BIG-IP APMとPassLogicで実現する 高セキュア&高パフォーマンスのマルチデバイス認証インフラ パスロジ株式会社 酒井寛庸 採用実績 企業数 200 150 100 50 0 2007 2008 2009 2010 2011 2012 2013 2014 導入企業 発行ライセンス数 1,000,000 ID ※2015年1月現在 サービスプロバイダ ・NTTコミュニケーションズ モバイルコネクト ・NTTPCコミュニケーションズ Master’s ONE ・ソフトバンク ホワイトクラウド ワンタイムパスワード ・KDDI KDDI Flex Remote Access ・IIJ IIJ GIOリモートアクセスサービス ・富士通 FENICSⅡ ・NEC UNIVERGE Live ・大塚商会 O-CNET AIR GATE ・エクサファクトリー ワンタイムパスワード認証ASP ・スターネット STAR-AUTH ・外為どっとコム コンシューマ向け外貨取引 ・ディーアイエスソリューション PassLogic on SaaS ・大手金融系 法人向けサービス 金融 ・都市銀行 行内利用/メールの認証 ・信託銀行 法人向けWebサービス ・証券会社A 仮想デスクトップ ・証券会社B 社内利用/リモートアクセス ・証券会社C リモートアクセス/メール 官公庁 ・官公庁(中央省庁)メールシステムの認証 ・官公庁系外局 研究所 メールシステムの認証 (C) 2016 PASSLOGY Co.,Ltd ・独立行政法人系外郭団体 会員向けWebシステム ・中央省庁所管 独立行政法人 リモートアクセス 製造業・工業 ・食品系会社 メールの認証 ・食品系会社 グループウェアの認証 ・製薬会社A リモートアクセス ・製薬会社B メール ・精密機器製造会社 リモートアクセス/メール ・電子部品製造会社 仮想デスクトップ ・金属製品製造会社 リモートアクセス ・衣服製造会社 リモートアクセス/グループウェア 文教 ・関西大学 全学/学内ポータル ・大手総合大学 リモートアクセス ・文教系グループ 仮想デスクトップ ・高等専門学校 リモートアクセス ・私立学校法人 BCP対策用リモートアクセス 広告・マスコミ ・テレビ局(キー局) ユーザー管理システム(WEB) ・テレビ局(キー局) グループ企業間Web ・新聞社 リモートアクセス ・新聞社 情報共有Web ・インターネットメディア ニュース配信システム ・ラジオ局 CMS ・大手広告 仮想デスクトップ/リモートアクセス 医療・エネルギー・サービスなど・その他 ・病院A VPN/仮想デスクトップ ・病院B グループウェア ・エネルギー(石油、ガス)事業社 受発注システム ・航空会社 リモートアクセス ・道路関事業会社 VPN メールシステム ・大手ゲームメーカー SSL-VPN ・海洋施設関連企業 リモートアクセス ・通信関連企業 スマートフォン用アプリ(組込み) ・株式会社一休 CiscoASAの認証 ・リース関連会社 会員向け業務システム ・PC関連機器開発会社 VDI ・電力会社 法人向けASP など クラウドサービス提供事業者 13社 ワンタイムパスワード認証サービスの標準方式へ * 一部の代表的な導入例です。 リモートアクセスの現状と課題 現在のトレンドと課題 従業員 デスクトップ@オフィス 契約社員 ノートPC 社内システム データセンター 現在のトレンドと課題 誰が 雇用形態 の多様化 従業員 何で マルチデバイス化、 ロケーションの多様化 スマホ@地下鉄 何に アプリの場所の多様化 プライベートクラウド ハイブリッドクラウド 従業員(役員) デスクトップ@オフィス 契約社員 パートナー iPad@顧客先 ノートPC@自宅 Salesforce Cloud PassLogic紹介ムービー 誰が 何で 何に (C) 2016 PASSLOGY Co.,Ltd を総合的にコントロール 三位一体の認証インフラ Personal Identification デバイス (本人確認) Device Identification (端末確認) Access Control (アクセスコントロール) (C) 2016 PASSLOGY Co.,Ltd アプリケーション PassLogicとは? 固定パスワードの課題 固定パスワードの問題 辞書に掲載されているような単語を使う 誕生日や電話番号など身近で覚えやすい数字を使う 複数のシステムで同じパスワードを使いまわす 企業の対策 パスワードのメモを禁止 8桁以上の意味のない英数字(大小)・記号の羅列 90日ごとに利用している全てのログイン用パスワードを変更 複数のシステムで共通するパスワードを禁止 実際の運用 プライベートで使っているパスワードと同じパスワードを業務システムで使っている ブラウザにパスワードを保存している 定期的なパスワード変更は1文字だけ変えて済ませている 液晶モニターにメモを貼ることはやめたが、実はメモしている セキュリティの向上のためのセキュリティ・ポリシーに加えてシステムが 必要 (C) 2016 PASSLOGY Co.,Ltd 10 ワンタイムパスワードとは ワンタイムパスワードは、ログインごとに毎回異なる値のパスワードを入力します。 繰り返し同じパスワードを使わないことでセキュリティを高め、固定パスワードの 課題を解決します。 1回目の ログイン Password: ****** Password 571803 Login 2回目の ログイン Password: ****** Login Password 860217 毎回異なるパスワードでログイン 同じパスワードを繰り返し使わないため、セキュリティが向上 (C) 2016 PASSLOGY Co.,Ltd 11 ログインの悩みをPassLogicが解決! 固定パスワードが不要! トークンデバイス不要! 70%コスト 年間 DOWN 覚えやすさ セキュリティ 大幅UP 複雑で覚えにくいパスワード 123456 H3$zaQe6 不 要 不 要 経営者 運用管理者 利用者 コスト セキュリティリスク 大幅に低減 トークン管理不要 運用の自動化 Webベースの管理 覚え難いPW不要 トークン不要 セキュリティUP (C) 2016 PASSLOGY Co.,Ltd 12 PassLogic紹介ムービー (C) 2016 PASSLOGY Co.,Ltd 利用者の声 - 2015年2月のアンケート結果より 操作がシンプルで一度理解するとカンタンに使える。 パスワード忘れの対応件数が減った。 トークン管理の手間がなくなった。 ブラウザの設定が不要で、メンテナンスと運用がラク。 他の多数のシステムと連携して、シングルサインオンが実 現した。 外出時にモバイル端末で業務をすることが多くなった。 (C) 2016 PASSLOGY Co.,Ltd 14 エンタープライズ向けの多彩なポリシー設定 項目名 項目の説明 ロック・アウトまでの連続失敗回数 連続で認証失敗した回数が設定値に達したユーザはロックされます。 ロック・アウト解除までの秒数 指定した秒数でロック・アウト状態が自動的に解除されます。 認証可能な時間帯 指定時間帯のみ認証することができます。 端末固定 認証可能な端末(ブラウザ)を固定します。 ADパスワード保存 アカウントを AD で管理されているユーザが PassLogic へログインするときに入力した AD パスワードを PassLogic デ ータベースに保管します。*AD パスワードが保存されたユーザは、次回以後のログインで AD パスワードの入力を省略で きます。 パラメータ設定機能の利用 ユーザー自身にPassLogicの拡張パラメータを変更させたい場合に利用します。主にシングルサインオン用のパスワード登 録をしてもらうために利用します。 乱数表の有効期限 PassLogic 乱数表の有効時間を設定します。 再設定時の制限 直近 n 回と同じシークレットパターンの設定を禁止します。 シークレットパターンの有効期限 シークレットパターンを定期的に変更させたい場合に日数を設定します。 初回パスワード変更を強制 初回利用時と管理者によるパスワード強制変更後にパスワードの変更をユーザに強制します。 パスワード変更時に現在のパスワードを確認する ユーザが PassLogic ログイン中に任意のパスワードを変更する前に、現在のパスワード確認を要求するか否かを設定します。 乱数表の縦横サイズ 乱数表のサイズを桁数で設定できます。 ワンタイムパスワードの長さ ワンタイムパスワードの長さを指定します。 ランダム発行時の長さ 初期シークレットパターンをランダム生成するときの長さを指定します。 スタティックパスワードの長さ スタティックパスワード(固定パスワード)の長さを指定します。 シークレットパターンの制約 安易なシークレットパターンの使用を制限します。 ・ 一筆書き禁止 ・ 全てのブロックから必ず 1 つ以上選択 ・ 設定禁止シークレットパターン[個別に禁止パターンを登録] パスワードリマインダーの利用を許可 (C) 2016 PASSLOGY Co.,Ltd ユーザがパスワードを忘れてしまった時に、ユーザ自身でパスワードを再発行できる機能の使用可否を設定します。 15 対応する連携プロトコル PassLogicは、広く普及するプロトコル採用していますので、システム間の連携に関するトラブ ルが少なく、また連携設定もとても簡単です。 SSL-VPN RADIUS RADIUS シングルサインオン 社内LANへ HTTP HTTP (リバースプロキシ) (リバースプロキシ) 業務システムのログインを統合! たった一度の認証だけで 多くの業務システムへログイン。 社内Webアプリケーションへ VPN クラウド・サービス VDI (Google Apps、salesforce、cybozu.comなど、Office365) SAML2.0 Collaborative Software ADFS Module or API Office365 Mail Cloud ログインに費やして いた無駄な時間を 短縮し、本来の業 務に専念できる! Office365 連携用モジュール (C) 2016 PASSLOGY Co.,Ltd 16 パスワードの再発行機能 セルフリマインダによる再発行(ユーザ自身でリカバリ) ユーザーサポートの課題 専任のシステム担当者がいない 夜間・休日のサポートはできない パスワード何 だっけ? 1)パスワードの再発行を依頼 2)本人のメールに確認用URLを通知 3)URLをクリック 4)新規パスワード通知 (C) 2016 PASSLOGY Co.,Ltd PassLogic 17 ユーザー追加とサポートの自動化 ユーザー追加の自動化 LDAP / AD / CSVと 連携しユーザー追加・編集・削除 を自動化 PassLogicにADアカウント を自動追加 管理者はADのアカウン トのみ管理 管理者 利用 ユーザアカウント同期 Active Directory 利用者 PassLogic POINT 管理者はADのアカ ウント管理をするだ けでOK! (C) 2016 PASSLOGY Co.,Ltd LDAP / AD認証問い合わせ 業務システムA 業務システムB 18 冗長化構成 データ・レプリケーション機能で冗長構成や災対環境の構築が可能です。 アクセスの振り分けには別途ロードバランサ―が必要です。 冗長化構成 災害対策用構成(ディザスタリカバリ構成) ロードバランサ * スティッキーセッション不要です。 PassLogic 1 PassLogic 2 Act Act PassLogic メインサイト PassLogic サブサイト Replication * リアルタイム同期 Replication * リアルタイム同期 ※レプリケーションはPostgreSQL(pgpool)の機能で行われます。 (C) 2016 PASSLOGY Co.,Ltd 19 BIG-IP連携ソリューション 解決課題 1. リモートアクセスの際に、固定パスワードだけでは リスクがあるのでワンタイムパスワードを利用した い。 2. 加えて、デバイスの認証を人と紐づけて行いたい。 3. 人と端末を確認したうえでアクセスコントロールを 行いたい。 4. デバイス固有情報の収集を自動化したい、再発行や 機種交換時も自動化したい。 (C) 2016 PASSLOGY Co.,Ltd システム構成 APMが得たユーザアカウントと、デバイス固有情報やADなど既 存認証基盤のパスワード等を、APMからPassLogicへAPI経 由でPassLogicのAttributeに自動的に登録する。 アプリケーション RADIUS OTP認証 (C) 2016 PASSLOGY Co.,Ltd APMで取得した情報をAttribute に登録するAPI 連携動画 – 端末登録 (C) 2016 PASSLOGY Co.,Ltd 連携動画 – 登録されていない端末 (C) 2016 PASSLOGY Co.,Ltd 連携ソリューション 誰が PassLogic 何で APM+PassLogic 何に APM (C) 2016 PASSLOGY Co.,Ltd 連携事例 「数万名が毎朝 一斉にデスクトップにログオンしても認証で待たせたくない。 F5 BIG-IPとPassLogicの組み合わせが最良だと判断しました。」 社内環境 社内 ネットワーク F5 BIG-IP APM シングルサインオン 数万名 OTP認証 インターネット Edge Client 社員やパートナー企業 5,000名を対象に在宅勤務環境 iPhone/iPad (C) 2016 PASSLOGY Co.,Ltd 背景/セキュリティ課題 ソリューション ●VDIによりクライアントにデータが 保存されない ●場所や端末に依存しない勤務環境を 実現 ● VDIへのアクセスを如何に安全にするか ●本人確認:ワンタイプパスワード ●上記のアクセス連携をBIG-IPで 実現し、ポリシー違反があれば アクセス拒否 ●一斉ログオンのパフォーマンスが良かった まとめ トークンレス・ワンタイムパスワードでセキュアな本 人確認、コストも低減 利用者とデバイスを紐付けてアクセスをコントロー ル 利用者と複数のデバイスの紐付けも自動化して 運用 機種変更時のデバイス紐付けも自動化 大規模運用に適した機能とパフォーマンスと多数 の連携実績 (C) 2016 PASSLOGY Co.,Ltd [email protected] (C) 2016 PASSLOGY Co.,Ltd
© Copyright 2024 ExpyDoc
