SECUREMATRIXは様々な立場の方の業務を安全に、
そしてよりシンプルにする本人認証システムです。
SECUREMATRIX3つの特長
不正アクセスの防止
利用するたびに入力するパスワードが変更さ
れるため、パスワードの盗用による不正アク
セスを防ぎ、安全性を高めます。
セキュリティポリシー
周知徹底が難しいパスワードのセキュリティ
ポリシーも、教育側にもユーザにも、負担なく
スムーズに運用できます。
パスワードが覚えやすい・使いやすい
形で覚 えるため、ル ール(セキュリティポリ
シー)に従った複雑な固定パスワードを覚える
より、はるかに覚えやすく使いやすくなります。
パスワード紛失(インシデント)の防止
外出先で認証用デバイスを紛失する人為的な
事故を防ぎます。
他認証と比べてコストを抑える
トークン認証と比べてデバイス購入費用や
トークンの電池切れによるリプレース費用を
抑えます。
1
2
3
使い捨てパスワード
(ワンタイムパスワード)
マトリクス認証
認証用デバイスなし
その他の費用 保守費用 デバイス購入費用 ライセンス費用 ハードウェア費用 導入費用 1年目 2年目 3年目 4年目 5年目 1年目 2年目 3年目 4年目 5年目 1年目 2年目 3年目 4年目 5年目ほぼ変わらない
5年間で約2.5倍の
投資額
認証システムを導入せずに固
定パスワードを使用している
場合も、パスワード再発 行の
ためのDB確認や本人確認な
どにシステム管理者の工数が
かかります。
■ ポイント
SECUREMATRIX
固定パスワード
トークン認証
SECUREMATRIXのコスト比較
自由な組み合わせができる「位置」と「順番」。
● パスワードイメージ
● アクセスごとに異なるマトリクス表
▶
異なるパスワード
「形」で覚える。それは「忘れにくい。覚えやすい。使いやすい。」
マトリクス認証®は、アクセスの度に表示される数字が 変わるマトリクス表を使用しています。 たとえば「V」というイメージのパターンを、あらかじめ 登録しておきます。 マトリクス認証®は、毎回マトリクス表に表示する数字 が変わるので、二度と同じパスワードを入力することは ありません。 頭に思い描くどのようなイメージでも、 マトリクス表から抽出することができます。 固定パスワード(英数字)と組み合わせて、 さらに強固なパスワードを設定できます。 例1(英字例)8142
abcd
(組合わせ設定は自由) 例2(数字例)8
1
1
2
4
3
2
4
同じ場所を重複して選択する設定も可能です。 入力するパスワード921
33
506
(「3」を重複入力) 入力するパスワード92889062
(一度だけ)マトリクス認証
®のしくみ
固定パスワード(英数字) 固定パスワード併用設定例 入力するパスワード (一度だけ)67705339
入力するパスワード (一度だけ)01033834
あらかじめ自分の好きなパスワードイメージを 登録しておきます。1回目
2回目
固定パスワード 併用設定例パスワードイメージと固定パスワードを併用すれば、更に強固に。
パ スワード イメージには、固 定 パ スワード を含 むことが で きます。
SECUREMATRIX
®の「パスワードポリシー」機能を利用して、固定文
字(英数字や記号)の併用を強制することが可能です。この固定文字
は、パスワード内のどの位置に利用してもかまいません。
固定文字かパスワードイメージかは、一見して第三者が理解すること
はできません。
なりすましを行うことは、極めて難しくなります。
第三者が不正になりすましを行おうとした場合に、下記の情報を全て
知り得なければなりません。
パスワードイメージとして登録したマトリクス表の「位置」
その位置を入力する「順番」
「固定文字」として利用される英数字や記号
パスワード内での固定文字の場所
固定パスワード(英数字)と組み合わせて、 さらに強固なパスワードを設定できます。 例1(英字例)2687
abcd
(組合わせ設定は自由) 例2(数字例)2
1
6
2
8
3
7
4
固定パスワード(英数字)DESKTOP
SECUREMATRIX
の独自二要素認証
RADIUS LOGON
BROWSER LOGON
DESKTOP LOGON
CLOUD LOGON
DESKTOP LOGON
■
本人認証の精度を高め不正なログインを防止
二要素認証とは2つの認証方式を併用して精度を高めた認証方式のことです。
ユーザが記憶しているID/パスワード(knowの要素)やユーザが持っているクライアント端末(haveの要素)など
決められた要素が っていることで、はじめて認証が完了します。
万が一、どちらかの要素が漏えい・紛失してしまっても、もう1つの要素が わない限り悪意のあるログインができず、
なりすましを防ぐことができます。
プロセスを増やさず、ユーザは『ID入力』
『パスワード入力』のみで二要素認証を
利用できます。
■ ポイント
※特許取得済み
自宅PC
私用
スマートデバイス
会社貸与
スマートデバイス
●ID
●パスワードイメージ
1要素目
●MACアドレス
●Android ID
●SIMカード シリアル番号
●IMEI
●IMSI
●FeliCa IDm…etc
2要素目
(クライアント識別情報)
MOBILE
VPN
Webアプリケーション
クラウドサービス
VDI
MOBILE LOGON
MOBILE LOGON
インターフェイス
■
スマートデバイスのユニバーサルデザインインターフェース
スマートデバイス利用時はマトリクス表が大きく表示されます。画面をフリックするとマトリクス表が移動し順番に表示されます。
数字をタップすることでパスワードを入力します。マトリクス表は4表すべてを表示させることも可能です。
「社内」でもデスクトップへのログオンは「マトリクス認証
®」で。
DB/ファイル サーバ等社内も「マトリクス認証
®」に統一すれば、使い勝手はさらに高まる。
SECUREMATRIX 認証サーバDESKTOP LOGON
▶for Microsoft
®Windows Vista
®/
for Microsoft
®Windows 7
®/
for Microsoft
®Windows 8
® 認証サーバ 認証サーバ GSBサーバ DMZ DMZ 暗号化 通信 暗号化通信 Active Directory ログオン ログオン オフラインでもデスクトップ ログオンが可能 RADIUS RADIUS LAN F/W LAN2 LAN1 F/W Internet 社内ネットワーク VPN 認証サーバ GSBサーバ 認証 VLAN F/W ●「Ctrl」+「Alt」+「Del」を押したら、
「マトリクス認証
®」が可能
●意識することなくActive Directoryと連携が可能
●ネットワークに接続されていなくても、
利用可能(オフライン認証)
●スクリーンセーバーのパスワード
ロック時にも利用可能
●リモートデスクトップでの利用が可能
認証サーバどこからでもブラウザがあれば「マトリクス認証
®」
グループウェアせっかくのWEBアプリケーション。何も配らずに安全に使いたい。
SECUREMATRIX 認証サーバ SECUREMATRIX GSBサーバ WEBサーバ シングルサインオン GSBサーバ DMZ 暗号化通信 LAN 社内のWEBサーバ/グループウェア等に リバースプロキシ機能を提供します。 ユーザDB、管理機能、 ログ機能を提供します。 F/W InternetBROWSER LOGON
▶
for Active X
▶for JRE(Java Runtime Environment)
▶for Flash
●
WEBアプリケーションの認証を「マトリクス認証
®」に
●基本(ベーシック)認証/フォーム認証に対応したシングルサインオン機能
●グループや役職ごとに柔軟なアクセスコントロールを実現
RADIUS対応機器の認証を「マトリクス認証
®」に。
通信経路が安全でも、
「認証」が脆ければ意味がない。
SECUREMATRIX 認証サーバ SECUREMATRIX GSBサーバRADIUS LOGON
●VPNやファイアウォールと連携し、認証を強化
●SSL-VPNは、ブラウザだけでダイレクトログオン
●独自のRADIUSサーバを実装。
複数のRADIUSクライアントをサポート
●RADIUSアトリビュートに対応
●認証VLAN等のRADIUS対応機器とも連携可能
ISBサーバ VPN RAS 公衆回線 インターネット VPN IP-VPN ルータ FTPサーバ SMTPサーバ パケット通信中表示 認証サーバ
どこにいても手のひらの上で「マトリクス認証
®」を。
機動力を、最大限に引き出す「セキュリティ」を。
SECUREMATRIX 認証サーバ SECUREMATRIX GSBサーバMOBILE LOGON
▶
for Apple iPhone / iPad
▶for Android
●
iOS端末、Android端末に対応
●スマートデバイスから「マトリクス認証
®」で社内リソースにアクセス
●DESKTOP LOGONとの併用で、スマートフォンでも同じ
「マトリクス認証
®」が可能
●WEBアプリケーションへのログオン、VPN接続のログオンのセキュリティを強化
●User-Agent追加機能搭載
クラウド環境のセキュリティは「マトリクス認証
®」
使いやすい認証で、もっと安全にクラウド環境を利用したい。
SECUREMATRIX 認証サーバ SECUREMATRIX GSBサーバCLOUD LOGON
▶for Salesforce CRM
●使い捨てのワンタイムパスワードで認証を強化
●IPアドレス制限やトークン型ワンタイムパスワードより利便性の高い認証を実現
●デバイス不要だから、管理工数やデバイス購入コストを一気に削減
●ブラウザだけで強固な認証を提供する「マトリクス認証」はクラウド環境と好相性
GSBサーバ マトリクス表の表示画面 SECUREMATRIX®とSalesforceの連携構成例 キーボードによる パスワード入力画面 ● SFA/CRM ● グループウェア ● Eラーニング ● WEBシステム ● 仮想デスクトップ ● JunosPulse (Juniper) ● AnyConnect (Cisco) ● EdgeClient(F5) ※ 別途スマートフォンの設定や ネットワーク機器との連携を 必要とする場合があります。 ※ スマートフォン対応機種に関する詳細についてはお問い合わせください。パケットのフィルタリングも「マトリクス認証
®」を。
セグメントを守るため、不要なパケットは通さない。
INTRANET LOGON
●IP-VPNやインターネットVPNから社内へのアクセスを制御
●LAN to LANで、サーバセグメントへのアクセスを制御
●認証を受けたユーザのみが、登録された特定の
アプリケーションとサーバにアクセス
●IPアドレスやポート番号によるコントロールが可能
SECUREMATRIX 認証サーバ SECUREMATRIX ISBサーバ F/W DMZ LAN ④ 認証完了 ③ Redirect (SAML Assertion) ① Access ② Authentication 認証サーバ SSL 公開 と メタデータの交換 Internet SalesforceCRM認証サーバ お客様の WEBシステム アクセス 独自アプリ ネットワーク機器 VPN機器 シンクライアント API連携 ・マトリクス表の生成 ・パスワードの確認 ・パスワードの変更処理
ユーザグループ配下に、さ
らにユーザグループの作
成が可能です。
ユーザグループ毎のパス
ワードポリシー設定が可
能 で す。ま た、ユ ー ザ グ
ループを多階層化してい
る場合、配下のグループに
同一ポリシーを適用する
ことも、配下のグループ毎
にポリシー設 定すること
もできます。
グループ毎に登録できる
ユーザ最大数の設定が可
能です。
※2ユーザグループ毎に一意
のログイン登録が可能で
す。ログイン時にレルム
※3を付与することでユーザ
を区別できます。
API API API API API既存システムやアプリケーションに「マトリクス認証
®」を。
「マトリクス認証
®」の可能性を思いのままに。
APPLICATION INTERFACE
▶
Windows DLL Version.
▶JAVA Version.
▶Unix C Version.
●
CまたはJAVAに対応した「マトリクス認証
®」用API
●会員向けWEBサイトの認証や、既存システムの認証を強化
●API開発キットを提供
●セキュリティを考慮したシンプルなAPI
●iPhone、AndroidへのAPIも提供可能
SECUREMATRIX 認証サーバ お客様のシステムや アプリケーションユーザグループの多階層化
1
2
ユーザグループ毎のパスワードポリシー設定
レルムによるログインIDの区別化
4
ユーザグループ毎の最大登録ユーザ数設定
3
1課 Admin 2課 3課 パスワード有効期限:60日 パスワード長:12ケタ パスワード有効期限:90日 パスワード長:8ケタ パスワード有効期限:90日パスワード長:8ケタ パスワード有効期限:パスワード長:8ケタ45日 パスワード有効期限:30日 パスワード長:10ケタ パスワード有効期限:パスワード長:8ケタ90日 開発部 経理部 営業部 Admin 経理部 レルム名:keiri 営業部 レルム名:eigyo 氏名:鈴木 花子LoginID:suzuki#keiri 氏名:鈴木 太郎LoginID:suzuki#eigyo
1課 Admin 2課 3課 1階層 2階層 開発部 経理部 営業部 最大登録数 10
グループ別ポリシー設定
自社内の組織構造に合わせたポリシー設定が可能なため、柔軟なシステムの運用管理を行うことができます。
※1 ※1:認証サービスの提供を目的として利用する場合は、サービス提供用ライセンス契約の締結が必要です。SECUREMATRIX
®の柔軟なグループ別ポリシー設定機能を活用し、
独自認証サービスの提供も可能
※2:設定しない場合は、ご購入さ れたライセンス数が上限値に なります。 ※3:ユーザ情報を一意に管理する ための、ユーザグループごと の識別子のこと。LDAP Interface
SECUREMATRIX
®の認証サーバは、既存のLDAPサーバからユーザ情
報を同期することが可能です。複数のLDAPサーバとの連携が可能で、
ユーザ属性による特定ユーザ情報の抽出や、ユーザ情報項目のマッピング、
スケジュール設定による定期同期など柔軟な連携を行い、ユーザ登録の
管理負担を削減することができます。
LDAPサーバ 前回との 差分抽出 差分を ユーザDBに反映 ユーザ 情報返却 ユーザ情報 取得要求 認証サーバEasy Setup
SECUREMATRIX
®は、GUIからインストールが可能です。
「SECUREMATRIX
®Easy Setup」を利用することで、各サーバの設定はもちろん、ドラック&ド
ロップによるSECUREMATRIX
®サーバの追加/削除、サーバ証明書発行
の為のCSR(Certificate Signing Request)の作成など様々な設定を、
ネットワーク構成を確認しながら視覚的に実施することができます。
●IPv6に対応
Cluster Manager
SECUREMATRIX
®の認証サーバは、企業の大切な認証基盤を支えるために、独
自クラスタ機能による冗長化構成で運用することができます。
「SECUREMATRIX
®Cluster Manager」を利用することで、認 証サーバのク
ラスタ運用状況の確認やメンテナンスを実施することができます。
無停止復旧クラスタ機能を標準搭載。認証サーバをクラスタ構成にすると、縮退
運転状態から正常運転状態へ復旧する間も、ログイン認証が可能です。
認証サーバ(Primary) 認証サーバ(Secondary) 平常運転時 縮退運転時 (Primary認証サーバ停止時) DB 同期 DB 認証サーバA 認証サーバB 平常運転時 縮退運転時 DB 同期 DB GSBサーバ GSBサーバ フェイルオーバ 構成 ロードバランシング 構成 GSBサーバ GSBサーバ管理機能・監査機能
管理機能ではユーザ管理からシステム設定まで、全ての運用管理を行うこ
とが可能です。
監査機能では、ログを元にユーザのアクセス状況を監視・分析することな
どが可能です。
システムの管理機能と監査機能で管理権限が分かれています。
管理機能画面 監査機能画面SECUREMATRIX
®
が選ばれる理由
クライアントとSECUREMATRIX
®システム間の通信は、SSLで暗号化されています。
通信内容を解読するには、暗号化されたデータを復号する必要がありますが、それは容易なことではありません。
理由 ① : SSLによる暗号化通信
理由 ② : 特許技術を用いた シード方式
SECUREMATRIX
®は安全だから。
SECUREMATRIX
®は、経路上を安全に保ち、ハッキングを防止するために何重もの工夫と対策が施されています。
SECUREMATRIX
®は、通信経路上に「マトリクス表」をそのま
ま流すことはしません。独自の特許技術を用いて シード と呼ば
れるマトリクス表を生成するためのデータをクライアントに送
信し、クライアント側で「マトリクス表」に変換します。
またクライアントで入力されたパスワードも、そのまま通信経路
上には流れません。ハッシュ化されたデータのみが経路上に流
れます。従って、万が一SSLによる暗号化通信が解読されたとし
ても、
「マトリクス表」や「パスワード」そのものを、通信経路上か
ら入手することはできないため、高い安全性が保たれます。
理由 ③ : 独自の二要素認証
SECUREMATRIX
®の二要素認証は、ユーザのパスワードイメー
ジ(要素:know)とクライアント識別情報(要素:have)の二要
素を組み合わせた独自の認証方式です。理由②(上述)の シード
と クライアント識別情報 によりマトリクス表の提示パターンを
決定します。あらかじめクライアント識別情報が登録されている
クライアント端末でのみ正しいマトリクス表の提示パターンが
表示され、認証が成功します。また、クライアント識別情報が通
信経路上に流れることはありません。
SSL クライアント SSLハッシュ化データ
シード
認証サーバ シード クライアント上でシードを 元にマトリクス表を生成する。 B:クライアント 識別情報ハッシュ化データ
シード
ハッシュ化データ
シード
シード と登録されていない クライアント識別情報 を元に 生成された正しくないマトリクス表が表示される シード と登録されている クライアント識別情報 により、正しいマトリクス表が表示される A:クライアント 識別情報 シード 、 クライアント 識別情報 等により 生成されたマトリクス表 A:クライアント識別情報 登録あり B:クライアント識別情報 登録なし正
誤
正
認証サーバパスワード運用の安全性
柔軟なパスワードポリシーで用途に応じたセキュリティレベルを。
SECUREMATRIX
®は認証サーバの管理画面から、ユーザが利用する
パスワードイメージに対して適用する下記のポリシーを設定すること
ができます。このポリシーを適用することで、不用なアクセスをシャッ
トアウトし、更にセキュリティレベルの高い運用を実施していただくこ
とが可能です。
パスワード文字長(パスワードイメージの桁数、固定文字の桁数)
パスワード有効期限
パスワードの強制変更
パスワードの履歴回数制限
利用不可パスワードイメージの設定
日時による利用制限
認証失敗回数の制限 等
利用状況を把握して、不正の兆候を判断。
認証の利用状況を把握することで、不正なアクセスの兆候を発見でき
ます。SECUREMATRIX
®の管理画面から、認証成功回数と失敗回数
をグラフで確認することができます。失敗回数が増えている場合には、
不正アクセスが行われている可能性が
考えられます。この場合、管理画面の
強制パスワード変更機能を利用し、次
回のユーザ認証時にパスワード変更を
ユーザに促し、不正アクセスを未然に
防ぐことが可能となります。
推測されやすいパスワードイメージは、すぐ禁止に。
推測されやすい簡単なパスワードイメージや、重複頻度が高くなる傾
向のパスワードイメージは、初期設定であらかじめ利用禁止イメージと
して登録されています。
また、SECUREMATRIX
®には「パスワードアナライズ」機能が実装さ
れており、社内のユーザが重複して利用している「パスワードイメージ」
をランキングで確認すること
が可能です。この「パスワード
アナライズ」機能を利用して、
重複頻度が高いパスワードイ
メージを「利用不可イメージ」
として登録し、ユーザに強制
的にパスワード変更を促すこ
とができます。
パスワードアタックには、アカウントロックで対応。
SECUREMATRIX
®は、パスワードアタック(ブルートフォースアタック)
に対応するために「アタックロック(認証失敗回数制限)」機能を実装して
います。一定回数の認証失敗が行われた場合には、SECUREMATRIX
®はそのアカウントをロックし、管理者により解除されない限り、そのアカ
ウントを利用することができなくなります。アカウントロックが行われた
ユーザには、SECUREMATRIX
®がメールでその旨を通知します。これに
より、第三者が自分のアカウントのパスワードを不正に取得しようとして
いることが分かるようになっています。
理由 ④ : ワンタイムパスワードを生成する は「記憶」
天文学的な組み合わせ。しかし、ユーザは覚えやすい、忘れにくい。 で囲まれたマトリクス表の位置 で示された選択する順番 例:123 4
例:1、2、7、8桁目 固定文字の場所 順番 位置 固定文字12
3535
34
シード
マトリクス表の生成記憶
ワンタイムパスワード
管理者は、推測されやすいイメージ を利用禁止に設定できます。万が一、悪意のある第三者が「シード」から「マトリクス表」を変
換できたとしても、ユーザのワンタイムパスワードを不正に入手
することは不可能です。なぜならば、ワンタイムパスワードを生
成する は「ユーザの記憶」だからです。またその「ユーザの記憶」
であるイメージパスワードの組み合わせ数は最大で約280兆通
り(64
8)と天文学的な数字となり、イメージパスワードが偶然
一致する可能性は極めて低いと言えます。
※上記クライアント端末を使用する際、プラグインの使用・不使用を選択いただけます。プラグインを使用する場合、Adobe Flash PlayerまたはJRE(Java Runtime Environment) またはActiveXがインストールされ、設定が有効になっている必要があります。
※ActiveX使用時は、Internet Explorerのみ対応となります。
※スマートデバイス対応機種に関する詳細についてはお問い合わせください。 ● 最新のクライアント環境の対応状況につきましては以下のURLをご参照ください。 PC: http://www.cseltd.co.jp/products/smx/requirement.htm スマートデバイス: http://www.cseltd.co.jp/smx_support/support_list_mobile.htm ■SECUREMATRIXおよびマトリクス認証は、株式会社シー・エス・イーの登録商標です。 ■SECUREMATRIXのシードを利用した認証方式は、株式会社シー・エス・イーの特許技術です。(特許取得済) ■Linuxは、Linus Torvalds氏の米国およびその他の国における登録商標または商標です。
■Oracle、Java、JRE(Java Runtime Environment)は、Oracle Corporationおよびその子会社、関連会社の米国およびその他の国における登録商標または商標です。 ■Flash、およびFlash Playerは、Adobe Systems Incorporatedの米国ならびにその他の国における登録商標または商標です。
■Red Hatは、米国およびその他の国におけるRed Hat, Inc.の登録商標または商標です。
■Apple、Appleのロゴ、Safari、iPhone、iPadは、米国および他国のApple Inc.の登録商標または商標です。iPhone商標は、アイホン株式会社のライセンスに基づき使用されています。 ■「FeliCa」はソニー株式会社が開発した非接触式ICカードの技術方式です。「FeliCa」はソニー株式会社の登録商標です。 ■その他、本カタログに記載されている会社名および商品名は、各社の商標または登録商標です。 ※記載事項(仕様・デザイン等を含む)は、お断りなく変更することがありますので、あらかじめご了承ください。
