スライド 1

(1)

BIG-IP APMとPassLogicで実現する

高セキュア＆高パフォーマンスのマルチデバイス認証インフラ

パスロジ株式会社

酒井寛庸

(2)

0

50

100

150

200 2007

2008

2009

2010

2011

2012

2013

2014

採用実績

企業数

(3)

導入企業

※2015年1月現在 サービスプロバイダ ・NTTコミュニケーションズ モバイルコネクト ・NTTPCコミュニケーションズ Master’s ONE ・ソフトバンク ホワイトクラウドワンタイムパスワード

・KDDI KDDI Flex Remote Access

・IIJ IIJ GIOリモートアクセスサービス

・富士通 FENICSⅡ

・NEC UNIVERGE Live

・大塚商会 O-CNET AIR GATE

・エクサファクトリー ワンタイムパスワード認証ASP ・スターネット STAR-AUTH ・外為どっとコム コンシューマ向け外貨取引 ・ディーアイエスソリューション PassLogic on SaaS ・大手金融系 法人向けサービス金融 ・都市銀行 行内利用/メールの認証 ・信託銀行 法人向けWebサービス ・証券会社A 仮想デスクトップ ・証券会社B 社内利用/リモートアクセス ・証券会社C リモートアクセス/メール 官公庁 ・官公庁（中央省庁）メールシステムの認証 ・官公庁系外局研究所 メールシステムの認証 ・独立行政法人系外郭団体 会員向けWebシステム ・中央省庁所管独立行政法人 リモートアクセス 製造業・工業 ・食品系会社メールの認証 ・食品系会社グループウェアの認証 ・製薬会社A リモートアクセス ・製薬会社B メール ・精密機器製造会社リモートアクセス/メール ・電子部品製造会社仮想デスクトップ ・金属製品製造会社リモートアクセス ・衣服製造会社リモートアクセス/グループウェア 文教 ・関西大学全学/学内ポータル ・大手総合大学 リモートアクセス ・文教系グループ 仮想デスクトップ ・高等専門学校 リモートアクセス ・私立学校法人 BCP対策用リモートアクセス 広告・マスコミ ・テレビ局（キー局） ユーザー管理システム（WEB） ・テレビ局（キー局） グループ企業間Web ・新聞社 リモートアクセス ・新聞社 情報共有Web ・インターネットメディア ニュース配信システム ・ラジオ局 CMS ・大手広告仮想デスクトップ/リモートアクセス 医療・エネルギー・サービスなど・その他 ・病院A VPN/仮想デスクトップ ・病院B グループウェア ・エネルギー（石油、ガス）事業社 受発注システム ・航空会社 リモートアクセス ・道路関事業会社 VPN メールシステム ・大手ゲームメーカー SSL-VPN ・海洋施設関連企業 リモートアクセス ・通信関連企業 スマートフォン用アプリ（組込み） ・株式会社一休 CiscoASAの認証 ・リース関連会社 会員向け業務システム ・PC関連機器開発会社 VDI ・電力会社 法人向けASP など

発行ライセンス数

1,000,000

ID

13 社

ワンタイムパスワード認証サービスの標準方式へ

(4)

(5)

現在のトレンドと課題

従業員

契約社員

社内システム

デスクトップ@オフィス

ノートPC

データセンター

(6)

現在のトレンドと課題

誰が

何で

何に

雇用形態

の多様化

マルチデバイス化、

ロケーションの多様化

アプリの場所の多様化

従業員

従業員(役員)

契約社員

パートナー

プライベートクラウド

ハイブリッドクラウド

Salesforce

Cloud

スマホ@地下鉄

デスクトップ@オフィス

iPad@顧客先

ノートPC@自宅

(7)

PassLogic紹介ムービー

誰が

何で

何に

を総合的にコントロール

(8)

三位一体の認証インフラ

デバイス

アプリケーション

Personal Identification

(本人確認)

Device Identification

(端末確認)

Access Control

(アクセスコントロール)

(9)

(10)

固定パスワードの課題

企業の対策

実際の運用

固定パスワードの問題

 辞書に掲載されているような単語を使う

 誕生日や電話番号など身近で覚えやすい数字を使う

 複数のシステムで同じパスワードを使いまわす

セキュリティの向上のためのセキュリティ・ポリシーに加えてシステムが

必要



パスワードのメモを禁止



8桁以上の意味のない英数字（大小）・記号の羅列



90日ごとに利用している全てのログイン用パスワードを変更



複数のシステムで共通するパスワードを禁止

 プライベートで使っているパスワードと同じパスワードを業務システムで使っている

 ブラウザにパスワードを保存している

 定期的なパスワード変更は1文字だけ変えて済ませている

 液晶モニターにメモを貼ることはやめたが、実はメモしている

(11)

ワンタイムパスワードとは

＊＊＊＊＊＊

Password: Login

1

回目の ログイン

＊＊＊＊＊＊

Password: Login

2

回目の ログイン

ワンタイムパスワードは、ログインごとに毎回異なる値のパスワードを入力します。

繰り返し同じパスワードを使わないことでセキュリティを高め、固定パスワードの

課題を解決します。

Password

571803

860217

Password

毎回異なるパスワードでログイン

同じパスワードを繰り返し使わないため、セキュリティが向上

(12)

ログインの悩みをPassLogicが解決！

トークン管理不要

運用の自動化

Webベースの管理

覚え難いPW不要

トークン不要

セキュリティUP

経営者

運用管理者

利用者

コスト

セキュリティリスク

大幅に低減

年間

70 ％

コスト

DOWN

123456

トークンデバイス不要！

大幅

UP

覚えやすさ

セキュリティ

固定パスワードが不要！

複雑で覚えにくいパスワード

H3$zaQe6

(13)

PassLogic紹介ムービー

(14)

利用者の声 - 2015年2月のアンケート結果より

操作がシンプルで一度理解するとカンタンに使える。

パスワード忘れの対応件数が減った。

トークン管理の手間がなくなった。

ブラウザの設定が不要で、メンテナンスと運用がラク。

他の多数のシステムと連携して、シングルサインオンが実

現した。

外出時にモバイル端末で業務をすることが多くなった。

14

(15)

エンタープライズ向けの多彩なポリシー設定

項目名

項目の説明

ロック・アウトまでの連続失敗回数

連続で認証失敗した回数が設定値に達したユーザはロックされます。

ロック・アウト解除までの秒数

指定した秒数でロック・アウト状態が自動的に解除されます。

認証可能な時間帯

指定時間帯のみ認証することができます。

端末固定

認証可能な端末(ブラウザ)を固定します。

ADパスワード保存

アカウントを AD で管理されているユーザが PassLogic へログインするときに入力した AD パスワードを PassLogic デ

ータベースに保管します。*AD パスワードが保存されたユーザは、次回以後のログインで AD パスワードの入力を省略で

きます。

パラメータ設定機能の利用

ユーザー自身にPassLogicの拡張パラメータを変更させたい場合に利用します。主にシングルサインオン用のパスワード登

録をしてもらうために利用します。

15 乱数表の有効期限 PassLogic 乱数表の有効時間を設定します。再設定時の制限直近 n 回と同じシークレットパターンの設定を禁止します。シークレットパターンの有効期限シークレットパターンを定期的に変更させたい場合に日数を設定します。初回パスワード変更を強制初回利用時と管理者によるパスワード強制変更後にパスワードの変更をユーザに強制します。パスワード変更時に現在のパスワードを確認するユーザが PassLogic ログイン中に任意のパスワードを変更する前に、現在のパスワード確認を要求するか否かを設定します。乱数表の縦横サイズ乱数表のサイズを桁数で設定できます。ワンタイムパスワードの長さワンタイムパスワードの長さを指定します。ランダム発行時の長さ初期シークレットパターンをランダム生成するときの長さを指定します。スタティックパスワードの長さスタティックパスワード（固定パスワード）の長さを指定します。シークレットパターンの制約安易なシークレットパターンの使用を制限します。・一筆書き禁止・全てのブロックから必ず 1 つ以上選択・設定禁止シークレットパターン[個別に禁止パターンを登録] パスワードリマインダーの利用を許可ユーザがパスワードを忘れてしまった時に、ユーザ自身でパスワードを再発行できる機能の使用可否を設定します。

(16)

対応する連携プロトコル

SSL-VPN

クラウド・サービス

(Google Apps、salesforce、cybozu.comなど、Office365)

社内LANへ

RADIUS

HTTP

(リバースプロキシ)

社内Webアプリケーションへ

Office365

PassLogicは、広く普及するプロトコル採用していますので、システム間の連携に関するトラブ

ルが少なく、また連携設定もとても簡単です。

RADIUS

HTTP

（リバースプロキシ）

SAML2.0

Module or API

ADFS

Office365 連携用モジュール Mail VPN VDI Cloud Collaborative Software

シングルサインオン

業務システムのログインを統合！

たった一度の認証だけで

多くの業務システムへログイン。

ログインに費やして

いた無駄な時間を

短縮し、本来の業

務に専念できる！

16

(17)

パスワードの再発行機能

セルフリマインダによる再発行（ユーザ自身でリカバリ）

専任のシステム担当者がいない

夜間・休日のサポートはできない

ユーザーサポートの課題

パスワード何

だっけ？

１）パスワードの再発行を依頼２）本人のメールに確認用URLを通知３）URLをクリック４）新規パスワード通知 PassLogic

(18)

ユーザー追加とサポートの自動化

Active Directory

_PassLogic

管理者

管理者はADのアカウントのみ管理ユーザアカウント同期

利用者

利用

ユーザー追加の自動化

LDAP / AD / CSVと連携しユーザー追加・編集・削除を自動化

PassLogicにADアカウント

を自動追加

業務システムA 業務システムB

LDAP / AD認証問い合わせ

POINT

管理者はADのアカ

ウント管理をするだ

けでOK！

(19)

冗長化構成

データ・レプリケーション機能で冗長構成や災対環境の構築が可能です。

アクセスの振り分けには別途ロードバランサ―が必要です。

PassLogic 1

PassLogic 2

ロードバランサ

Replication

PassLogic

メインサイト

PassLogic

サブサイト

Replication

冗長化構成

災害対策用構成

（ディザスタリカバリ構成）

Act

(20)

(21)

解決課題

1. リモートアクセスの際に、固定パスワードだけでは

リスクがあるのでワンタイムパスワードを利用した

い。

2. 加えて、デバイスの認証を人と紐づけて行いたい。

3. 人と端末を確認したうえでアクセスコントロールを

行いたい。

4. デバイス固有情報の収集を自動化したい、再発行や

機種交換時も自動化したい。

(22)

システム構成

APMが得たユーザアカウントと、デバイス固有情報やADなど既

存認証基盤のパスワード等を、APMからPassLogicへAPI経

由でPassLogicのAttributeに自動的に登録する。

APMで取得した情報をAttribute に登録するAPI RADIUS OTP認証アプリケーション

(23)

連携動画 – 端末登録

(24)

連携動画 – 登録されていない端末

(25)

連携ソリューション

誰が PassLogic

何で APM+PassLogic

何に APM

(26)

連携事例

社内環境

シングルサインオン数万名

社員やパートナー企業

5,000名を対象に在宅勤務環境 iPhone/iPad

F5 BIG-IP APM

ソリューション

背景/セキュリティ課題

● VDIによりクライアントにデータが

保存されない

● 場所や端末に依存しない勤務環境を

実現

● VDIへのアクセスを如何に安全にするか

● 本人確認：ワンタイプパスワード

● 上記のアクセス連携をBIG-IPで

実現し、ポリシー違反があれば

アクセス拒否

● 一斉ログオンのパフォーマンスが良かった

OTP認証

「数万名が毎朝一斉にデスクトップにログオンしても認証で待たせたくない。