会社概要 社名 パスロジ株式会社 (PassLogy Co.,Ltd.) 住所 東京都千代田区神田小川町 設立 資本金 業務内容 役員構成 特許権取得 参加団体 2000 年 2 月 24 日 1 億円 セキュリティソフトウェア開発販売 代表取締役社長小川秀治 元イー

PassLogic

エンタープライズ版

トークンレス・ワンタイムパスワード

会社概要

「乱数表から抜き出してワンタイムパスワードを生成する」

システムPassLogic (パスロジック)認証方式を発明。

1997年

PassLogic (パスロジック)認証方式が米国特許(US6141751)

を取得。パスロジック方式の技術ライセンスを日本企業へ提供する

会社として株式会社セキュアプロバイダを設立。

2000年

取得特許総数が28件を突破。

2012年

パスワード変更方法が日本国特許（JP4275080）を取得。

2009年

認証サーバ製品群を販売開始。

INTEROP TOKYO 2007でセキュリティ部門特別賞受賞。

2007年

特許取得を契機に、VC2社より出資を受け、オリジナル認証

サーバ製品の開発を開始。社名を株式会社セキュアプロバイダ

からパスロジ株式会社へ変更。

2006年

2005年

パスロジック方式を2経路に強化したシステムが日本国特許

(JP3809441)を取得。

発行ライセンスが100万IDを突破。

2014年

≪沿革≫

社名

パスロジ株式会社（PassLogy Co.,Ltd.）

住所

〒101-0052 東京都千代田区神田小川町3-26-8

設立

2000年2月24日

資本金

1億円

業務内容

セキュリティソフトウェア開発販売

役員構成

代表取締役社長 小川 秀治

※元イー・ゴルフ株式会社（SBIグループ）代表取締役会長

取締役ＣＴＯ 酒井 寛庸

取締役（社外） 吉田 惠子

（公認会計士・芝会計事務所代表）

取締役（社外） 石井 裕一郎

（工学博士・特定侵害訴訟代理業務可能弁理士）

監査役（常勤） 上西義行

監査役 行方 國雄

（弁護士・ＴＭＩ総合法律事務所パートナー）

特許権取

得

【15件】日本

【6件】米国

【3件】中国

【2件】韓国、オーストラリア

【1件】オーストリア、ベルギー、スイス、リヒテンシュタイン、デンマー

ク、スペイン、フランス、フィンランド、イギリス、アイルランド、イタリア、

ルクセンブルク、モナコ、オランダ、

スウェーデン、トルコ、ドイツ

参加団体

SSFC/Shared Security Formats

フィッシング詐欺対策協議会

Stop Think Connect

世界初の表示形式を採用したパスワード生成・管理アプリ

「PassClip」の提供開始

代表的な導入例

※2015年1月現在

サービスプロバイダ

NTTコミュニケーションズ モバイルコネクト NTTPCコミュニケーションズ Master’s ONE ソフトバンク ホワイトクラウド ワンタイムパスワード

KDDI KDDI Flex Remote Access

IIJ IIJ GIOリモートアクセスサービス

富士通 FENICSⅡ

NEC UNIVERGE Live

大塚商会 O-CNET AIR GATE

エクサファクトリー ワンタイムパスワード認証ASP スターネット STAR-AUTH 外為どっとコム コンシューマ向け外貨取引 ディーアイエスソリューション PassLogic on SaaS 大手金融系 法人向けサービス

金融

都市銀行 行内利用/メールの認証 信託銀行 法人向けWebサービス 証券会社A 仮想デスクトップ 証券会社B 社内利用/リモートアクセス 証券会社C リモートアクセス/メール

官公庁

官公庁（中央省庁）メールシステムの認証 官公庁系外局 研究所 メールシステムの認証 独立行政法人系外郭団体 会員向けWebシステム 中央省庁所管 独立行政法人 リモートアクセス

製造業・工業

食品系会社 メールの認証 食品系会社 グループウェアの認証 製薬会社A リモートアクセス 製薬会社B メール 精密機器製造会社 リモートアクセス/メール 電子部品製造会社 仮想デスクトップ 金属製品製造会社 リモートアクセス 衣服製造会社 リモートアクセス/グループウェア

文教

関西大学 全学/学内ポータル 大手総合大学 リモートアクセス 文教系グループ 仮想デスクトップ 高等専門学校 リモートアクセス 私立学校法人 BCP対策用リモートアクセス

広告・マスコミ

テレビ局（キー局） ユーザー管理システム（WEB） テレビ局（キー局） グループ企業間Web 新聞社 リモートアクセス 新聞社 情報共有Web インターネットメディア ニュース配信システム ラジオ局 CMS 大手広告 仮想デスクトップ/リモートアクセス

医療・エネルギー・サービスなど・その他

病院A VPN/仮想デスクトップ 病院B グループウェア エネルギー（石油、ガス）事業社 受発注システム 航空会社 リモートアクセス 道路関事業会社 VPN メールシステム 大手ゲームメーカー SSL-VPN 海洋施設関連企業 リモートアクセス 通信関連企業 スマートフォン用アプリ（組込み） 株式会社一休 CiscoASAの認証 リース関連会社 会員向け業務システム PC関連機器開発会社 VDI 電力会社 法人向けASP など

発行ライセンス数

1,000,000

ID

世界が認めたパスワード認証

(C) 2016 PASSLOGY Co.,Ltd * 一部の代表的な導入例です。 クラウドサービス提供事業者

13

社

ワンタイムパスワード認証サービスの標準方式へ

3

2015年2月のアンケート結果より

利用者の声

操作がシンプルで一度理解するとカンタンに使える。

パスワード忘れの対応件数が減った。

トークン管理の手間がなくなった。

ブラウザの設定が不要で、メンテナンスと運用がラク。

他の多数のシステムと連携して、シングルサインオンが実現した。

外出時にモバイル端末で業務をすることが多くなった。

好意的なお声をたくさんいただきました。

ワンタイムパスワードとは

＊＊＊＊＊＊

Password: Login

1

回目の ログイン

＊＊＊＊＊＊

Password: Login

2

回目の ログイン

ご存知の通り固定パスワードには様々なセキュリティ課題が報告されています。

* 固定パスワードの課題は次のページ参照

ワンタイムパスワードは、ログインごとに毎回異なる値のパスワードを入力します。

繰り返し同じパスワードを使わないことでセキュリティを高め、固定パスワードの

課題を解決します。

Password

571803

Password

860217

毎回新しいパスワードでログイン

同じパスワードを繰り返し使わないので、

不正ログインは難しい

(C) 2016 PASSLOGY Co.,Ltd 5

固定パスワードの悩み

企業の対策

実際の運用

固定パスワードの問題

 辞書に掲載されているような単語を使う

 誕生日や電話番号など身近で覚えやすい数字を使う

 複数のシステムで同じパスワードを使いまわす

セキュリティの向上およびコンプライアンスの徹底には

「従業員の努力」ではなく、システム化が求められる

 パスワードのメモを禁止

 8桁以上の意味のない英数字（大小）・記号の羅列

 90日ごとに利用している全てのログイン用パスワードを変更

 複数のシステムで共通するパスワードを禁止

 プライベートで使っているパスワードと同じパスワードを業務システムで使っている

 ブラウザにパスワードを保存している

 定期的なパスワード変更は1文字だけ変えて済ませている

 液晶モニターにメモを貼ることはやめたが、実はメモしている

一方、実直にパスワードポリシー

を守ったユーザーは…

パスワードが覚えられず

サポート大幅増

ジレンマ

 生体認証も…

 生体情報の登録が大変  デバイスの故障や読み取り制度の問題がある  生体情報が漏えいしたらただ事じゃ済まない

ハードウェアトークンの悩み

■ユーザの悩み

■管理者の悩み

■経営者の悩み

 トークンは面倒だ…

 現場に持っていくのを忘れた。ログインができず業務が一時ストップ…  紛失してしまって始末書を書くはめに…  ポケットに入れたまま洗濯した。  USB差込み口がすぐに壊れる。  海外出張で暗号化製品の持ち込み手続きに苦慮した。

 大切な情報を守るために全社員にワンタイムパスワードを使わせたいが、

トークンはユーザー数に比例して負担が膨大になるため難しい…

 ユーザー毎にトークンを配布するのは大変。  トークンの故障や紛失のたびに購入しなおして利用者に渡さなければならない。  トークンの管理（紛失・電池切れしていないかなどの棚卸）が非常に大変。  時間同期ズレのサポートが大変。

 リモートアクセスは今や競争力強化のために必須！

多くの従業員に使わせたいがセキュリティ対策にはコストが掛かりすぎる…

 トークンの購入費用が高い  紛失、故障の買い直しに膨大なコストがかかる。  震災時にトークンを配れるだろうか？ (C) 2016 PASSLOGY Co.,Ltd 7

 クライアント証明書も…

 証明書配布や承認、更新が大変だし…  BYODの個人端末へのインストールには抵抗 がある。また従業員が退職した時にどうしよう

ログインの悩みをPassLogicが解決！

経営者 運用管理者 利用者

トークン管理不要

運用の自動化

Webベースの管理

覚え難いPW不要

トークン不要

セキュリティUP

コスト

セキュリティリスク

大幅に低減

ハードウェアトークンが必要ないPassLogicは、約70%（最大76％）ものコスト削減・低減を実現します。1企

業あたりのリモートアクセス利用者が増加する中、トークンはユーザ数に比例してコストや運用負荷が高くなりすぎる

ため、利用者規模の拡大には高いハードルがあります。PassLogicはトークンを配布しなくてもよく、規模の大きな

システムでも無理なくご利用いただけます。

年間

70

％

コスト

DOWN

123456

トークン不要！

大幅

UP

覚えやすさ

セキュリティ

固定パスワードが不要！

複雑で覚えにくいパスワード

H3$zaQe6

不 要 不 要

認証の仕組み

※マス目をクリックするのではなく、キーボードを使って数字入力します。

2. ログイン時は登録した【マス目の位置】の数字を【順番】通りに抽出し、パスワードとして使用。

1. 【マス目の位置】と【順番】（シークレットパターン）がパスワードになる。

ログイン手順

たった

3ステップ

だけで簡単にログイン！

STEP1

ユーザー名を入力

STEP2

パスワードを入力

STEP3

ログイン完了

三 × □ ＿ 三 × □ ＿ ポータルメニューを表示 （省略可） (C) 2016 PASSLOGY Co.,Ltd

複数のアプリと

連携する際に便利！

各種アプリケーションにシ

ングルサインオンできます。

三 × □ ＿ * 画面はF5 BIG-IP APM 11

ログイン手順

２段階認証

（LDAP / ActiveDirectory認証の追加）

三 × □ ＿

①LDAP/AD アカウント入力

三 × □ ＿ 三 × □ ＿

②パスワード入力

_{③ログイン完了}

二段階目

LDAP / ADのアカウントを使って

PassLogicを利用開始！

一段階目

LDAP / AD の認証を追加することが可能！

POINT

1. LDAP / ADのアカウント情報があれば利用を開始できます。

（LDAP / ADログインがOKの場合にパターンの設定が開始！）

2. ユーザーが入力した LDAP / AD のアカウントをPassLogicが

保持し、次回以降の入力を省略可能。

3. PassLogicが保存した LDAP / AD のアカウントをバックエン

ドの連携製品に引き継ぎシングルサインオンすることが可能！

ログイン手順

２要素認証

(C) 2016 PASSLOGY Co.,Ltd

①ユーザIDを入力

三 × □ ＿ 三 × □ ＿

②パスワード入力

③ログイン完了

マス目の場所で覚える 三 × □ ＿

ソフトウェア型トークンが利用可能！

時間同期（TOTP）方 式のワンタイムパスワード

iOS,Android

専用アプリ

13

Webトークンによるログイン

三

×

□

＿

Windows 標準クライアント

Horizon View Client

Cisco ASA AnyConnect / FortiClient

SonicWall NetExtender / PaloAlto など

主なクライアントソフト

Juniper JunosPulseやF5 EdgeClientはWebトークン以外の連携方法が用意されています。

専用クライアントソフトの認証強化にも使える！

乱数表を表示できない

専用クライアントソフトのログインにも！

ブラウザで乱数表だけを表示

対応する連携プロトコル

SSL-VPN

クラウド・サービス

(Google Apps、salesforce、cybozu.comなど)

社内LANへ

RADIUS

HTTP

(リバースプロキシ)

社内Webアプリケーションへ

Office365

PassLogicは、世界的に広く普及する連携方式を採用していますので、システム間の連携に

関するトラブルが少なく、また連携設定もとても簡単です。

RADIUS

HTTP

（リバースプロキシ）

SAML2.0

Module or API

(C) 2016 PASSLOGY Co.,Ltd

ADFS

Office365 連携用モジュール Mail VPN VDI Cloud Collaborative Software

シングルサインオン

業務システムのログインを統合！

たった一度の認証だけで

多くの業務システムへログイン。

ログインに費やして

いた無駄な時間を

短縮し、本来の業

務に専念できる！

15

連携検証済み製品

SSL-VPN / IPsec / ソフトウェアVPN

• Cisco ASA

• BIG-IP APM

• Juniper SA / MAGシリーズ

• FortiGate

• ArrayAG

• SonicWALL

• PaloAlto

• CheckPoint

グループウェア＆WEBメール

• デスクネッツ ネオ

• サイボウズ Office

• サイボウズ ガルーン

• Outlook Web Access

• Active!mail

※ 検証当時のバージョンによる検証となります。 ※ 掲載しているアプリケーションは全ての動作を保障するものではありません。 ※ バージョンやカスタマイズ状況によっては、一部機能が制限される場合があります。 ※ 会社名、団体名、製品及びサービス名などは、各社または各団体の商標もしくは登録商標です。

クラウド

• Office 365

• VMware Horizon Air (Horizon DaaS)

• Google Apps

• Salesforce

• cybozu.com

仮想デスクトップ

• Citrix NetScaler

（XenApp/XenDesktop連携）

• VMware Horizon View

乱数表のサイズ変更

乱数表のマス目の数（サイズ）を1桁単位で柔軟に変更可能です。

表示例）4 x 8の場合

表示例）1 x 12の場合

ガイドの表示

(C) 2016 PASSLOGY Co.,Ltd

乱数表にガイドを付けることができます。

（設定で ON/OFF が可能）

パターンを覚えやすくしたり、電話サポートなどでご利用いただけます。

電話を使ったサポートが必要な場合

でも、座標によりマス目の場所を正

確に伝えることができます。

管理ツールの設定項目

19

ロゴ変更・メッセージ変更・言語追加

管理ツール上から簡単にロゴの差し替えや表示メッセージの

編集が可能です。

管理ツールの設定項目

対応言語の追加

（英[en] / 日(ja) は標準で登録済み）

表示メッセージ編集

ロゴの差し替え例

ユーザIDの入力方法

(C) 2016 PASSLOGY Co.,Ltd 21

LDAP/ADなどのディレクトリサーバと、ユーザID同期を行う場合の

ドメインの入力方法が選択できます。

ドメインをプルダウンで選択

ドメインを含むユーザIDを手動入力

複数の企業ドメインが混在するなど、ユ

ーザーに利用可能なドメインを見せたく

ない場合も問題なく利用できます。

マルチスクリーン・マルチOS・マルチデバイス

ウィンドウサイズに応じて、自動的に画面サイズを調整しましす。一番使いやすいサイズで画面を表示でき、

ユーザーはいつでも快適に操作できます。

常に最適なサイズで表示するか

ら使いやすい！

WindowsやMac、Linuxの他、iOSやAndroidなど様々なOS上で動作します。ICカードリーダーや指紋読み取り装置も必要ないため利用できるデバイスが制限されません。 三 × □ ＿ 三 × □ ＿ ＿ □ _三 ×

三 × □ ＿

ログイン端末の制限

三 × □ ＿

ログイン端末の制限

利用端末の制限

（特定の端末からのみログイン）

あらかじめ登録した端末からの認証要求だけを受け付けます。登録されていない端末

からのログインをシャットアウトできます。

二重のセキュリティとして

ワンタイムパスワードだけでも十分信頼性の高いセキュリティを提供しますが、

さらなる追加のセキュリティとしてご利用いただけます。

BYODの申請を許可された端末として

BYOD用として申請された端末を登録しておき、その他の端末からはアクセ

スを許可しないための機能としてご利用いただけます。ユーザーの私物端末

に専用アプリケーションや証明書などを入れることなく容易に実現します。

■ 想定する利用シーン

未登録端末ではログイン不可！

POINT

1. インストール不要

2. 端末情報の収集不要

3. クライアント側の更新不要

4. 1ユーザIDに5台まで登録可能

5. 共有端末OK

端末認証はVPN機器の機能（ホストチェック）との

組み合わせや、別途クライアント証明書の組み合わ

せなどでも実現可能です。

その他の端末認証

ソフトウェア型トークン

(C) 2016 PASSLOGY Co.,Ltd

一般的なソフトトークン

ソフトトークン

PassClip

正解をそのまま表示しないので、

一般的なトークンよりも高いセキュリティを実現！

Token App

One-Time Password

1234 5678

セキュリティ上、紛失・盗難のリ

スクを考慮する必要があるが、一般

的のトークンの場合は本人以外でも

正解が分かってしまう。

正解が表の中に隠されているため、

正解が分かるのは本人だけ！

本人の端末 ＋ 本人だけが知るマス目の場所

だから

「紛失」

や

「盗難」

にも強い！

25

PL001

*************

スタティックパスワード機能

ワンタイムパスワードにスタティックパスワード（固定パスワード）を追加できます。企業の

パスワードポリシーに「英字や記号を含めること」が定められているケースでも対応可能です。

Login

スタティックパスワード

（固定パスワード）

シークレットパターン

Password

PL00150684

スタティックパスワード

（固定パスワード）

ワンタイムパスワード

（シークレットパターン）

アクセスコントロールと

ポリシー設定

アクセスコントロール と マルチポリシー

※アクセス権限の無いシステムのURLへ直接アクセスした場合は、 PassLogicがアクセスコントロールを行い、403 Forbidden（権限が無い ためアクセス不能）を返します。

所属グループに基づいたアクセスコントロールに対応します。

ユーザの所属グループに応じて、Webアプリケーションへのア

クセスを許可、あるいは拒否が可能です。

アクセスコントロール

マルチポリシー

A）一般従業員のポリシー

6桁以上12桁未満 ログイン可能な時間 常時許可 パスワードリマインダー 不可

B）海外従業員のポリシー

6桁以上12桁未満 ログイン可能な時間 00:00 – 12:00 パスワードリマインダー 許可

C）役員のポリシー

乱数表サイズ 4x4 6桁以上12桁未満 パスワードリマインダー 不可

D）アルバイトや関連企業ユーザーのポリシー

6桁以上12桁未満 ログイン可能な時間 8:30 – 18:30 パスワードリマインダー 許可 日本時間では夜間のため

E）一時利用や管理者など特殊利用ユーザ―のポリシー

ソフトウェアトークン認証 必須 端末固定 必須

ポリシーを複数用意しておき、様々な利用ユーザーに対し

て、個別のポリシーを紐づけられます。

不要な時間のログインは禁止 一部ユーザーにはトークンを利用させ て、ログイン端末も固定 すっきりとした見やすい画面

ポリシー設定一覧

(C) 2016 PASSLOGY Co.,Ltd

項目名

項目の説明

認証方式

PassLogic（トークンレス） または PassClip（ソフトトークン）のいずれかを選択します。

ロック・アウトまでの連続失敗回数

連続で認証失敗した回数が設定値に達したユーザはロックされます。

ロック・アウト解除までの秒数

指定した秒数でロック・アウト状態が自動的に解除されます。

認証可能な時間帯

指定時間帯のみ認証することができます。

端末固定

認証可能な端末(ブラウザ)を固定します。

ADパスワード保存

アカウントを AD で管理されているユーザが PassLogic へログインするときに入力した AD パスワードを PassLogic デ

ータベースに保管します。*AD パスワードが保存されたユーザは、次回以後のログインで AD パスワードの入力を省略で

きます。

パラメータ設定機能の利用

ユーザー自身にPassLogicの拡張パラメータを変更させたい場合に利用します。主にシングルサインオン用のパスワード登

録をしてもらうために利用します。

認証方式別のポリシー設定

項目名 項目の説明 乱数表の有効期限 PassLogic 乱数表の有効時間を設定します。 再設定時の制限 直近 n 回と同じシークレットパターンの設定を禁止します。 シークレットパターンの有効期限 シークレットパターンを定期的に変更させたい場合に日数を設定します。 初回パスワード変更を強制 初回利用時と管理者によるパスワード強制変更後にパスワードの変更をユーザに強制します。 パスワード変更時に現在のパスワードを確認する ユーザが PassLogic ログイン中に任意のパスワードを変更する前に、現在のパスワード確認を要求するか否かを設定します。 乱数表の縦横サイズ 乱数表のサイズを桁数で設定できます。 ワンタイムパスワードの長さ ワンタイムパスワードの長さを指定します。 ランダム発行時の長さ 初期シークレットパターンをランダム生成するときの長さを指定します。 スタティックパスワードの長さ スタティックパスワード（固定パスワード）の長さを指定します。 シークレットパターンの制約 安易なシークレットパターンの使用を制限します。 ・ 一筆書き禁止 ・ 全てのブロックから必ず 1 つ以上選択 ・ 設定禁止シークレットパターン[個別に禁止パターンを登録] パスワードリマインダーの利用を許可 ユーザがパスワードを忘れてしまった時に、ユーザ自身でパスワードを再発行できる機能の使用可否を設定します。 Web Tokenの使用 Web Token を使用する際には有効にしてください。

乱数表のガイドを表示 乱数表の横軸と縦軸にガイドが表示されます。

PassLogic認証を使う場合の追加のポリシー設定

ソフトウェアトークンを使う場合の追加のポリシー設定

項目名 項目の説明

ユーザー登録機能

手動

登録

1. 管理GUIからの手動ID登録

管理者がユーザごとに作成可能です。

2. 管理GUIからのCSVファイル

による一括ID登録

追加・更新・削除ができます。

自動

登録

3. LDAP 認証連携

*1

ログインのたびにユーザID単位でLDAPやADと同期。

4. LDAP ID同期

*1

定期的にLDAP・ADからユーザーIDを取り込み。（プ

ライマリ/セカンダリの指定が可能）

5. CSVファイルによるID登録

スケジュールで定期的にCSVを取り込むことができます。

お客さまの環境や運用にあわせて選択してください。

*1 複数のLDAP/ADサーバと連携可能です。また、LDAP属性値（メールなど）もPassLogicに取り込むことができます。

POINT

LDAP認証連携を使用する場合は、メールを送信することなく

PassLogic認証を利用開始できます。

ユーザー登録の流れ（手動登録）

1. ユーザ追加 3. 案内文テンプレートに従い メールを生成しユーザに送信 2. 利用開始の案内メール 送信要求 5.利用開始 4. パスワードの強制変更が ONの場合はパスワード変更

管理者

PassLogic

ユーザー

＜ユーザ登録画面＞

管理者が任意の初期パスワー

ドを設定するか、システムによる

ランダム設定にするかを選択で

きます。

初回利用時に、パスワードを

強制的に変更させることができ

ます。

(C) 2016 PASSLOGY Co.,Ltd 33

案内メールの自動生成機能

<%UNAME%> 様 ●●システムのログイン用アカウントをお知らせします。 * 本メールには重要な内容が含まれておりますので大切に保管して下さい。 初めて利用される際には、端末登録用のURLにアクセスし、 普段利用される端末を登録をしてください。端末登録が完了すると システムにログインできるようになります。 ■端末登録用のURL https://remote.example.com/ui/?key=<%ENTRYKEY%> *端末登録用URLは1端末のみ登録可能です。 ■ログインページのURL https://remote.example.com/ui/ ■ログイン情報 ユーザID: <%UID%> 初期シークレットパターン: <%PASSLOGICPATTERN%> スタティックパスワード: <%SPASSWORD%> ■ログイン手順 1) ログインページのURLへアクセス 2) ユーザIDを入力し[次へ]をクリック 3) シークレットパターンの後に続けてスタティックパスワードを入力して[ログイン]をクリック ※ 初回ログイン後はパスワードの変更が必須となります。 はじめてご利用になる場合は、利用者マニュアルをご確認ください。 http://www.example.com/passlogicdoc.pdf --- お問合せは システム部 パスロジ太郎 00-0000-0000 案内メールテンプレート例 ■端末登録用のURL https://remote.example.com/ui/?key=2136-7056-4333-0697-7018-9921 *端末登録用URLは1端末のみ登録可能です。 ■ログインページのURL https://remote.example.com/ui/ ■ログイン情報 ユーザID: user01 初期シークレットパターン： 1*** ***8 **** *2** **7* **** **3* *6** **** ***4 5*** **** スタティックパスワード: 1234

置換タグの展開例

置換用タグ一覧 内容 <%UID%> PassLogicユーザーID <%UNAME%> 氏名 <%ENTRYKEY%> アクティベーションキー <%SPASSWORD%> スタティックパスワード <%PASSLOGICPATTERN% > シークレットパターン

メールテンプレートに使用できる置換タグ

利用開始に必要な情報を、ユーザ宛てにメールで自動送信できます。

ロックアウトの解除機能

①管理者による手動ロック解除

②経過時間による自動ロック解除

アカウントがロックアウトされた場合の解除方法は、以下の2種類があります。

・ 管理者による手動解除

・ 一定時間経過による自動解除

＜管理画面：セキュリティポリシー設定＞ ＜管理画面：ユーザ一覧＞

_{ロックが掛ると、ユーザ一覧のロックの}

項目が赤くなります。管理者がクリッ

クすることでロックを解除できます。

指定した秒数で自動的にロックを解

除できます。また、自動ロック解除を

しない設定も可能です。

(C) 2016 PASSLOGY Co.,Ltd 35

パスワードの再発行機能

① 管理者によるパスワード再発行

＜管理画面：ユーザ一覧＞

再発行を行いたいユーザの

_{「パスワード再発行」欄をクリック。}

変更後のパスワードは、ユー

ザ宛てにメール送信します。

② セルフリマインダによる再発行（ユーザ自身でリカバリ）

 専任のシステム担当者がいない

 夜間・休日のサポートはできない

ユーザーサポートの課題

ユーザー パスワード何だっ け？ １）パスワードの再発行を依頼 ２）本人のメールに確認用URLを通知 ３）URLをクリック ４）新規パスワード通知 PassLogic

ユーザー追加とサポートの自動化

(C) 2016 PASSLOGY Co.,Ltd 37 LDAP/AD PassLogic 管理者 管理者はADのアカウン トのみ管理 ユーザアカウント同期 利用者 利用

１．ユーザー追加の自動化

LDAP / AD / CSVと 連携しユーザー追加・編集・削除 を自動化

PassLogicに

アカウントが追

加されます。

２．ユーザーサポートの自動化

ロックアウト / パスワード忘れ対応 を自動化

業務システムA 業務システムB

LDAP / AD認証問い合わせ

SSOパラメータとしてADの

ID&PW送信

画面は一例です。

実際は運用に合わせてリ

ンク表示先を変更します。

POINT

① 管理者はADのアカウント

管理をするだけでOK！

POINT

② 管理者を介在せずにユー

ザーサポートまで完結可能！

ログ閲覧機能

他にも以下の機能があります。

・syslogサーバへの出力

ユーザの認証ログや管理者の操作ログなどを残すことが可能です。

ログを追うことで発生事象を確認できるので、ユーザサポートや監査などに利用できます。

ログ出力フォーマットに従い、認証成

功、失敗、ロックアウト、ロック解除、

パスワード変更成功などの操作ログ

を書きだします。

システム要件

サーバOS

Red Hat Enterprise Linux 6.1以降 x86_64 ※2

CentOS 6.1以降 x86_64 ※2

Red Hat Enterprise Linux 7.1以降 x86_64 ※2

CentOS 7.1以降 x86_64 ※2

httpd ※1

Apache HTTP Server

Version:2.2.15

Release:9.EL6 以降

Apache HTTP Server

Version:2.4.6

Release:31.EL7 以降

php ※1

Version: 5.3.3

Release:3.EL6 以降

Version: 5.4.16

Release:36.EL7_1 以降

ユーザーインターフェイス

https(443/tcp)

管理ツール

https (8443/tcp)

RADIUS(利用する場合)

radius(1812/udp)

主な通信ポート番号

※1 各モジュールは、OS ベンダ提供パッケージのみサポートされます。独自コンパイルしたものはサポート対象外です。

※2 NSA Security-Enhanced Linux(SELinux)を有効にした環境での動作はサポートしていません。OS インストール時に「無効」に設定してください。 ※ 仮想サーバでの動作もサポート対象です。（ゲストOSが動作環境を満たしている必要があります。）

※ 使用する通信ポート一覧は、インストールマニュアルに詳細が記載されています。

2016年2月現在

AWS - Amazon Web Services Microsoft Azure

- Cent OS 上での動作を確認

サーバーハードウェアスペック

(C) 2016 PASSLOGY Co.,Ltd 41

ピークパフォーマンステスト結果

ユーザ数

容量

1000

0.7MB

5000

3.3MB

10000

7.0MB

50000

33.0MB

1認証

（乱数生成と照合のセット）

約4KB

※1認証あたりの容量はアカウントの情報量（IDやメールアドレスなどの文字数）により異 なります。利用頻度やログの保存期間を考慮してHDDを選択してください。 ※保存するログの容量は、Linux(logrotate)にて設定してください。

項目

スペック

CPU

Pentium1GHz以上

メモリ

1GB以上

HDD

60GB以上

ユーザ情報DB HDD容量

1認証あたりの/var/log以下増加量

ログ出力ディレクトリ：/var/log/passlogic/ ローテーション定義：/etc/logrotate.d/passlogic

ログ出力ディレクトリ：/var/log/passlogic-pgpool/ ローテーション定義：/etc/logrotate.d/passlogic –pgpool ログ出力ディレクトリ：/var/log/httpd/ ローテーション定義：/etc/logrotate.d/httpd ログ出力ディレクトリ：/var/log/radius/ ローテーション定義：/etc/logrotate.d/radiusd

最小ハードウェアスペック

※ゲートウェイサーバと認証サーバを分離する構成の場合、ゲートウェイサーバのスペック用件 は認証サーバと同等です。ただし、１認証あたりのログ（ /var/log/httpd 以下）の増加 量は約2KB程度となります。

PassLogicアプリケーション HDD容量

/opt/passlogic/配下

約120MB

ログファイル HDD容量

/var/log/配下

5GB以上

※ログ出力量はユーザ数、利用頻度 および ローテーション定義（/etc/logrotate.conf および各ログファイルに紐づくローテーション設定）に依存します。 * 乱数表取得、パスワード送信、認証結果が返ってくるまでを1認証とカウント http https ユーザ数

_{10,000 id}

認証処（秒間）* 約

120

認証 約

97.5

認証

検証マシン：HP PROLIANT DL 120 GEN9(L9R72A)

CPU：Intel XeonE5-2603v3(15M Cache, 1.60GHz)

メモリ：８GB

乱数生成や暗号化処理な どを実施するワンタイムパス ワード認証製品では、一般 的に処理速度が遅くなる。 PassLogicは普通のサーバ スペックでも数万ユーザーを 抱える規模の提案が可能。

クライアント端末対応状況

【スマートフォン】

PCと共用。HTML5に準拠したhtmlページを出力するので、flashや

Javaなどのブラウザプラグインによる影響を受けません。

スマートフォンに内蔵されている標準ブラウザで利用が可能です。

ブラウザ

文字コード

管理ツール

Internet Explorer9, 10, 11

UTF-8

Edge

Firefox

Chrome

ユーザインターフェイス

Internet Explorer9, 10, 11

Edge

Firefox

Chrome

iPhone / iPad Safari

Android標準ブラウザ

アプリケーションサーバーと認証サーバーの分離構成

※ゲートウェイサーバと認証サーバを分離する場合は追加のライセンス費用は発生しません。

DMZ

社内

LAN

1台構成

_分離構成

以下のサーバ構成が可能です。

・ 1台のサーバで構成する

・ ゲートウェイサーバと認証サーバを分離した分離構成（2台構成）

・ Active-Standby、 Active-Activeの最大4台構成を取ることも可能

RHEL (OS)

Apache

RADIUS

DB

PassLogic

ユーザ向けUI

管理ツール

1台のサーバで構成可能

ゲートウェイ サーバ 認証サーバ

RHEL (OS)

PassLogicAPI

RHEL (OS)

Apache

RADIUS

PassLogic

ユーザ向けUI

管理ツール

DB

ユーザ向けUI

Apache

ADへの認証要求が（DMZ

上サーバからではなく）intra

内のPassLogicサーバからと

なり 、企業のネットワークセ

キュリティポリシーに適合可能

(C) 2016 PASSLOGY Co.,Ltd 43

冗長化構成

データ・レプリケーション機能で冗長構成や災対環境の構築が可能です。

アクセスの振り分けには別途ロードバランサ―が必要です。

PassLogic 1

PassLogic 2

ロードバランサ

Replication

PassLogic

メインサイト

PassLogic

サブサイト

replication

冗長化構成

災害対策用構成

（ディザスタリカバリ構成）

Act

Act

* スティッキーセッション不要です。 * リアルタイム同期 * リアルタイム同期

RADIUS連携

（シングルサインオン）

PassLogic

VPN機器

WebApp1

WebApp2

リモートデスクトップ

サーバ

ファイルサーバ

202.19.xxx.xxx/24 192.168.1.0/24 trust DMZ

① ID送信（tcp:443）

② 乱数表を送出（tcp:443）

③ PW(OTP)を送信

④ ID&PWを代理POST

⑤ RADIUS認証

_(udp:1812)

⑥ OK or NG

(アトリビュート付加)

⑦ SSL-VPN通信

INTERNET

RADIUS連携

（シングルサインオン）

PassLogic

ゲートウェイサーバ

VPN機器

WebApp1

WebApp2

リモートデスクトップ

サーバ

ファイルサーバ

202.19.xxx.xxx/24 192.168.1.0/24 trust DMZ

① ID送信（tcp:443）

④ 乱数表を送出（tcp:443）

⑤ PW(OTP)を送信

⑥ ID&PWを代理POST

⑨ SSL-VPN通信

PassLogic

認証サーバ

②乱数表を要求（TCP:443）

③乱数表を送出

ゲートウェイサーバと認証サーバの分離構成 INTERNET 社内ネットワークへ (C) 2016 PASSLOGY Co.,Ltd 47

RADIUS連携

（Webトークン）

PassLogic

VPN機器

WebApp1

WebApp2

リモートデスクトップ

サーバ

ファイルサーバ

202.19.xxx.xxx/24 192.168.1.0/24 trust DMZ

① ID送信（tcp:443）

② 乱数表を送出（tcp:443）

③ ID&PW(OTP)を送信

乱数表からPW生成

④ RADIUS認証

(udp:1812)

⑤ OK or NG

(アトリビュート付加)

⑥ SSL-VPN通信

INTERNET 社内ネットワークへ

RADIUS連携

（Webトークン）

PassLogic

ゲートウェイサーバ

VPN機器

WebApp1

WebApp2

リモートデスクトップ

サーバ

ファイルサーバ

202.19.xxx.xxx/24 192.168.1.0/24 trust DMZ

PassLogic

認証サーバ

②乱数表を要求（TCP:443）

③乱数表を送出

ゲートウェイサーバと認証サーバの分離構成 INTERNET

① ID送信（tcp:443）

④ 乱数表を送出（tcp:443）

⑤ ID&PW(OTP)を送信

乱数表からPW生成

⑧ SSL-VPN通信

社内ネットワークへ (C) 2016 PASSLOGY Co.,Ltd 49

リバースプロキシ連携

PassLogic

WebApp1

WebApp2

リモートデスクトップ

サーバ

ファイルサーバ

202.19.xxx.xxx/24 192.168.1.0/24 trust DMZ

① ID送信（tcp:443）

② 乱数表を送出（tcp:443）

③ PW(OTP)を送信

⑤ menuでリンクがクリックされると

ID&PWを代理POST （SSOする場合）

⑥ Webアプリ利用開始（tcp:443）

INTERNET リバースプロキシ （PassLogic経由でWebAppへアクセス）

HTTPヘッダにユーザIDを付加できるの

で、HTTPヘッダによるSSOも可能

④ menu表示(menu表示はスキップ可)

リバースプロキシ連携

PassLogic

ゲートウェイサーバ

WebApp1

WebApp2

リモートデスクトップ

サーバ

ファイルサーバ

202.19.xxx.xxx/24 192.168.1.0/24 trust DMZ

① ID送信（tcp:443）

④ 乱数表を送出（tcp:443）

⑤ ID&PWを送信

⑨ menuでリンクがクリックされると

ID&PWを代理POST （SSOする場合）

PassLogic

認証サーバ

② 乱数表を要求

③ 乱数表を送出

ゲートウェイサーバと認証サーバの分離構成 INTERNET

⑥ ID&PW認証要求

⑦menu表示（OK or NG）

⑧ menu表示（menu表示はスキップ可）

⑩ Webアプリ利用開始（tcp:443）

リバースプロキシ （PassLogic経由でWebAppへアクセス）

HTTPヘッダにユーザIDを付加できるの

で、HTTPヘッダによるSSOも可能

(C) 2016 PASSLOGY Co.,Ltd 51

SAML 2.0 連携

PassLogic

Google Apps

Salesforce

AWS / Azure / etc

① ID送信（tcp:443）

② 乱数表を送出（tcp:443）

③ PW(OTP)を送信

⑤ menuでリンクがクリックされると

SAML2.0フェデレーション連携 INTERNET

④ menu表示(menu表示はスキップ可)

cybozu.com

認証されていない場合は PassLogicへリダイレクト ※認証されていない場合の動作は クラウドアプリ側の仕様に準じます。

SAML2.0 （IdP）

フェデレーションシングルサインオン

パスロジが持つ主な特許

乱数表から抜き出してパスワードを生成する認証方式

（US6141751,JP5276658）

２経路により強化したパスロジック方式

（JP3809441）

抜き出し位置登録方法

（JP4275080, JP4455666）

パスロジックをＶＰＮやシングルサインオンで利用する技術

（JP4351349）

※特許発明に係わるサービス・製品を正当な権限なく実施すること(第三者から購入してエンドユーザとして利用する場合や自社開発により実施する場合も含む)は、特許権侵害となります。 ※2014年3月現在、パスロジ社は他社認証製品に対し特許ライセンスを実施しておりません。(クラウド等のサービスを除く) ※パスロジ社の正規ライセンスを受けたサービス・製品には、パンフレット等にパスロジ社のライセンス表示が付されています。

シークレットパターンについて

L型のパターンを登録したい。

3ステップで完了！設定したい

“位置”

と

“順番”

に表示されている数字を入力するだけ。

シークレットパターンはユーザー毎に設定

シークレットパターンの変更方法

STEP1

▲

STEP2

▲

STEP3

▲