クライアント仮想化環境のセキュリティと利便性を向上させるICカード認証（ARCACLAVIS編）

使える“シンクライアント”の選び方（４）

クライアント仮想化環境のセキュリティと利便性

を向上させる IC カード認証（ARCACLAVIS 編）

目次

本書の取り扱いについて ... 2

0. ユースケースとベネフィット ... 3

1. はじめに... 3

2. 本書での対応製品 ... 3

3. ARCACLAVIS Ways for Thin Client とは？ ... 4

4. ARCACLAVIS Ways fot Thin Client の機能とメリット ... 6

5. 動作確認済みのシステム環境 ... 12

6. IC カードを使用するために必要な HP Thin Client の設定 ... 14

7. ARCACLAVIS 製品情報 ... 19

日本ヒューレット・パッカード株式会社 2/10/2015

本書の取り扱いについて

本書は、日本ヒューレット・パッカード株式会社が販売する製品を検討されているお客 様が実際のご利用方法に合わせた設定を行う際に役立つ手順の一例を示すものです。い かなる場合においても本書の通りになる事を保証するものではありません。 本書の内容は、将来予告なしに変更されることがあります。HP 製品およびサービスに対 する保証については、該当製品およびサービス保証規定書に記載されています。本書の いかなる内容も、新たな保証を追加するものではありません。本書の内容につきまして は万全を期しておりますが、本書中の技術的あるいは校正上の誤り、省略に対して責任 を負いかねますのでご了承ください。 この文書の著作権は日本ヒューレット・パッカード株式会社に帰属します。日本ヒュー レット・パッカードの許可なく一部または全体の複製・転載・編集等を行うことや、許 可されていない第三者への開示等の行為全てを禁止します。 本文中使用される企業名、製品名、商標などはそれを保持する企業・団体に帰属しま す。

0. ユースケースとベネフィット

背景 企業や自治体においてクライアント仮想化環境の導入が進んでいます。クライアント仮想化 環境を利用する事で、時間や場所にとらわれずに業務を行える環境を簡単に構築することが 出来るようになりました。データやアプリケーションはデータセンター内のサーバー側に置 かれる事でセキュリティや利便性が向上する反面、従来型のユーザーID/パスワード認証に よるログオン方式では不正アクセスやなりすましのリスクは残ったままです。クライアント 仮想化環境をより安全なものにするには、さらなる本人認証の強化が求められます。また、 クライアント仮想化環境にログイン後に利用する各種業務システムの本人認証においては、 入力すべき ID/パスワードが増える事は利用者の大きな負担となりまい業務効率の低下につ ながってしまいます。そのために各種業務システムにログインするためのユーザーID/パス ワードの効率的な管理も必要となってきています。 Why HP シンクライアント?

HP シンクライアントは ARCACLAVIS Ways for Thin Client の動作検証を行っておりますので安 心してお使い頂けます。

1. はじめに

本資料では、ジャパンシステム株式会社が販売しているクライアント仮想化環境用の認証ソ リューションである ARCACLAVIS Ways for Thin Client を使用した HP Thin Client のユーザー認 証の強化方法について紹介します。

2. 本書での対応製品

本資料では以下に記載されている製品を対象としています。ARCACLAVIS Ways for Thin Client の詳細な動作環境は製品のリリースノートをご参照ください。 クライアント仮想化環境  Microsoft リモートデスクトップサービス（RDS）  Citrix XenDesktop/XenApp

クライアント仮想化

環境への本人認証

の強化

業務システム利用

時のユーザーID/

パスワード管理

解決したい課題

 VMware Horizon View 認証ソリューション

 ARCACLAVIS Ways for Thin Client Ver1.2

 ACR122U-A9（IC カードリーダライタ）

 Felica カード、MIFARE Standard 1K カード シンクライアント端末

 HP t520 WES7 モデル、HP t620 WES7 モデル、HP t820 WES7 モデル

 HP t520 ThinPro/SmartZero モデル、HP t620 ThinPro/SmartZero モデル

 HP mt41 、HP Elitebook 745 G2 Notebook PC WES7 モデル

 HP t310 、HP t310 AiO

3. ARCACLAVIS Ways for Thin Client とは？

ARCACLAVIS Ways for Thin Client（アルカクラヴィス ウェイズ フォー シンクライアント）は、 クライアント仮想化環境（=シンクライアント環境）における本人認証の強化と業務システ ムの不正利用対策を実現するソリューションです。IC カード認証やシングルサインオン、ロ グ収集機能などにより、セキュリティ強化と利便性の向上を実現します。

クライアント仮想化環境への本人認証の強化

 クライアント仮想化環境におけるセキュリティリスクの原因となり うる、ユーザーID/パスワード認証を「ユーザーID/パスワード+IC カ ード」の二要素認証にする事で強化することができます。 • IC カードは Felica または MIFARE に対応しているためカードリーダに 置いたままにする必要はなくタッチ操作による認証が可能です。

さまざまなアプリに対応するシングルサインオン

 クライアント仮想化環境にログオンした後は、Web アプリケーショ ン、クライアント/サーバーアプリケーション、レガシーアプリケー ションなどのさまざまなタイプのアプリケーションに対してシング ルサインオンによる自動ログインが可能になります。 • アプリケーション側の改修やネットワーク構成の変更は不要です。

システム構成概要

万が一のための備え（緊急パスワード、ログ収集）

 IC カードを忘れたり、紛失・盗難の際には、管理者が発行した緊急 パスワードで IC カード無しでもログオンすることが可能です。 • シンクライアント端末利用時の IC カード操作やシングルサインオ ン利用時のログを記録します。共有アカウントを使用している場合 でも IC カードに紐付いたユーザーのログが出力されるのでインシ デント発生時に追跡調査が可能です。

4. ARCACLAVIS Ways for Thin Client の機能とメリット

4-1. IC カード認証 クライアント仮想化環境を利用する際の本人認証を「ユーザーID/パスワード」+「IC カー ド」の 2 要素認証で行うことでセキュリティが強化されます。非接触型の IC カードを利用 するため認証後は IC カードをカードリーダライタから取り外す事が可能です。 IC カードを持たないユーザーからのアクセスを遮断する事で ID/パスワード盗難による不正 アクセスやなりすましを防止します。 4-1-1. IC カード認証のフロー「RDS のリモートログオン時」 シンクライアント端末にて「リモートデスクト ップ接続」を起動し、ユーザーID とパスワード を入力してリモートサーバーへアクセス。 サーバーへのアクセスに成功すると、「ARCACLAVIS Ways for Thin Client」の認証画面が表示されます。

IC カードを IC カードリーダライ タにセットする（かざす）。 IC カードのパスワードを 入力します。 Windows にログオン！ク ライアント仮想化環境を 安全に利用！ ※設定により「4」をスキップする事も 可能。

4-1-2. ICカード認証のフロー「RDSのRemote Appプログラム利用時」 サインイン後、利用する Remote App プログラムのアイコンをクリック。 （上記では、「Word」を選択） クライアント端末にてリモートデ スクトップサービスの「RD Web アクセス」ページにアクセスし、 サインイン。 サーバーへのアクセスに成功する と、「ARCACLAVIS Ways for Thin Client」の認証画面が表示される。 IC カードを IC カードリーダライ タにセットする（かざす）。 IC カードのパスワードを 入力します。 「２」でクリックしたプロ グラム(Word)が起動する！ シンクライアント環境を 安全に利用！ ※設定により「5」をスキップする事も 可能。

4-1-3. ICカード認証のフロー「Citrix XenAppの公開アプリケーション利用時」 クライアント端末にて「Citrix StoreFront」の Web サイトに アクセスし、サインイン。 サインイン後、「アプリケーション」タ ブを選択し、公開アプリケーションのア イコンをクリック。（上記では「Word」 を選択） サーバーへのアクセスに成功する と、「ARCACLAVIS Ways for Thin Client」の認証画面が表示される。 IC カードを IC カードリーダライ タにセットする（かざす）。 IC カードのパスワードを 入力します。 「２」でクリックしたプロ グラム(Word)が起動する！ シンクライアント環境を 安全に利用！ ※設定により「5」をスキップする事も 可能。

4-1-4. ICカード認証のフロー「Citrix XenDesktopまたはCitrix XenAppの公開デスクトップ利 用時」 クライアント端末にて「Citrix StoreFront」の Web サイトに アクセスし、サインイン。 サインイン後、「デスクトップ」タブを 選択し、接続するデスクトップのアイコ ンをクリック。 サーバーへのアクセスに成功する と、「ARCACLAVIS Ways for Thin Client」の認証画面が表示される。 IC カードを IC カードリーダライ タにセットする（かざす）。 IC カードのパスワードを 入力します。 Windows にログオン！ク ライアント仮想化環境を 安全に利用！ ※設定により「5」をスキップする事も 可能。 ※上記の画面はXenDesktop の Windows 7 デスクトップに接続した場合のものです。

4-1-4. ICカード認証のフロー「VMware Horizon View利用時」

4-1-5. ICカード認証「離席時のロックと解除」

クライアント仮想化環境にログオン後は、ICカードをICカードリーダライタにかざす事で仮 想デスクトップ側の画面ロックおよびロック解除をする事ができます。

クライアント端末にて「VMware Horizon View Client」を起動し、 View 接続サーバーアイコンをダブ ルクリック。 接続後、Windows のア カウント情報を入力 し、[ログイン]ボタン をクリック。 接続するデスクトッ プアイコンをダブル クリックして接続。 仮想デスクトップへのアクセス に成功すると、「ARCACLAVIS Ways for Thin Client」の認証画面 が表示される。 IC カードを IC カードリーダライ タにセットする（かざす）。 IC カードのパスワードを 入力します。 Windows にログオン！ク ライアント仮想化環境を 安全に利用！ ※設定により「6」をスキップする事も可 能。 離席時には IC カードを IC カード リーダライタにセットする （かざす）。 仮想デスクトップの画面が ロックします。 ロック解除には IC カードを IC カード リーダライタにセットする（かざ す）。

4-2. シングルサインオン

クライアント仮想化環境へのログオン後に利用する様々な業務アプリケーションのユーザー 認証を自動化することで利用者の利便性が向上します。クライアント仮想化環境へログオン すると自動的に ARCACLAVIS Ways for Thin Client サーバーから事前に登録しておいたアプリケ ーションのユーザーID/パスワード情報を取得し、アプリケーションの認証画面が表示され ると自動的にユーザーID/パスワードが入力されます。

ARCACLAVIS Ways for Thin Clientのシングルサインオン機能は、仮想デスクトップに常駐して いるアプリケーションがウィンドウを監視していて登録済みのアプリケーションの認証画面 が表示されるとユーザーID/パスワードを自動入力します（代行入力方式）。そのため既存 のアプリケーションやネットワークの変更が不要となり、「低コスト」、「短期間」でシン グルサインオンの導入が可能です。

4-2-1. シングルサインオンのフロー

5. 動作確認済みのシステム環境

以下のシステム環境にて ARCACLAVIS Ways for Thin Client Ver1.2 の簡易的な動作確認を行い、 HP Thin Client からクライアント仮想化環境への IC カード認証が動作する事を確認しまい た。

※日本 HP およびジャパンシステムが下記の組み合わせでの動作を保証するものではござい ません。

5-1． 検証環境

ARCACLAVIS ways for Thin Client 環境

Web サーバー兼 DB サーバー Windows Server 2008R2 Enterprise SP1 IC カードリーダライタ ACR122U-A9

IC カード Felica

IC カード MIFARE Standard 1K

クライアント仮想化方式 OS

Microsoft RDS Windows Server 2008R2 Enterprise SP1 Citrix XenDesktop 5.5 Windows 7 Enterprise SP1

Citrix XenApp 6.5 Windows Server 2008R2 Enterprise SP1 VMware Horizon View 6 Windows 7 Enterprise SP1

タスクトレイからウィ ンドウを監視。 登録されている認証画 面が表示される。 自動的にユーザーID/パスワードが 入力されて認証されます。

シンクライアント端末 OS

HP t520 Thin Client Windows Embedded Standard 7E HP ThinPro/SmartZero 5.1 HP t620 Thin Client Windows Embedded Standard 7E

HP ThinPro/SmartZero 5.1 HP t820 Thin Client Windows Embedded Standard 7E HP mt41 Mobile Thin Client Windows Embedded Standard 7E HP EliteBook 745G2 WES モデル Windows Embedded Standard 7E ※HP t310 Zero Client なし（Teradici PCoIP Zero Client） ※HP t310 AiO Zero Client なし（Teradici PCoIP Zero Client）

※HP t310 Zero Client および HP t310 AiO Zero Client はクライアント仮想化方式 VMware Horizon View にのみ対応。

6. IC カードを使用するために必要な HP Thin Client の設定

クライアント仮想化環境でのユーザー認証に IC カードを使用するためには、シンクライア ント端末に接続された IC カードリーダライタをクライアント仮想化環境の仮想デスクトッ プに認識させる必要があります。

仮想デスクトップで表示される ARCACLAVIS Ways for Thin Client の認証画面の「プロパティ」 をクリックすると仮想デスクトップが認識した IC カードリーダライタの情報が表示されま す。 プロパティに IC カードリーダライタの情報が表示されない場合には IC カードリーダライタ が仮想デスクトップに認識されていないため IC カード認証は利用できません。 利用するクライアント仮想化環境により、IC カードを仮想デスクトップに認識させるための シンクライアント端末側の設定が異なります。ここではクライアント仮想化方式に応じて必 要となるシンクライアント端末側の設定を説明します。

6-1. Microsoft RDS

Microsoft RDS ではリモートデスクトップ接続のスマートカードのリダイレクト機能を利用 します。

 Windows Embedded Standard の場合

リモートデスクトップ接続のローカルリソースとリソースの詳細設定画面でスマートカード が有効になっている（チェックが付いている）必要があります。スマートカードは初期状態 で有効になっています。

 HP ThinPro/SmartZero 5.1 の場合

リモートデスクトップ接続設定の編集画面で「スマートカードログオンを許可する」を有効 にします。

6-2. VMware Horizon View

VMware Horizon View では接続プロトコルとして PCoIP と RDP を選択可能です。

PCoIP の場合は VMware Horizon View の PCoIP スマートカード機能を利用します。この機能を 利用するには仮想デスクトップに VMware Horizon View Agent をインストールする際にコン ポーネントの選択画面で「PCoIP スマートカード」を選択してインストールしておく必要が あります。（初期状態では選択されていません）

RDP の場合はリモートデスクトップ接続のスマートカードのリダイレクト機能が利用されま す。

 Windows Embedded Standard の場合

初期設定のままでこの機能が利用できますので必要な設定は特にありません。

 HP ThinPro/SmartZero 5.1 の場合

Horizon View 接続設定の編集画面で「スマートカードログオンを許可する」を有効にしま す。

6-3. Citrix XenDesktop/XenApp

Citrix XenDesktop/XenApp ではスマートカードのリダイレクト機能が利用されます。

 Windows Embedded Standard の場合

初期設定のままでこの機能が利用できますので必要な設定は特にありません。

 HP ThinPro/SmartZero 5.1 の場合

ThinPro レジストリの 「root/ConnectionType/xen/general/enableSmartCard」の値を 1 に設定しま す。

7. ARCACLAVIS 製品情報

ARCACLAVIS ways for Thin Client に関する詳細な製品情報は以下の製品紹介ページをご参照く ださい。 http://www.japan-systems.co.jp/product/arcaclavis/product/ways-thinclient/index.html 新製品「ARCACLAVIS Ways V5.0」について ジャパンシステム株式会社では以下の 3 つの ARCACLAVIS シリーズの製品を統合し 「ARCACLAVIS Ways V5.0」として新たにリリースしました。  ARCACRAVIS Revo/Rex

 ARCACLAVIS Ways SSO

 ARCACLAVIS Ways for Thin Client

http://www.japan-systems.co.jp/news/2015/150129.html ARCACLAVIS Ways V5.0 の動作環境

http://www.japan-systems.co.jp/product/arcaclavis/product/ways/spec.html

ARCACLAVIS Ways V5.0 は ARCACLAVIS Ways for Thin Client からのバージョンアップも行え、今 後はこちらがエンハンスされて行きます。

クライアント仮想化環境への対応としては、Citrix XenDesktop/XenApp の新バージョンへの 対応が予定されています。

 ARCACLAVIS Ways V5.0 -> Citrix XenDesktop/XenApp 7.1 に対応（2015 年 1/29 リリース済 み）

 ARCACLAVIS Ways V5.1 -> Citrix XenDesktop/XenApp 7.5 に対応（2015 年 4 月リリース予 定）

 ARCACLAVIS Ways V5.2 -> Citrix XenDesktop/XenApp 7.6 に対応（2015 年 7 月リリース予 定） お問い合わせ先 ジャパンシステム株式会社 システム基盤事業本部 営業部 TEL:03-5309-0222 FAX: 03-5309-0313 E-mail:security-sales@japan-systems.co.jp

HPシンクライアントに関する情報

http://www.hp.com/jp/thinclient