スライド 1

(1)

PassLogic

エンタープライズ版

トークンレス・ワンタイムパスワード

(2)

会社概要

「乱数表から抜き出してワンタイムパスワードを生成する」

システムPassLogic (パスロジック)認証方式を発明。

1997年

PassLogic (パスロジック)認証方式が米国特許(US6141751)

を取得。パスロジック方式の技術ライセンスを日本企業へ提供する

会社として株式会社セキュアプロバイダを設立。

2000年

取得特許総数が28件を突破。

2012年

パスワード変更方法が日本国特許（JP4275080）を取得。

2009年

認証サーバ製品群を販売開始。

INTEROP TOKYO 2007でセキュリティ部門特別賞受賞。

2007年

特許取得を契機に、VC2社より出資を受け、オリジナル認証

サーバ製品の開発を開始。社名を株式会社セキュアプロバイダ

からパスロジ株式会社へ変更。

2006年

2005年

パスロジック方式を2経路に強化したシステムが日本国特許

(JP3809441)を取得。

発行ライセンスが100万IDを突破。

2014年

≪沿革≫

社名

パスロジ株式会社（PassLogy Co.,Ltd.）

住所

〒101-0052 東京都千代田区神田小川町3-26-8

設立

2000年2月24日

資本金

1億円

業務内容

セキュリティソフトウェア開発販売

役員構成

代表取締役社長小川秀治

※元イー・ゴルフ株式会社（SBIグループ）代表取締役会長

取締役ＣＴＯ酒井寛庸

取締役（社外）吉田惠子

（公認会計士・芝会計事務所代表）

取締役（社外）石井裕一郎

（工学博士・特定侵害訴訟代理業務可能弁理士）

監査役（常勤）上西義行

監査役行方國雄

（弁護士・ＴＭＩ総合法律事務所パートナー）

特許権取

得

【15件】日本

【6件】米国

【3件】中国

【2件】韓国、オーストラリア

【1件】オーストリア、ベルギー、スイス、リヒテンシュタイン、デンマー

ク、スペイン、フランス、フィンランド、イギリス、アイルランド、イタリア、

ルクセンブルク、モナコ、オランダ、

スウェーデン、トルコ、ドイツ

主要株主

小川秀治

参加団体

SSFC/Shared Security Formats

世界初の表示形式を採用したパスワード生成・管理アプリ

「PassClip」の提供開始

2014年

(3)

導入事例

※2015年1月現在 ・メガバンク（都市銀行） 行内利用（メールシステムの認証） ・信託銀行 法人向けASPサービスの認証 ・関西大学 学内ポータル(全学)で利用／数万規模 ・官公庁（中央省庁） メールシステムの認証 ・独立行政法人系外郭団体 会員向け情報提供システム（WEB)の認証 ・通信関連企業 スマートフォン用アプリの認証（組込み） ・テレビ局A（キー局） ユーザー管理システム（WEB）の認証 ・テレビ局B（キー局） グループ企業間の認証 ・株式会社一休 CiscoASAの認証強化 ・製薬会社 SSL-VPNの認証強化 ・リース関連会社 会員向け業務システムの認証 ・PC関連機器開発会社 Citrix WebInterface＋AccessGatewayの認証 ・電力会社 法人向けASPの認証強化 ・エネルギー（石油、ガス）事業社 取引先企業との受発注管理システム ・アパレル関連会社 グループウェアへのリモートアクセス及びSSL-VPN ・航空会社 スマートフォンからのリモートアクセス環境 ・道路関事業会社 VPNおよびメールシステムの認証 ・私立学校法人 BCP対策の一環でリモートアクセス環境を構築 ・大手ゲームメーカー SSL-VPN環境の認証 ・海洋施設関連企業 携帯電話からのリモートアクセスの認証 3

発行ライセンス数

1,000,000

ID

世界が認めたパスワード認証

(4)

導入事例（クラウドサービス事業者）

※2014年9月現在 4

クラウドサービス提供事業者

13 社

ワンタイムパスワード認証サービスの標準方式へ

・NTTコミュニケーションズ

モバイルコネクト

・NTTPCコミュニケーションズ

Master’s ONE、InfoSphere

・ソフトバンクテレコム

ホワイトクラウドワンタイムパスワード

・KDDI

KDDI Flex Remote Access

・IIJ

IIJ GIOリモートアクセスサービス

・富士通

FENICSⅡ

・NEC

UNIVERGE Live

・大塚商会

O-CNET AIR GATE

・エクサファクトリー

ワンタイムパスワード認証ASPサービス

・スターネット

STAR-AUTH

・外為どっとコム

コンシューマ向け外貨取引

■通信キャリア・電気通信事業者

_{■電気メーカー・金融・情報通信etc.}

※2015年1月現在

・ディーアイエスソリューション

PassLogic on SaaS

・大手金融系

法人向けサービス

(5)

ワンタイムパスワードとは

5

＊＊＊＊＊＊

Password: Login

1

回目の ログイン

＊＊＊＊＊＊

Password: Login

2

回目の ログイン

ワンタイムパスワードは、ログインごとに毎回異なる値のパスワードを入力しま

す。繰り返し同じパスワードを使わないことでセキュリティを高める技術です。

Password

571803

860217

Password

毎回新しいパスワードでログイン

同じパスワードを繰り返し使わないので、

不正ログインは難しい

(6)

固定パスワードが抱えるジレンマ

6

企業の対策

実際の運用

固定パスワードの問題

 辞書に掲載されているような単語を使う

 誕生日や電話番号など身近で覚えやすい数字を使う

 複数のシステムで同じパスワードを使いまわす

セキュリティの向上およびコンプライアンスの徹底には

「従業員の努力」ではなく、システム化が求められる



パスワードのメモを禁止



8桁以上の意味のない英数字（大小）・記号の羅列



90日ごとに利用している全てのログイン用パスワードを変更



複数のシステムで共通するパスワードを禁止

 プライベートで使っているパスワードと同じパスワードを業務システムで使っている

 ブラウザにパスワードを保存している

 定期的なパスワード変更は1文字だけ変えて済ませている

 液晶モニターにメモを貼ることはやめたが、実はメモしている

一方、実直にパスワードポリシー

を守ったユーザーは…

パスワードが覚えられず

サポート大幅増

ジレンマ

(7)

ハードウェアトークンの悩み

7

■ユーザの悩み

■管理者の悩み

■経営者の悩み

 トークンは面倒だ…



現場に持っていくのを忘れた。ログインができず業務が一時ストップ…



紛失してしまって始末書を書くはめに…



ポケットに入れたまま洗濯した。



USB差込み口がすぐに壊れる。



海外出張で暗号化製品の持ち込み手続きに苦慮した。

 大切な情報を守るために全社員にワンタイムパスワードを使わせたいが、

トークンはユーザー数に比例して負担が膨大になるため難しい…



ユーザー毎にトークンを配布するのは大変。



トークンの故障や紛失のたびに購入しなおして利用者に渡さなければならない。



トークンの管理（紛失・電池切れしていないかなどの棚卸）が非常に大変。



時間同期ズレのサポートが大変。

 リモートアクセスは今や競争力強化のために必須！

多くの従業員に使わせたいがセキュリティ対策にはコストが掛かりすぎる…



トークンの購入費用が高い



紛失、故障の買い直しに膨大なコストがかかる。



震災時にトークンを配れるだろうか？

(8)

あなたの課題・悩みをPassLogicが解決！

8 経営者運用管理者利用者

トークン管理不要

運用の自動化

Webベースの管理

覚え難いPW不要

トークン不要

セキュリティUP

コスト

セキュリティリスク

大幅に低減

ハードウェアトークンが必要ないPassLogicは、約70%（最大76％）ものコスト削減・低減を実現します。1企

業あたりのリモートアクセス利用者が増加する中、トークンはユーザ数に比例してコストや運用負荷が高くなりすぎる

ため、利用者規模の拡大には高いハードルがあります。PassLogicはトークンを配布しなくてもよく、規模の大きな

システムでも無理なくご利用いただけます。

年間

70 ％

コスト

DOWN

123456

トークン不要だから…

大幅

UP

覚えやすさ

セキュリティ

固定パスワードが不要だから…

複雑で覚えにくいパスワード

H3$zaQe6

(9)

PassLogic認証とは？

(10)

認証の仕組み

※マス目をクリックするのではなく、キーボードを使って数字入力します。

2. ログイン時は登録した【マス目の位置】の数字を【順番】通りに抽出し、パスワードとして使用。

1. 【マス目の位置】と【順番】（シークレットパターン）がパスワードになる。

(11)

ログイン手順

11

たった

3ステップ

だけで簡単にログイン！

STEP1

ユーザー名を入力

STEP2

パスワードを入力

STEP3

ログイン完了

複数のアプリと

連携する際に便利！

各種アプリケーションにシ

ングルサインオンできます。

三 × □ ＿ * 画面はF5 BIG-IP APM

(12)

ログイン手順

２段階認証

（ActiveDirectory認証の追加）

①ユーザIDとADパスワード入力

三 × □ ＿三 × □ ＿

②パスワード入力

③ログイン完了

二段階目

ActiveDirectoryの

アカウントでログイン

一段階目

ADとの認証連携＆ID同期が可能！

ActiveDirectoryのアカウントを

PassLogicが自動保存し

次回以降の入力を省略可能！

POINT

1. ADのアカウント情報があれば利用を開始できます。

（ADログインがOKの場合にパターンの設定が開始！）

2. PassLogicが保存したADアカウントをバックエンドの連携

製品に引き継ぎシングルサインオンすることが可能！

(13)

ログイン手順

２要素認証

①ユーザIDとADパスワード入力

三 × □ ＿三 × □ ＿

②パスワード入力

③ログイン完了

マス目の場所で覚える 三 × □ ＿

ソフトウェア型トークンが利用可能！

時間同期（TOTP）方 式のワンタイムパスワード

iOS,Android

専用アプリ

(14)

Webトークンによるログイン

14 三

×

□

＿

Windows 標準クライアント

Horizon View Client

Cisco ASA AnyConnect / FortiClient

SonicWall NetExtender / PaloAlto など

主なクライアントソフト

Juniper JunosPulseやF5 EdgeClientはWebトークン以外の連携方法が用意されています。

専用クライアントソフトの認証強化にも使える！

乱数表を表示できない

専用クライアントソフトのログインにも！

ブラウザで乱数表だけを表示

(15)

対応する連携プロトコル

15

SSL-VPN

クラウド・サービス

(Google Apps、salesforce、cybozu.com)

社内LANへ

RADIUS

HTTP

(リバースプロキシ)

社内Webアプリケーションへ

Office365

PassLogicは、世界的に広く普及する連携方式を採用していますので、システム間の連携に

関するトラブルが少なく、また連携設定もとても簡単です。

三 × □ ＿

RADIUS

HTTP

（リバースプロキシ）

SAML2.0

Module

ADFS

Office365 連携用モジュール

(16)

連携検証済み製品

16

SSL-VPN / IPsec / ソフトウェアVPN

• Cisco ASA

• BIG-IP APM

• Juniper SA / MAGシリーズ

• FortiGate

• SonicWALL

• PaloAlto

• CheckPoint

グループウェア＆WEBメール

• デスクネッツネオ

• サイボウズ Office

• サイボウズガルーン

• Outlook Web Access

• Active!mail

※ 検証当時のバージョンによる検証となります。 ※ 掲載しているアプリケーションは全ての動作を保障するものではありません。 ※ バージョンやカスタマイズ状況によっては、一部機能が制限される場合があります。 ※ 会社名、団体名、製品及びサービス名などは、各社または各団体の商標もしくは登録商標です。

クラウド

• Office 365

• Google Apps

• Salesforce

• cybozu.com

仮想デスクトップ

• Citrix NetScaler

（XenApp/XenDesktop連携）

• VMware Horizon View

(17)

追加できるセキュリティ

(18)

ソフトウェア型トークン

一般的なソフトトークン

ソフトトークン

PassClip

正解をそのまま表示しないので、

一般的なトークンよりも高いセキュリティを実現！

Token App

One-Time Password

1234 5678

誰にでも正解がわかってしまう。

正解が表の中に隠されているため、

正解が分かるのは本人だけ！

本人の端末 ＋ 本人だけが知るマス目の場所

だから

「紛失」

や

「盗難」

にも強い！

(19)

三× □ ＿

ログイン端末の制限

利用端末の制限

（特定の端末からのみログイン）

19

あらかじめ登録した端末からの認証要求だけを受け付けます。登録されていない端末

からのログインをシャットアウトできます。

二重のセキュリティとして

ワンタイムパスワードだけでも十分信頼性の高いセキュリティを提供しますが、さらなる追加のセキュリティとしてご利用いただけます。

BYODの申請を許可された端末として

BYOD用として申請された端末を登録しておき、その他の端末からはアクセスを許可しないための機能としてご利用いただけます。

ユーザーの私物端末に専用アプリケーションや証明書などを入れることなく容易に実現します。

■ 想定する利用シーン

未登録端末ではログイン不可！

(20)

PL001

*************

スタティックパスワード機能

20

ワンタイムパスワードにスタティックパスワード（固定パスワード）を追加できます。企業の

パスワードポリシーに「英字や記号を含めること」が定められているケースでも対応可能です。

Login

スタティックパスワード

（固定パスワード）

シークレットパターン

Password

PL00150684

スタティックパスワード

（固定パスワード）

ワンタイムパスワード

（シークレットパターン）

(21)

機能と特徴

(22)

シングルサインオン

22

業務システムのログインを統合！

たった一度の認証だけで多くの業務システムへログイン。

Mail VPN VDI Cloud Collaborative Software

ログインに費やしていた

無駄な時間を短縮し

本来の業務に専念できる！

(23)

アクセスコントロール

23 ※アクセス権限の無いシステムのURLへ直接アクセスした場合は、PassLogicがアクセスコントロールを行い、403 Forbidden（権限が無いためアクセス不能）を返します。

所属グループに基づいたアクセスコントロールに対応します。

ユーザの所属グループに応じて、Webアプリケーションへのアクセスを許可、あるいは拒否が可能です。

(24)

マルチポリシー

24

PassLogic認証

6桁以上12桁未満

定期的なパスワード変更必須

等

ポリシーA

トークン認証（PassClip）

9：00-18：00の間のみ認証可能

等

ポリシーB

「アクセスするシステムによってパスワードポリシーを変えたい」

「一般従業員と取締役で認証方式を分けたい」

にお応えできます。

(25)

ポリシー設定一覧

項目名

項目の説明

認証方式

PassLogic（トークンレス）または PassClip（ソフトトークン）のいずれかを選択します。

ロック・アウトまでの連続失敗回数

連続で認証失敗した回数が設定値に達したユーザはロックされます。

ロック・アウト解除までの秒数

指定した秒数でロック・アウト状態が自動的に解除されます。

認証可能な時間帯

指定時間帯のみ認証することができます。

端末固定

認証可能な端末(ブラウザ)を固定します。

ADパスワード保存

アカウントを AD で管理されているユーザが PassLogic へログインするときに入力した AD パスワードを PassLogic デ

ータベースに保管します。*AD パスワードが保存されたユーザは、次回以後のログインで AD パスワードの入力を省略で

きます。

項目名項目の説明乱数表の有効期限 PassLogic 乱数表の有効時間を設定します。再設定時の制限直近 n 回と同じシークレットパターンの設定を禁止します。シークレットパターンの有効期限シークレットパターンを定期的に変更させたい場合に日数を設定します。初回パスワード変更を強制初回利用時と管理者によるパスワード強制変更後にパスワードの変更をユーザに強制します。パスワード変更時に現在のパスワードを確認するユーザが PassLogic ログイン中に任意のパスワードを変更する前に、現在のパスワード確認を要求するか否かを設定します。パスワードの長さワンタイムパスワードの長さを指定します。ランダム発行時の長さ初期シークレットパターンをランダム生成するときの長さを指定します。スタティックパスワードの長さスタティックパスワード（固定パスワード）の長さを指定します。シークレットパターンの制約安易なシークレットパターンの使用を制限します。（一筆書き禁止 / 全てのブロックから必ず 1 つ以上選択する / 設定禁止シークレットパターン[個別に禁止パターンを登録]）パスワードリマインダーの利用を許可ユーザがパスワードを忘れてしまった時に、ユーザ自身でパスワードを再発行できる機能の使用可否を設定します。 Web Tokenの使用 Web Token を使用する際には有効にしてください。

(26)

マルチスクリーン・マルチOS・マルチデバイス

26

ウィンドウサイズに応じて、自動的に画面サイズを調整しましす。一番使いやすいサイズで画面を表示でき、

ユーザーはいつでも快適に操作できます。

常に最適なサイズで表示するか

ら使いやすい！

(27)

運用管理

(28)

ユーザー登録機能

手動登録

1. 管理GUIからの手動ID登録

管理者がユーザごとに作成可能です。

2. 管理GUIからのCSVファイル

による一括ID登録

追加・更新・削除ができます。

【更新時の注意】

ユーザーID、シークレットパターン、スタティックパスワードは更新されませ

ん。

自動登録

3. Active Directoryサーバ

との認証＆ID連携

ログインのたびにユーザID単位でADと同期。

4. LDAP、ActiveDirectory

サーバからのID取り込み

定期的にLDAP・ADからユーザーIDを取り込み。

5. CSVファイルによるID登録

スケジュールで定期的にCSVを取り込むことができます。

お客さまの環境や運用にあわせて選択してください。

(29)

ユーザー登録の流れ（手動登録）

29 1. ユーザ追加 3. 案内文テンプレートに従いメールを生成しユーザに送信 2. 利用開始の案内メール送信要求 5.利用開始 4. パスワードの強制変更が ONの場合はパスワード変更

管理者

PassLogic

ユーザー

＜ユーザ登録画面＞

管理者が任意の初期パスワー

ドを設定するか、システムによる

ランダム設定にするかを選択で

きます。

初回利用時に、パスワードを

強制的に変更させることができ

ます。

(30)

案内メールの自動生成機能

30 <%UNAME%> 様 ●●システムのログイン用アカウントをお知らせします。 * 本メールには重要な内容が含まれておりますので大切に保管して下さい。初めて利用される際には、端末登録用のURLにアクセスし、普段利用される端末を登録をしてください。端末登録が完了するとシステムにログインできるようになります。 ■端末登録用のURL https://remote.example.com/ui/?key=<%ENTRYKEY%> *端末登録用URLは1端末のみ登録可能です。 ■ログインページのURL https://remote.example.com/ui/ ■ログイン情報ユーザID: <%UID%> 初期シークレットパターン: <%PASSLOGICPATTERN%> スタティックパスワード: <%SPASSWORD%> ■ログイン手順 1) ログインページのURLへアクセス 2) ユーザIDを入力し[次へ]をクリック 3) シークレットパターンの後に続けてスタティックパスワードを入力して[ログイン]をクリック ※ 初回ログイン後はパスワードの変更が必須となります。はじめてご利用になる場合は、利用者マニュアルをご確認ください。 http://www.example.com/passlogicdoc.pdf ---お問合せはシステム部パスロジ太郎 00-0000-0000 案内メールテンプレート例 ■端末登録用のURL https://remote.example.com/ui/?key=2136-7056-4333-0697-7018-9921 *端末登録用URLは1端末のみ登録可能です。 ■ログインページのURL https://remote.example.com/ui/ ■ログイン情報ユーザID: user01 初期シークレットパターン： 1*** ***8 **** *2** **7* **** **3* *6** **** ***4 5*** **** スタティックパスワード: 1234

置換タグの展開例

置換用タグ一覧 内容 <%UID%> PassLogicユーザーID <%UNAME%> 氏名 <%ENTRYKEY%> アクティベーションキー <%SPASSWORD%> スタティックパスワード <%PASSLOGICPATTERN% > シークレットパターン

メールテンプレートに使用できる置換タグ

利用開始に必要な情報を、ユーザ宛てにメールで自動送信できます。

(31)

ロックアウトの解除機能

31

①管理者による手動ロック解除

②経過時間による自動ロック解除

アカウントがロックアウトされた場合の解除方法は、以下の2種類があります。

・管理者による手動解除

・一定時間経過による自動解除

＜管理画面：セキュリティポリシー設定＞ ＜管理画面：ユーザ一覧＞

_{ロックが掛ると、ユーザ一覧のロックの}

項目が赤くなります。管理者がクリッ

クすることでロックを解除できます。

指定した秒数で自動的にロックを解

除できます。また、自動ロック解除を

しない設定も可能です。

(32)

パスワードの再発行機能

32 パスワード再発行のための項目を入力

① 管理者によるパスワード再発行

＜管理画面：ユーザ一覧＞

_{再発行を行いたいユーザの}

「パスワード再発行」欄をクリック。

管理者による 再発行手順

1. 入力した内容でパスワードを

再発行したことをユーザに通

知します。

2. 変更後のパスワードは、ユーザ宛

てにメール送信します。

(33)

パスワードの再発行機能

33

② セルフリマインダによる再発行（ユーザ自身でリカバリ）

 専任のシステム担当者がいない

 夜間・休日のサポートはできない

ユーザーサポートの課題

ユーザーパスワード何だっけ？

パスワード忘れのサポート負荷を大幅に軽減！

(34)

ログ閲覧機能

34

他にも以下の機能があります。

・syslogサーバへの出力

ユーザの認証ログや管理者の操作ログなどを残すことが可能です。

ログを追うことで発生事象を確認できるので、ユーザサポートや監査などに利用できます。

ログ出力フォーマットに従い、認証成

功、失敗、ロックアウト、ロック解除、

パスワード変更成功などの操作ログ

を書きだします。

(35)

サーバ環境・構築

(36)

システム要件

36

サーバOS

Red Hat Enterprise Linux 6.x x86_64 ※2

CentOS 6.x x86_64 ※2

httpd ※1

Apache HTTP Server

Version:2.2.15

Release:9.EL6 以降

php ※1

Version: 5.3.3

Release:3.EL6 以降

ユーザーインターフェイス

https(443/tcp)

管理ツール

https (8443/tcp)

RADIUS(利用する場合)

radius(1812/udp)

主な通信ポート番号

※1 各モジュールは、OS ベンダ提供パッケージのみサポートされます。独自コンパイルしたものはサポート対象外です。

※2 NSA Security-Enhanced Linux(SELinux)を有効にした環境での動作はサポートしていません。OS インストール時に「無効」に設定してください。 ※ 仮想サーバでの動作もサポート対象です。（ゲストOSが動作環境を満たしている必要があります。）

※ 使用する通信ポート一覧は、インストールマニュアルに詳細が記載されています。

2015年9月現在

AWS - Amazon Web Services Microsoft Azure

- Cent OS 上での動作を確認

動作確認済みクラウドサーバ環境

(37)

サーバーハードウェアスペック

37

PassLogic認証サーバの性能仕様

3600認証 / 分

（乱数表生成・パスワードの照合のセットを1認証とカウント）

ユーザ数

容量

1000

0.7MB

5000

3.3MB

10000

7.0MB

50000

33.0MB

1認証

（乱数生成と照合のセット）

約4KB

※1認証あたりの容量はアカウントの情報量（IDやメールアドレスなどの文字数）により異なります。利用頻度やログの保存期間を考慮してHDDを選択してください。 ※保存するログの容量は、Linux(logrotate)にて設定してください。

項目

スペック

CPU

Pentium1GHz以上

メモリ

1GB以上

HDD

60GB以上

ユーザ情報DB HDD容量

1認証あたりの/var/log以下増加量

ログファイルファイルが含まれるディレクトリ(インストー

ル状態ではローテーションされます)

/var/log/httpd/

/var/log/passlogic/

/var/log/passlogic-pgpool/

/var/log/radius/

1認証

（乱数生成と照合のセット）

約4KB

ログ100件あたりのDB増加量

最小ハードウェアスペック

※ゲートウェイサーバと認証サーバを分離する構成の場合、ゲートウェイサーバのスペック用件は認証サーバと同等です。ただし、１認証あたりのログ（ /var/log/httpd 以下）の増加量は約2KB程度となります。

■上記ベンチマークのサーバスペック

CPU：4Core メモリ：4GB HDD：SATA

(Windows7上の仮想マシン)

(38)

クライアント端末対応状況

38

【スマートフォン】

PCと共用。HTML5に準拠したhtmlページを出力するので、flashや

Javaなどのブラウザプラグインによる影響を受けません。

スマートフォンに内蔵されている標準ブラウザで利用が可能です。

ブラウザ

文字コード

管理ツール

Internet Explorer9, 10, 11

UTF-8

Edge

Firefox

Chrome

ユーザインターフェイス

Internet Explorer9, 10, 11

Edge

Firefox

Chrome

iPhone / iPad Safari

Android標準ブラウザ

(39)

アプリケーションサーバーと認証サーバーの分離構成

39 ※アプリケーションサーバと認証サーバを分離する場合は追加のライセンス費用は発生しません。

DMZ

社内

LAN

1台構成

_分離構成

以下のサーバ構成が可能です。

・ 1台のサーバで構成する

・アプリケーションサーバと認証サーバを分離した分離構成（2台構成）

・ Active-Standby、 Active-Activeの最大4台構成を取ることも可能

RHEL (OS)

Apache

RADIUS

DB

PassLogic

ユーザ向けUI

管理ツール

1台のサーバで構成可能

ゲートウェイ サーバ 認証サーバ PassLogicAPI

RHEL (OS)

Apache

RADIUS

PassLogic

ユーザ向けUI

管理ツール

RHEL (OS)

DB

ユーザ向けUI

Apache

ADへの認証要求が（DMZ

上サーバからではなく）intra

内のPassLogicサーバからと

なり、企業のネットワークセ

キュリティポリシーに適合可能

(40)

冗長化構成

40

データ・レプリケーション機能で冗長構成や災対環境の構築が可能です。

アクセスの振り分けには別途ロードバランサ―が必要です。

PassLogic

認証サーバ1

認証サーバ2

PassLogic

ロードバランサ

Replication

メインサイト

_{サブサイト}

災対用

replication

冗長化構成

災害対策用構成

（ディザスタリカバリ構成）

PassLogic

GWサーバ1

GWサーバ2

PassLogic

Act

(41)

認証連携フロー

(42)

RADIUS連携

（シングルサインオン）

42

PassLogic

VPN機器

WebApp1

WebApp2

リモートデスクトップ

サーバ

ファイルサーバ

202.19.xxx.xxx/24 192.168.1.0/24 trust DMZ

①

ID送信（tcp:443）

②

乱数表を送出（tcp:443）

③

PW(OTP)を送信

④

ID&PWを代理POST

⑤

_(udp:1812)RADIUS認証

⑥

OK or NG (アトリビュート付加)

⑦

(43)

RADIUS連携

（シングルサインオン）

43

PassLogic

ゲートウェイサーバ

VPN機器

WebApp1

WebApp2

リモートデスクトップ

サーバ

ファイルサーバ

202.19.xxx.xxx/24 192.168.1.0/24 trust DMZ

①

④

⑤

⑥

ID&PWを代理POST

⑨

SSL-VPN通信

PassLogic

認証サーバ

②

乱数表を要求（TCP:443）

③

(44)

RADIUS連携

（Webトークン）

44

PassLogic

VPN機器

WebApp1

WebApp2

リモートデスクトップ

サーバ

ファイルサーバ

202.19.xxx.xxx/24 192.168.1.0/24 trust DMZ

①

②

③

ID&PW(OTP)を送信 乱数表からPW生成

④

RADIUS認証 (udp:1812)

⑤

OK or NG (アトリビュート付加)

⑥

(45)

RADIUS連携

（Webトークン）

45

PassLogic

ゲートウェイサーバ

VPN機器

WebApp1

WebApp2

リモートデスクトップ

サーバ

ファイルサーバ

202.19.xxx.xxx/24 192.168.1.0/24 trust DMZ

PassLogic

認証サーバ

②

乱数表を要求（TCP:443）

③

乱数表を送出 ゲートウェイサーバと認証サーバの分離構成 INTERNET

①

④

⑤

ID&PW(OTP)を送信 乱数表からPW生成

⑧

(46)

リバースプロキシ連携

46

PassLogic

WebApp1

WebApp2

リモートデスクトップ

サーバ

ファイルサーバ

202.19.xxx.xxx/24 192.168.1.0/24 trust DMZ

①

②

③

⑤

menuでリンクがクリックされると ID&PWを代理POST （SSOする場合）

⑥

Webアプリ利用開始（tcp:443） INTERNET リバースプロキシ （PassLogic経由でWebAppへアクセス）

HTTPヘッダにユーザIDを付加できるの

で、HTTPヘッダによるSSOも可能

④

(47)

リバースプロキシ連携

47

PassLogic

ゲートウェイサーバ

WebApp1

WebApp2

リモートデスクトップ

サーバ

ファイルサーバ

202.19.xxx.xxx/24 192.168.1.0/24 trust DMZ

①

④

⑤

ID&PWを送信

⑨

menuでリンクがクリックされると ID&PWを代理POST （SSOする場合）

PassLogic

認証サーバ

②

乱数表を要求

③

乱数表を送出 ゲートウェイサーバと認証サーバの分離構成 INTERNET

⑥

ID&PW認証要求

⑦

menu表示（OK or NG）

⑧

menu表示（menu表示はスキップ可）

⑩

Webアプリ利用開始（tcp:443） リバースプロキシ （PassLogic経由でWebAppへアクセス）

HTTPヘッダにユーザIDを付加できるの

で、HTTPヘッダによるSSOも可能

(48)

SAML 2.0 連携

48

PassLogic

Google Apps

Salesforce

AWS / Azure / etc

①

②

③

⑤

menuでリンクがクリックされると SAML2.0フェデレーション連携 INTERNET

④

menu表示(menu表示はスキップ可)

cybozu.com

認証されていない場合は PassLogicへリダイレクト ※認証されていない場合の動作はクラウドアプリ側の仕様に準じます。

SAML2.0 （IdP）

(49)

参考情報

(50)

パスロジが持つ主な特許

50

乱数表から抜き出してパスワードを生成する認証方式

（US6141751,JP5276658）

２経路により強化したパスロジック方式

（JP3809441）

抜き出し位置登録方法

（JP4275080, JP4455666）

パスロジックをＶＰＮやシングルサインオンで利用する技術

（JP4351349）

※特許発明に係わるサービス・製品を正当な権限なく実施すること(第三者から購入してエンドユーザとして利用する場合や自社開発により実施する場合も含む)は、特許権侵害となります。 ※2014年3月現在、パスロジ社は他社認証製品に対し特許ライセンスを実施しておりません。(クラウド等のサービスを除く) ※パスロジ社の正規ライセンスを受けたサービス・製品には、パンフレット等にパスロジ社のライセンス表示が付されています。 (C) 2015 PASSLOGY Co.,Ltd

スライド 1

PassLogic

エンタープライズ版

トークンレス・ワンタイムパスワード

会社概要

「乱数表から抜き出してワンタイムパスワードを生成する」

システムPassLogic (パスロジック)認証方式を発明。

1997年

PassLogic (パスロジック)認証方式が米国特許(US6141751)

を取得。パスロジック方式の技術ライセンスを日本企業へ提供する

会社として株式会社セキュアプロバイダを設立。

2000年

取得特許総数が28件を突破。

2012年

パスワード変更方法が日本国特許（JP4275080）を取得。

2009年

認証サーバ製品群を販売開始。

INTEROP TOKYO 2007でセキュリティ部門特別賞受賞。

2007年

特許取得を契機に、VC2社より出資を受け、オリジナル認証

サーバ製品の開発を開始。社名を株式会社セキュアプロバイダ

からパスロジ株式会社へ変更。

2006年

2005年

パスロジック方式を2経路に強化したシステムが日本国特許

(JP3809441)を取得。

発行ライセンスが100万IDを突破。

2014年

≪沿革≫

社名

パスロジ株式会社（PassLogy Co.,Ltd.）

住所

〒101-0052 東京都千代田区神田小川町3-26-8

設立

2000年2月24日

資本金

1億円

業務内容

セキュリティソフトウェア開発販売

役員構成

代表取締役社長 小川 秀治

※元イー・ゴルフ株式会社（SBIグループ）代表取締役会長

取締役ＣＴＯ 酒井 寛庸

取締役（社外） 吉田 惠子

（公認会計士・芝会計事務所代表）

取締役（社外） 石井 裕一郎

（工学博士・特定侵害訴訟代理業務可能弁理士）

監査役（常勤） 上西義行

監査役 行方 國雄

（弁護士・ＴＭＩ総合法律事務所パートナー）

特許権取

得

【15件】日本

【6件】米国

【3件】中国

【2件】韓国、オーストラリア

【1件】オーストリア、ベルギー、スイス、リヒテンシュタイン、デンマー

ク、スペイン、フランス、フィンランド、イギリス、アイルランド、イタリア、

ルクセンブルク、モナコ、オランダ、

スウェーデン、トルコ、ドイツ

主要株主

小川 秀治

参加団体

SSFC/Shared Security Formats

世界初の表示形式を採用したパスワード生成・管理アプリ

「PassClip」の提供開始

2014年

導入事例

発行ライセンス数

1,000,000

ID

世界が認めたパスワード認証

導入事例（クラウドサービス事業者）

クラウドサービス提供事業者

13

社

ワンタイムパスワード認証サービスの標準方式へ

・NTTコミュニケーションズ

モバイルコネクト

・NTTPCコミュニケーションズ

代表取締役社長小川秀治

取締役ＣＴＯ酒井寛庸

取締役（社外）吉田惠子

取締役（社外）石井裕一郎

監査役（常勤）上西義行

監査役行方國雄

小川秀治

ホワイトクラウドワンタイムパスワード

_{■電気メーカー・金融・情報通信etc.}