Copyright (C) 2012 Base Technology, Inc. All Rights Reserved. pg. 1
技術レポート
1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携
3)QuiX 端末認証 RADIUS オプションと APRESIA の連携
Copyright (C) 2012 Base Technology, Inc. All Rights Reserved. pg. 2 1)QuiX 端末認証と HP IceWall SSO における認証連携
・はじめに 現在多くの企業の情報システムに Web 型のシステムが採用されています。 Web 型システムは、従来のクライアントサーバ型のシステムに比べ、クライアントに特別なソフト ウェアをインストールする必要がないため、管理コストやメンテナンスコストを抑えることができると いった利点があるため急速に普及しました。その反面、PC 標準のブラウザさえあれば誰でもアクセス が可能といったリスクも持ち合わせています。このリスクは、これまでのように閉じた社内ネットワー クで利用している間は大きな問題とされてきませんでした。しかし、昨今のデータ通信の高速化・定額 化といった通信インフラの進化や、スマートフォン・タブレットの急速な普及、クラウドサービスの業 務利用の拡大により、社外のオープンなネットワークからのアクセスは避けて通れない課題となってき ています。 このような環境の変化に伴い、従来の ID/パスワードによる認証だけでは、パスワード漏えいによる なりすましや、個人デバイスからの不正アクセス、などのリスクが懸念されています。
今回は QuiX 端末認証と IceWall の連携により、二要素認証を実現し、Web アプリケーションの認証 を強化する方法をご紹介いたします。 ・QuiX 端末認証について QuiX 端末認証は、端末の固有情報を秘密分散法により分割したトークンを端末とサーバそれぞれに 配置します。認証の際は端末に配置したトークンをサーバに送り、サーバで固有情報を復元することで、 端末を特定する仕組みです。このトークンは、認証のたびに更新されるワンタイムトークンとなってい るため、ハッキングされにくいというメリットがあります。これにより、特定の端末以外からのアクセ スを防止し、パスワード漏えいによるなりすましや、不正な PC が社内ネットワークに接続されること による、情報漏えいやウィルス感染を防止します。 また API を提供することにより他の認証方式と連携可能で、利用者・運用管理者の負担が増えないと いうメリットがあります。
1. QuiX 端末認証と HP IceWall SSO の認証連携メリット 1.1.QuiX 端末認証との連携を行わない場合のリスク
Web システムを利用する際、ID とパスワードのみで認証を行うため、パスワードの漏えいによる第 三者のなりすましのリスクがあります。また、正規の利用者が個人の PC からアクセスする事も可能な ため、ウィルスやマルウェア、ファイル交換ソフト等により情報漏えいが発生するリスクもあります。
Copyright (C) 2012 Base Technology, Inc. All Rights Reserved. pg. 3 1.2.QuiX 端末認証によるメリット QuiX 端末認証を導入することで、Web システムを利用する際にまず正規の端末からのアクセスかど うかを確認する事が可能となります。これにより仮にパスワードが漏えいしたとしても、正規の端末以 外からはアクセスできないため、不正アクセスを防止する事ができます。また正規の利用者であっても 許可された端末以外からアクセスできないため、個人 PC からのアクセスによる情報漏えいやウィルス 感染を防止することができます。
運用管理者に対しては、QuiX 端末認証の API を利用することで IceWall の ID 管理と QuiX 端末認証 の ID 管理を統合し、複数の DB に対してメンテナンスを行う手間を省いています。利用者に対しては、 自動的に端末認証されるため従来の ID とパスワード入力だけでよく、操作方法は変わらず、利便性を 損なうことはありません。 さらには端末を紛失した際に、紛失した端末だけ利用停止を行うことが可能なため、利用者自身のア カウントは利用を継続できるというメリットもあります。 2.システム構成
Web システムへのアクセスにおける QuiX 端末認証と HP IceWall SSO との認証連携のシステム構 成は下記の通りです。
Copyright (C) 2012 Base Technology, Inc. All Rights Reserved. pg. 4
3.QuiX 端末認証と HP IceWall SSO の連携方法 3.1.処理フロー
Web システムへのアクセスにおける QuiX 端末認証と HP IceWall SSO との認証連携の処理フロー は下記の通りです。 3.2.処理フロー概要 ①Web システムにアクセスするユーザは、まず IceWall にアクセスし ID とパスワードを入力します。 ②入力された ID とパスワードを受取った IceWall は、正規の ID とパスワードであるかどうかの認証 を行います。 ③正規の ID とパスワードであると判定された場合、その ID をフォワーダ経由で QuiX 端末認証に引 き渡します。 ④IceWall から ID を受取った QuiX 端末認証は、端末が正規のものであるかどうかを確認します。 ⑤QuiX 端末認証で正規の端末と判定した場合、ID と新しく配置したトークンを IceWall の認証ルー
チンに引き渡します。
⑥IceWall の認証モジュールは RADIUS インタフェースを使用して、ID とトークンを QuiX-RADIUS に引き渡します。
⑦QuiX-RADIUS で認証が OK の場合、端末からお客様社内にある Web システムへのアクセスが可 能となります。
Copyright (C) 2012 Base Technology, Inc. All Rights Reserved. pg. 5
まとめ
本技術レポートでは、QuiX 端末認証と IceWall の連携により、Web システムへのアクセスに二要素 認証を導入することで、認証を強化する方法についてご紹介いたしました。
IceWall の統合 ID 管理・シングルサインオンに、二要素認証を付加した結果、Web システムへのア クセス管理を強化しながらも利用者・運用管理者の負担を増やさないことを実現しました。
二要素認証を実現する仕組みとして、QuiX 端末認証は Windows パソコンだけでなく、Android や iOS に対応しているため、これからのマルチデバイス環境にも柔軟に対応できます。また Web システ ムに限らず、SSL-VPN などのネットワーク機器と連携も可能なため、様々な環境で二要素認証による アクセス管理強化を実現可能です。
Copyright (C) 2012 Base Technology, Inc. All Rights Reserved. pg. 6 2)QuiX 端末認証と Citrix XenApp の認証連携
・はじめに
外出先などの社外から社内ネットワークにアクセスする際に、端末に情報を残さないソリューション として、近年デスクトップの仮想化が注目されています。従来の PC に加えて、iPad や Android タブ レットなどのスマートデバイスからの利用も可能なので、リモートアクセスのセキュリティ対策として 普及が拡大すると考えられます。今回、Citrix XenApp と QuiX 端末認証の連携によって、XenApp の ID/パスワード認証に加えて、QuiX 端末認証を行う二要素認証(Two-Factor Authentication)を実 現する方法をご紹介いたします。 ・QuiX 端末認証について QuiX 端末認証は、端末の固有情報を秘密分散法により分割したトークンを端末とサーバそれぞれに 配置します。認証の際は端末に配置したトークンをサーバに送り、サーバで固有情報を復元することで、 端末を特定する仕組みです。この仕組みは、ハッキングされにくいというセキュリティを確保すると同 時に、他の製品の認証機能と連携しやすく、利用者・運用管理者の負担が増えないというメリットがあ ります。 これにより、特定の端末以外からのアクセスを防止し、パスワード漏えいによるなりすましや、不正 な PC が社内ネットワークに接続されることによる、情報漏えいやウィルス感染を防止します。 1.仮想デスクトップ利用における QuiX 端末認証と XenApp の認証連携メリット 1.1.QuiX 端末認証との連携を行わない場合のリスク XenApp を利用する際、ID とパスワードのみで認証を行うため、パスワードの漏えいによる第三 者のなりすましのリスクがあります。また、ID/パスワードを知っている正規の利用者が個人所有の デバイスからアクセスする事も可能なため、利用者の過失や悪意により情報漏えいが発生するリスク もあります。 1.2.QuiX 端末認証によるメリット QuiX 端末認証を導入することで、XenApp 利用時にまず正規の端末からのアクセスかどうかを確認 する事が可能となります。これにより仮にパスワードが漏えいしたとしても、正規の端末以外からはア クセスできないため、不正アクセスを防止する事ができます。また正規の利用者であっても許可された 端末以外からアクセスできないため、個人 PC からのアクセスによる情報漏えいを防止することができ ます。 運用管理者に対しては、XenApp の ID 管理と QuiX 端末認証の ID 管理を統合することで、複数の DB に対してメンテナンスを行う手間を省いています。利用者に対しては、自動的に端末認証されるた め従来の ID とパスワード入力だけでよく、操作方法は変わらず、利便性を損なうことはありません。 さらには端末を紛失した際に、紛失した端末だけ利用停止を行うことが可能なため、利用者自身のア カウントは利用を継続できるというメリットもあります。
Copyright (C) 2012 Base Technology, Inc. All Rights Reserved. pg. 7 2.システム構成 仮想デスクトップ利用における QuiX 端末認証と XenApp の認証連携のシステム構成は下記の通り です。 3.QuiX 端末認証と XenApp の連携方法 3.1.処理フロー 仮想デスクトップ利用における QuiX 端末認証と XenApp の認証連携の処理フローは下記の通りで す。
Copyright (C) 2012 Base Technology, Inc. All Rights Reserved. pg. 8
3.2.処理フロー概要
①XenApp を利用するユーザは、まずブラウザから WebInterface の URL にアクセスします。 ②ブラウザからのリクエストを SecureGateway 経由で QuiX 端末認証が受取り、端末認証を行っ
ていない端末からのアクセスであった場合、端末認証を行い、アクセス元の端末が正規のものである かどうかを確認します。
③QuiX 端末認証で正規の端末と判定された場合、QuiX 端末認証は①のリクエストを WebInterface に中継します。
④WebInterface は XenApp のログイン画面を返送し、ブラウザで入力された ID/パスワードを使い、 正規のユーザかどうかの認証を行います。
⑤WebInterface での認証が成功した場合、XenApp のプラグインがダウンロードされ、仮想デスク トップの利用が可能となります。
⑥以降のアクセスは、XenApp プラグインと XenApp サーバが SecureGateway を中継して仮想 デスクトップの通信を行います。 まとめ 本技術レポートでは、QuiX 端末認証と XenApp の連携により、仮想デスクトップ利用で二要素認証 を実現することで、認証を強化する方法についてご紹介いたしました。QuiX 端末認証の利用者管理と XenApp の ID 管理を統合した結果、SSL-VPN 接続時のアクセス管理を強化しながらも利用者・運用 管理者の負担を増やさないことを実現しました。
二要素認証を実現する仕組みとして、QuiX 端末認証は Windows パソコンだけでなく、Android や iOS に対応しているため、これからのマルチデバイス環境にも柔軟に対応できます、二要素認証による 認証強化の際は、QuiX 端末認証をぜひご検討ください。
Copyright (C) 2012 Base Technology, Inc. All Rights Reserved. pg. 9
3)QuiX 端末認証 RADIUS オプションと APRESIA の連携による社内アクセスの認証強化
・はじめに 近年データ通信の高速化・定額化といった通信インフラの進化や、スマートフォン・タブレットの急 速な普及により、社外から社内ネットワークにアクセスしたいというニーズが高まっています。また昨 年以降、災害や電力不足などの影響により在宅勤務を行わざるを得ない状況がいつまた訪れるかもしれ ず、BCP(事業継続計画)の観点からもリモートアクセスの必要性が高まっています。このような環境の 変化に対応する際に、従来の ID/パスワードによる認証だけで社内ネットワークにアクセスすることは、 パスワード漏えいによるなりすましや、個人デバイスからの不正アクセス、などのリスクが懸念さます。 今回は QuiX 端末認証 RADIUS オプションと日立電線株式会社様製のネットワーク装置「APRESIA」 の連携により、二要素認証を実現し、社内ネットワークへのリモートアクセスの認証を強化する方法を ご紹介いたします。 ・QuiX 端末認証 RADIUS オプションについて QuiX 端末認証は、端末の固有情報を秘密分散法により分割したトークンを端末とサーバそれぞれに 配置します。認証の際は端末に配置したトークンをサーバに送り、サーバで固有情報を復元することで、 端末を特定する仕組みです。このトークンは、認証のたびに更新されるワンタイムトークンとなってい るため、ハッキングされにくいというメリットがあります。これにより、特定の端末以外からのアクセ スを防止し、パスワード漏えいによるなりすましや、不正な PC が社内ネットワークに接続されること による、情報漏えいやウィルス感染を防止します。
QuiX 端末認証 RADIUS オプションは、RADIUS 認証に対応した APRESIA と連携することで、ネ ットワーク上の全てのプロトコルに対して端末認証を行うことで二要素認証を実現します。 1. QuiX 端末認証 RADIUS オプションとネットワーク機器の認証連携メリット 1.1.QuiX 端末認証との連携を行わない場合のリスク 社内ネットワークにアクセスする際、ID とパスワードのみで認証を行うため、パスワードの漏えいに よる第三者のなりすましのリスクがあります。また、正規の利用者が個人の PC からアクセスする事も 可能なため、ウィルスやマルウェア、ファイル交換ソフト等により情報漏えいが発生するリスクもあり ます。 1.2.QuiX 端末認証によるメリット QuiX 端末認証を導入することで、社内ネットワークにアクセスする際にまず正規の端末からのアク セスかどうかを確認する事が可能となります。これにより仮にパスワードが漏えいしたとしても、正規 の端末以外からはアクセスできないため、不正アクセスを防止する事ができます。また正規の利用者で あっても許可された端末以外からアクセスできないため、個人 PC からのアクセスによる情報漏えいや ウィルス感染を防止することができます。 運用管理者に対しては、QuiX 端末認証の管理ツールを利用することで社内ネットワークにアクセス する端末を一元管理することが可能となり、運用の手間を省いています。利用者に対しては、自動的に 端末認証されるため従来の ID とパスワード入力だけでよく、操作方法は変わらず、利便性を損なうこ
Copyright (C) 2012 Base Technology, Inc. All Rights Reserved. pg. 10
とはありません。
さらには端末を紛失した際に、紛失した端末だけ利用停止を行うことが可能なため、利用者自身のア カウントは利用を継続できるというメリットもあります。
2.システム構成
社内ネットワークへのアクセスにおける QuiX 端末認証 RADIUS オプションと APRESIA との認証 連携のシステム構成は下記の通りです。
3.QuiX 端末認証と APRESIA の連携方法 3.1.処理フロー
社内ネットワークへのアクセスにおける QuiX 端末認証 RADIUS オプションと APRESIA の認証連 携の処理フローは下記の通りです。
Copyright (C) 2012 Base Technology, Inc. All Rights Reserved. pg. 11
3.2.処理フロー概要
①社内ネットワークにアクセスするユーザは、まず QuiX 端末認証にアクセスし、端末が正規のもの であるかどうかを確認します。
②QuiX 端末認証で正規の端末と判定した場合、ID と新しく配置したトークンを APRESIA に引き 渡します。
③APRESIA は RADIUS インタフェースを使用して、ID とトークンを QuiX-RADIUS に引き渡し ます。
④QuiX-RADIUS で認証が OK の場合、端末から社内ネットワークへのアクセスが可能となります。
まとめ
本技術レポートでは、QuiX 端末認証 RADIUS オプションと APRESIA の連携により、社内ネット ワークへのアクセスに二要素認証を導入することで、認証を強化する方法についてご紹介いたしました。 QuiX 端末認証の管理ツールで社内ネットワークにアクセス可能な端末を管理することで、アクセス 管理を強化しながらも利用者・運用管理者の負担を増やさないことを実現しました。二要素認証を実現 する仕組みとして、QuiX 端末認証は Windows パソコンだけでなく、Android や iOS に対応している ため、これからのマルチデバイス環境にも柔軟に対応できます。
二要素認証による認証強化の際は、QuiX 端末認証をぜひご検討ください。
