップ上にインストール
②仮想デスクトップ側の認
証画面が表示されたらIC
カードをタッチ
③ICカードパスワードを入力
(本操作をスキップすることも
可能です)
④Windowsログオン完了 ※1
<サーバベースコンピューティング(SBC)方式での認証イメージ>
※Waysクライアントをリモート接続先サーバ上にインストール
①シンクラ/ゼロクラ端末を
起動し、リモート接続用イン
ターフェースから公開アプリ
ケーションを起動
②リモート接続先サーバ側
の認証画面が表示されたら
ICカードをタッチ
③ICカードパスワードを入力
(本操作をスキップすることも
可能です)
④①で選択した、公開アプリ
ケーションが起動 ※1
※1:ログオン後はICカードをかざしたままでなくともICカードをタッチするたびにARCACLAVIS機能の「利用可/不可」を切り替えるモードと、
ICカードをかざした状態で「利用可」、ICカードを外すと「利用不可」と切り替えるモードを選択することができます。
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
22
4-2. 多要素認証 – [ICカード認証] (3/3)
ICカードパスワード
入力画面
Windowsログオン
ユーザ名、パスワー
ド入力画面
パターン
①
“ICカードパスワード
自動認証”で省略
“自動ログオン”で省
略(初回のみユーザ設
定で格納)
パターン
②
“ICカードパスワード
自動認証”で省略
認証デバイスをセットし、Windowsログオン
情報を全て入力
・Windowsログオンアカウントは限定されな
い
パターン
③
“ICカードパスワード
自動認証”で省略
認証デバイスをセットし、Windowsログオン
パスワードのみ入力
・Windowsログオンアカウントを限定可能
・なりすましを抑止
認証
パターン
初期画面
パターン
④
“自動ログオン”で省
略(初回のみユーザ設
定で格納)
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
備考
認証デバイスをセットするだけでログオン
・操作は最も簡単
・認証デバイスを他人に悪用される可能性あり
・Windowsパスワードの有効期間切れ時はパ
スワード変更画面が表示される
認証デバイスをセットし、ICカードパスワード
のみ入力
・Windowsログオンアカウントを限定可能
・Windowsログオンパスワードを初回に保存
・Windowsパスワードの有効期間切れ時はパ
スワード変更画面が表示される
認証デバイスをセットし、ICカードパスワード、
Windowsログオン情報を全て入力
・操作は最も多い
・2種類のパスワードでセキュアな環境を実現
パターン
⑤
パターン
⑥
[乱数化]
デスクトップ
管理者が設定した
ユーザ名、誰も知ら
ない乱数パスワード
でログオン
23
認証デバイスをセットし、ICカードパスワード
のみ入力
・Windowsログオンアカウントを限定可能
・Windowsパスワードの有効期間切れ時は自
動で変更される
4-3. 多要素認証 – [指紋認証]
<指紋認証のメリット>
指紋情報を利用した厳格な本人認証によるエンドポイント
セキュリティを提供します。生体認証クライアントPCと、
ICカード認証クライアントPCなど混在利用が可能です。
[特長]
・登録成功率100%の実現!(これまで25万人以上で利用されています。)
・可逆性0%の実現!(認証に使うデータは特徴量情報のみのため、指紋画像の
流用等の心配はありません。)
<ファットPCでの認証イメージ>
※WaysクライアントをファットPC上にインストール
※キャッシュされた指紋情報
に、入力した指紋と一致する
指紋があれば、ユーザ認証を
行いWindowsにログオンする。
①PCを起動し、
[Ctrl + Alt + B]キーを
押す
②指紋認証を行う
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
※キャッシュに一致する指紋
がない場合、ユーザ名を入力
させサーバから指紋情報を取
得する。
③Windowsログオン完了
※ファットPC環境のみ&LOCKインストール環境でのみ利用可能です。
※英語OSには非対応です。
24
4-4. 多要素認証 – [指ハイブリッド(指紋&指静脈)認証]
<指ハイブリッド認証のメリット>
「指紋+指静脈」の生体情報を利用した厳格な本人認証によるエンド
ポイントセキュリティを提供します。生体認証クライアントPCと、
ICカード認証クライアントPCなど混在利用が可能です。
[特長]
・世界初の「指紋+指静脈」による世界最高レベルの厳格な本人認証
・非接触による高い衛生面と運用性
・非接触のため、センサ面からの指紋盗難なし
<ファットPCでの認証イメージ>
①PCを起動し、
[Ctrl + Alt + B]キーを
押す
※WaysクライアントをファットPC上にインストール
②ユーザ名を入力
(前回ログオンユーザ名が表
示されています)
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
③指ハイブリッド認証を行う
④Windowsログオン完了
※ファットPC環境のみ&LOCKインストール環境でのみ利用可能です。
※英語OSには非対応です。
25
4-5. 多要素認証 – [ワンタイムパスワード認証]
<ワンタイムパスワード認証のメリット>
利用するたびに入力するパスワードが変わる、
いわゆる「使い捨てパスワード」です。
パスワードの盗用による不正利用を防ぎ、
安全性を高めます。
ユーザはパスイメージ(形)を記憶します。
複雑なパスワードポリシーに従った固定パスワード
よりはるかに覚えやすく、使いやすくなります。
<ファットPCでの認証イメージ>
①PCを起動し、[Ctrl +
Alt + Insert]キーを押す
※WaysクライアントをファットPC上にインストール
③Windowsログオン用アカ
ウントを入力
(ロック解除時は表示されま
せん)
②Ways用ユーザ名とワンタ
イムパスワードを入力
(スマートフォンなどの別端
末でマトリクス表を表示し、
パスイメージに沿ったパス
ワードを入力します)
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
※CSE社の「SECUREMATRIX」を利用
26
④Windowsログオン完了
4-6. 多要素認証 – [ID/パスワード認証]
<ID/パスワード認証のメリット>
ICカードや生体、ワンタイムパスワードなどの多要素認証
を利用せず、シングルサインオンのみを利用したい場合に
選択できる認証方法です。
認証デバイスを利用しないため、安価に導入できます。
※本認証のタイミングで「ワンタイムパスワード認証」を
利用することもできます。
<ファットPCでの認証イメージ>
①PC起動後、Windows
アカウントを入力し、
Windowsログオン
※WaysクライアントをファットPC上にインストール
③スタート画面にて、Ways
認証が自動起動。Ways用
ユーザ名パスワードを入力
②Windowsログオン完了
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
27
④Ways認証完了
(シングルサインオンをご利
用頂けます)
4-7. 仮想化(VDI)環境にて別端末からアクセスした時の動作
2
1
4
端末①
端末①
仮想デスクトップにアクセス
後、ICカードをかざし、
Windowsにログオン。
端末①
ログオン後、アプリケーション
を起動。
端末①で作業中の画面情報が
端末②のモニターに表示される。
端末②でログオンしたため、
こちらの画面はロック。
⇒セキュリティ向上!
3
端末②
端末①にログオンした同じユー
ザ、ICカードで別の端末から
仮想デスクトップにアクセスし、
Windowsログオン。
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
28
4-8. シングルサインオン
たくさんのサイト・アプリに、さまざまな端末から、
インテリジェントにシングルサインオン!
Webアプリケーションサーバの設定変更
不要で、Web以外のC/S系、Windows系
アプリへもシングルサインオン可能!
仮想化環境(Microsoft リモートデスクトップ
サービス、CitrixXenDesktop/XenApp、
VMware Horizon View)にも対応!
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
29
4-9. シングルサインオン – [代行入力型のメリット]
種類
代行入力方式
クライアントPCへインストールした
クライアントエージェントが対象ア
プリケーションを自動認識し、ユー
ザ名やパスワードの入力を代行する
。
リバースプロキシ方式
ユーザからの認証要求を一括して
受け付けるサーバを導入し、その
認証サーバで認証されたユーザの
みアプリケーションの利用を許可
する。
Webサーバにエージェントをイン
ストール・設定を行い、ユーザの
認証時にはエージェントが認証サ
ーバへ問い合わせる。
エージェント
リバース
プロキシ
サーバ
Webサーバ
エージェント方式
Webサーバ
Webサーバ
認証
サーバ
SSOの
仕組み
代行入力で
全てOK!
Webサーバ
Webサーバ
リバースプロキシを
経由しないアプリは
NG!
認証
サーバ
主な製品
C/Sアプリ
ファイルサーバ
ファイルサーバ
クラウドアプリ
エージェント
エージェントが適用で
きないアプリはNG!
C/Sアプリ
C/Sアプリ
クラウドアプリ
Webサーバ
ファイルサーバ
クラウドアプリ
 ARCACLAVIS Ways
 HP IceWall SSO
 HP IceWall SSO
IBM Tivoli Access Manager for
Enterprise Single Sign-On
 IBM Tivoli Access Manager for
e-business
 IBM Tivoli Access Manager
for e-business
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
30
4-10. シングルサインオン – [認証方式]
端末上に常駐している「Waysクライアント」が常に画面を監視しています。
登録されている認証画面が
表示されると・・・
タスクトレイから
ウィンドウ監視
Win32アプリケーション認証
フォーム認証
ベーシック認証
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
31
ID/パスワード自動入力&
自動ボタン押下でSSO!
4-11. シングルサインオン – [実現(設定)方法]
SSO対象のアプリケーションごとに定義ファイル(テンプレート)を作成します。
シングルサインオン対象
アプリケーション
ARCACLAVIS Ways
サーバ
認証テンプレートを
元にシングルサイン
オン情報を作成
認証テンプレートを
サーバに登録
認証
テンプ
レート
Ways認証後に
シングルサインオン
が利用可能に!
シングルサインオン対象アプリ
ケーションに対し、専用ツールで
認証テンプレート作成
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
32
4-12. シングルサインオン – [初回アカウント保存機能]
シングルサインオン利用開始時、ユーザ名/パスワードを利用者に登録させるこ
とができます※。シングルサインオン移行作業で管理者側でのパスワード登録作業
が不要となるため、管理者にかかる導入負荷を軽減できます。
各アプリケーションへの初回ログイン時に、アカウント情報の保存画面が表示されるため、
利用者は自分で管理しているユーザ名/パスワードを入力し、Waysサーバに保存!
アカウント情報の保存画面
利用者
Ways サーバ
アプリケーションのログイン画面を表示すると、初回ログイン時にアカウント情報の保存画面で
保存したユーザ名/パスワードが代行入力され、自動ログイン!
※シングルサインオン対象のシステム毎に利用者による登録、または管理者による登録かを選択できます。
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
33
4-13. シングルサインオン – [パスワード自動変更機能]
アプリケーションごとのポリシーに合わせて、パスワードを自動的に変更するこ
とができます。変更の手間を大幅に軽減できます。
管理者により設定されたアプリ
ケーションごとのポリシーでパ
スワードが自動変更される!
アプリケーションごとにポリ
シーが違うから定期的なパス
ワード変更がかなりの手間…
•4~32文字
•英大小数字記号
•英単語禁止
•6世代前まで記憶
•8~32文字
•英大小数字のみ
•記号不可
•1世代前まで記憶
グループウェア
新しいパスワード
********
新しいパスワード
************
パスワードの確認
********
パスワードの確認
************
パスワード変更
パスワード変更
グループウェア
C/Sアプリ
♪
C/Sアプリ
<流れ>---------------------------------------------------------------------------------------------------①パスワードを変更したいアプリケーションにログイン(SSO)する。
②アプリケーションのパスワード変更画面を表示する。
③パスワード変更画面を検知すると、新たにWays用のパスワード変更画面が表示される。(右)
④ポリシーに合わせたパスワードを自動生成し、アプリケーションのパスワード変更画面に、
「現在のパスワード」と「新パスワード」を代行入力&[変更]ボタンを押下してパスワード変更。
------------------------------------------------------------------------------------------------------------------------------
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
34
4-14. シングルサインオン – [認証方法(SSOのみの場合)]
SSO機能のみを利用する場合、以下の4つの認証パターンがあります。
PC電源
ON
普段と同様にWindowsログオン
端末ごとに選択可能
ワンタイムパスワード認証
ログオン後に表示されるWays認
証画面でワンタイムパスワードを
入力して認証を行います。
ICカード認証
ログオン後に表示されるWays認
証画面でICカードをかざし、パス
ワードを入力して認証を行います。
※[ワンタイム…利用する]にチェック
セキュリティ (高)
利便性 (低)
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
ID/パスワード認証
Windowsログオン連携認証
ログオン後に表示されるWay認証
画面でWaysユーザ名とパスワー
ドを入力して認証を行います。
Windowsログオンすると同時に
Windowsアカウントを利用して
自動的にWays認証を行います。
※Active Directory環境必須
セキュリティ (低)
利便性 (高)
35
4-15. シングルサインオン – [コスト試算例]
ID/パスワード管理に
関するコスト試算例
ユーザ数
前提条件
営業日
240日
1日の作業時間
8時間
SSO対象システム
年間パスワード変更回数
1
管理者パスワードリセット
想定工数
利用者パスワードリセット
想定工数
利用者パスワード入力
想定工数
利用者パスワード変更想定工数
10分
2.08
人月
10分
2.08
想定入力ミス割合
人月
10%
パスワード入力時間
3秒
13.75
変更に要する時間
人月
1分
4.17
人月
管理者年間工数
2.08
人月
利用者年間工数
20
人月
総年間工数
22.08 人月
36
情報システム管理者
のコスト
2回
1回あたりの対応(リセット)時間
年間総パスワード変更人月
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
2回
1人あたりのパスワード忘れ年間回数
年間総パスワード入力人月
4
4回/システム
1回あたりの対応(リセット)時間
年間総パスワードリセット人月
3
10システム
1人あたりのパスワード忘れ年間回数
年間総パスワードリセット人月
2
1,000人
利用者のコスト
4-16. 暗号機能
ドライブ、フォルダ、外部メディアの自動暗号/復号ができます。
ネットワーク上の共有フォルダの自動暗号/復号も可能です。
・“マイ ドキュメント”フォルダ
・“ネットワーク共有”フォルダ
・"E:¥のUSBメモリ"
・"C"ドライブは自動暗号
マイドキュメント
ローカル
ディスク(C:)
ネットワーク共有
暗号化ドライブ/フォルダと
して指定した場所にファイ
ルを保存するだけで自動暗
号化!
リム―バブル
ディスク(E:)
※ Windows 7(x86/x64)環境のみ対応しています。
※英語OSには非対応です。
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
37
4-17. 暗号機能 – [ブリーフケース機能]
自宅に個人情報の入ったデータをUSBメモリで持ち出したり、外部業者に
ファイルをメールしたりするとき、暗号化しデータを持ち出すことができます。
ENCRY ブリーフケースでデータのカプセル化を実現


パスワードで暗号/復号。専用のツール内で編集・更新
有効期限を設定し、期限過ぎた場合には自動的に削除
社内
メールで添付
取引先など
ENCRYブリーフ
ケースファイル
パスワードで復号
読み取りのみ許可
数日で自動削除
ABC
ABC
ENCRYブリーフ
ケース復号ツール
ABC
ABC
パスワードで暗号
ご自宅
ENCRYブリーフ
ケースファイル
ARCACLAVIS
ENCRY-Pro
USBメモリで
持ち帰り
ENCRYブリーフ
ケースファイル
ENCRYブリーフ
ケース復号ツール
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
38
パスワードで復号
編集して再暗号
ABC
ABC
4-18. ログ収集機能
ログ収集機能で、いつ?どの端末を?誰が?使用したか分かります。
共有PC/共有IDで利用する環境でも、ログに記録されている情報を元に、
利用者を特定することができます。
“いつ?”をログオン日
時から特定
“どのICカード?”をIC
カード欄から特定
【Ways管理画面】
“誰が?”をログオンユーザ名から特定
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
“どのシステムに?”をURLから特定
39
“どこから?”をログオン元
のコンピュータ名から特定
4-19. Active Directory連携機能 (オプション)
Active Directory へのユーザ追加・削除を監視し、更新があれば、
Waysサーバのユーザ情報を自動的に同期(連携)します。
Ways サーバ
ユーザ認
証情報
一定時間
ごとに監視
④
①
③
特定のフォルダから
CSV自動インポート
機能を使用し、管理
サーバに取り込む
②
Active Directory
ユーザ アカウント
の情報を取得
Active Directory
連携モジュール
追加・削除されたユー
ザ アカウントの情報
をCSVファイルに保存
CSV自動
インポートフォルダ
※Windows サーバ環境でのみ利用できます
※CSV形式のファイルを自動でWaysサーバに取り込む運用を行う場合(CSVアップローダ)も本オプションが必要です。
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
40
4-20. IDM連携機能 ~ JINPRO連携例
ARCACLAVIS Waysとワークフロー+アカウント統合管理システム「JINPRO」のワークフロー機能
+自動プロビジョニング機能を連携することにより社内利用システムへのリアルタイムなアクセス
コントロールを実現することが可能になります。
CSV
申請/承認ワークフローエンジン
XML
パスワード
変更
人事システム
◆承認経路・承認権限
専用パスワード変更画面より、
連携システム全てのパスワード変
更
◆利用システムマスタ
バッチ連携で組織・社員情報の取込み、
利用システムの洗い替えを行う
◆申請/承認情報
プロビジョニングエンジン
管理画面(Web)
からの人事情報登録
プロビジョニングは決裁後の
リアルタイム設定とバッチ設定
(予約申請分)の両パターンを実
装
他社製プロビジョニング
製品との連携も可能
他社製品との連携アダプタ
アカウント
作成・削除・修正
アカウント
作成・削除・修正
アカウント
作成・削除・修正
アカウント
作成・削除・修正
SSO
各種リソース
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
ARCACLAVIS Ways
ディレクトリサーバ
Active Directory
41
DBサーバ
※ ARCACLAVIS Ways V5.1の新機能 (1/2)
※2015年4月
<対応環境の追加>
【Waysクライアント】
下記環境にWaysクライアントをインストールし、利用できるようになりました。
●SBC環境(Microsoft RDS、 Citrix XenApp 6.5、 Citrix XenApp 7.1、Citrix XenApp 7.5)
・ Windows Server 2012 Standard (x64)
・ Windows Server 2012 R2 Standard Updateなし(x64)
●VDI環境(Citrix XenDesktop 7.5)
・ Windows 7 Professional/Enterprise/Ultimate SP1 (x86/x64)
・ Windows 8 Pro/Enterprise SPなし (x86/x64)
・ Windows 8.1 Pro/Enterprise Updateなし/Update (x86/x64)
●iOS
・iOS 8.2
<対応デスクトップ仮想化システムの追加>
【対応デスクトップ仮想化】
新たに以下のデスクトップ仮想化環境に対応しました。
●Citrix XenDesktop
・Citrix XenDesktop 7.5
・Citrix XenApp 7.5
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
42
※ ARCACLAVIS Ways V5.1の新機能 (2/2)
※2015年4月
<認証デバイスの追加>
●非接触ICカード
・NXP Semiconductors Mifare Classic 1K(4-byte NUID)
●非接触ICカードリーダ・ライタ
・ACS ACR 1251
●生体認証
・NEC非接触型指ハイブリッドスキャナ(HS100-10)
・DDSハイブリッド指紋認証ユニット(UBF-neo/UBF-Tri)
※ファットPC環境のみ&LOCKインストール環境でのみ利用可能です。
※英語OSには非対応です。
<機能追加>
●乱数パスワード機能の追加
ARCACLAVIS Waysが生成した乱数パスワードを使いWindowsに自動ログオンできるようになり
ました。 ※ファットPC環境のみ対応しています。
●暗号機能の追加
フォルダ/ドライブ/リム―バブルメディア/USBメモリの自動暗号/復号ができるようになりました。
※ファットPC(Windows 7)環境のみ対応しています。
※英語OSには非対応です。
●ICカードのセット状態判定機能の強化
ICカードをかざした状態ではARCACLAVISを利用可、取り外すと利用不可という設定ができる
ようになりました。(非タッチモード)
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
43
※ お問合わせ先
ジャパンシステム株式会社
システム基盤事業本部 営業部
TEL
03-5309-0320
FAX
03-5309-0313
E-mail
URL
Copyright © 2015 Japan Systems Co., Ltd. All Rights Reserved.
[email protected]
http://www.japan-systems.co.jp/
44
Fly UP