認証を組み合わせて、クライアント仮想化環境のセキュリティをレベルアップする

目次本書の取り扱いについて... 2 0. ユースケースとベネフィット... 3 1. はじめに... 3 2. 対応製品... 4 3. SecureSuiteV について... 4 Case 1.t520(WES) + SecureSuiteV( 静脈認証 )... 7 Case 2.VMware Horizon View + t520(thinpro) + SecureSuiteV( 静脈認証 )... 10 Case 3.Citrix XenApp +t520(thinpro) + SecureSuiteV(IC カード認証 )... 12 Case 4.Citrix XenApp +t520(wes) + SecureSuiteV( 指紋認証 )... 15 日本ヒューレットパッカード株式会社 7/29/2015 Copyright 2015 Hewlett-Packard Development Company, L.P. Page 1

本書の取り扱いについて本書は日本ヒューレットパッカード株式会社が販売する製品を検討されているお客様が実際のご利用方法に合わせた設定を行う際に役立つ手順の一例を示すものですいかなる場合においても本書の通りになる事を保証するものではありません本書の内容は将来予告なしに変更されることがあります HP 製品およびサービスに対する保証については該当製品およびサービス保証規定書に記載されています本書のいかなる内容も新たな保証を追加するものではありません本書の内容につきましては万全を期しておりますが本書中の技術的あるいは校正上の誤り省略に対して責任を負いかねますのでご了承くださいこの文書の著作権は日本ヒューレットパッカード株式会社に帰属します日本ヒューレットパッカードの許可なく一部または全体の複製転載編集等を行うことや許可されていない第三者への開示等の行為全てを禁止します本文中使用される企業名製品名商標などはそれを保持する企業団体に帰属します Copyright 2015 Hewlett-Packard Development Company, L.P. Copyright 2015 Hewlett-Packard Development Company, L.P. Page 2

0. ユースケースとベネフィット背景昨今のセキュリティインシデントの多くは ID/ パスワードを盗み取り不正にログオンを行うことで大量の機密情報を取得し金銭化することを目的としていますパスワードを盗み出す手段は日々進化しており盗難防止への十分な対策が求められています一方でパスワードは社内に限らずプライベートでも増加の一途をたどり同じパスワードを使い回しせざるを得ない状況です情報漏えい対策としてシンクライアントや操作ログ取得ツールを導入してもユーザーの本人認証を破られた場合機密情報へのアクセスが可能となり犯人を特定することは困難ですパスワードだけではなく生体情報や持ち物による認証も加えることで認証を確実にすることが求められています本書では多要素認証のソリューションであるユニアデックス社の SecureSuiteV を利用し HP シンクライアントと組み合わせた使い方を紹介します Why HP シンクライアント? HP シンクライアントには専用 OS の他汎用性の高い Windows Embedded OS が用意されており生体情報や IC カードなどの多要素認証が可能な SecureSuiteV と組み合わせることで幅広い用途で安全に利用できます 1. はじめにユニアデックス株式会社が開発する多要素認証ソリューションの SecureSuiteV と HP シンクライアントとの組み合わせが Citrix や VMware の環境で動作する仕組みをご紹介します Ⅰ 静脈 Ⅱ 指紋 Ⅲ IC カード 5 つの要素で認証強化 Ⅳ ワンタイムパスワード Ⅴ パスワード ***** 様々な VDI 環境に対応安全性と利便性を両立 Citrix VMware RDS シングルサインオン Copyright 2015 Hewlett-Packard Development Company, L.P. Page 3

2. 対応製品本書では以下の 4 つのケースを扱います認証方法シンクライアント OS 構成 Case 1 静脈認証 Windows Embedded OS ローカル Case 2 静脈認証 HP ThinPro VMware Horizon View Case 3 IC カード認証 HP ThinPro Citrix XenApp Case 4 指紋認証 Windows Embedded Citrix XenApp 3. SecureSuiteV について SecureSuiteV( セキュアスイートファイブ ) は静脈指紋 IC カードワンタイムパスワードを利用した多要素認証で PC ログオンのなりすましを防止しますまたアプリケーションのログオンを自動化するシングルサインオン機能も備えているためユーザーの利便性も向上します 1. 主な特徴 1) Windows ドメインのログオン認証に多要素認証静脈指紋 IC カードワンタイムパスワードの認証に対応しています OU やユーザー単位で様々な組み合わせの設定が可能です 2) Active Directory との一体管理 SecureSuiteV の管理画面は Active Directory の管理コンソールに統合されており使い慣れたインターフェースでユーザーのメンテナンスが可能です 3) シングルサインオンアプリケーションの認証画面に自動的に ID/ パスワードを入力することができます Windows ログオンの認証を強化した後は他のアプリケーションのパスワードを覚える必要がありません Web アプリケーションだけでなくクライアント / サーバーアプリケーションにも対応しています Copyright 2015 Hewlett-Packard Development Company, L.P. Page 4

2. 機能 1) 認証手段の種類生体認証 mofiria 指静脈認証 PalmSecure 手のひら静脈認証 UareU4500 指紋認証 ICカード認証 FeliCa(IDm) ACS ACR122U ACR1251 RC-S330/S FeliCa(SSFS/FCF) RC-S330/S Mifare(UID) ACS ACR122U ACR1251 NTTCOM SCR331CL-NTTCom ワンタイムパスワード Yubico Yubikey OATH 規格製品 SafeNet etokenpass 等これらの認証手段とパスワードを組み合わせで設定できます 2) パスワード管理認証時の組み合わせによりパスワードを入力することができますその際のパスワードと Active Directory で照合するパスワードを別々に管理していますパスワードは Active Directory と同じにするかランダムにするかの設定が可能ですパスワードを別管理せずに入力されたパスワードを直接 Active Directory で照合する方式も設定できます 3) ICA RDP 中継シンクライアントで利用されるリモート接続の画面転送のプロトコルである ICA や RDP 通信を利用しクライアントとサーバ間で SecureSuiteV の認証を中継する機能があります 4) ポリシー継承一部の組織の認証方法を変更したり共用端末でカードを外すと強制ログオフさせたりする設定ポリシーを個別に設定できます全体のポリシーはドメイン全体に設定し以降順に OU 単位ユーザー単位コンピュータ単位で個別のポリシーが設定できます個別に設定しない場合はポリシーが継承されます 5) シングルサインオンアプリケーションの ID/ パスワード入力欄に自動で ID/ パスワードを投入することができますあらかじめアプリケーション画面を登録しユーザーにアプリケーションの ID/ パスワードを関連付けたデータを SecureSuiteV のサーバに登録しておけばユーザーはアプリケーションに自動でログオンすることが可能になりますパスワード管理のストレスからユーザーを解放します 6) 冗長化ロードバランサーやクラスタリングは不要ですユーザー情報はサーバ同士が同期を取りますクライアント側にサーバアドレスを複数登録することで不通時には自動で次のサーバに切り替わりますすべてが不通の場合キャッシュによるログオンも可能ですただしシンクライアントではキャッシュが保存されないためキャッシュ機能は利用できません Copyright 2015 Hewlett-Packard Development Company, L.P. Page 5

Case 1.t520(WES) + SecureSuiteV( 静脈認証 ) Windows Embedded シンクライアントをドメインに参加させローカル OS にログオンする際に静脈認証する方法ですその後はパススルー機能などにより Citrix もしくは View にログオンすることもできます 1. 動作環境シンクライアント HP t520 WES 14WWZDCE301 認証ソフトウェア SecureSuiteV Ver.2.0.3 認証デバイス静脈認証センサー mofiria FVA-U3SX 2. 動作原理 t520(wes) をドメインに参加させ SecureSuiteV Workstation 及び静脈センサーのドライバーをインストールします t520のローカルwindowsにドメインユーザで静脈認証によるログオンを行います CitrixやVMware 環境ではパススルー機能によりコネクションサーバに自動ログオンできます SecureSuiteV サーバ Active Directory 静脈照合ログオン自動ログイン Citrix StoreFront または t520 View 接続サーバ Copyright 2015 Hewlett-Packard Development Company, L.P. Page 7

1 VMware Horizon View の場合 VMware Horizon View Client のオプション設定で現在のユーザーとしてログインをチェックすると View 接続サーバの接続時に認証は表示されずログインが完了します 2 Citrix XenApp/XenDesktop の場合 Citrix は StoreFront サーバでパススルーの設定をしておきます t520 にログオン後ブラウザを起動し StoreFront サーバに接続するとログオンボタンが表示されるのでクリックしてログオンを完了します Copyright 2015 Hewlett-Packard Development Company, L.P. Page 9

Case 2.VMware Horizon View + t520(thinpro) + SecureSuiteV( 静脈認証 ) USB リダイレクト機能を使って仮想環境においても通常の PC と同じ要領で USB 静脈認証センサーによる認証をする方法です 1. 動作環境シンクライアント HP t520 ThinPro T6X51007 認証ソフトウェア SecureSuiteV Ver.2.0.3 認証デバイス静脈認証センサー mofiria FVA-U3SX 仮想環境 VMware Horizon View Ver 6.0 仮想デスクトップ Windows 7 32bit SP1 2. 動作原理仮想デスクトップに SecureSuite Workstation モジュールと静脈認証のドライバーをインストールします VMware Horizon View の通信プロトコルである PCoIP の USB リダイレクト機能を利用して t520 ThinPro に接続した静脈認証センサーを仮想デスクトップにリダイレクトして認証します View 接続サーバ Active Directory SecureSuiteV サーバ照合 ID/ パスワードログオン静脈照合 PCoIP 接続仮想デスクトップ View Agent t520 Copyright 2015 Hewlett-Packard Development Company, L.P. Page 10

3. ユーザー認証プロセス 1 t520 電源 ON 2 View Client の認証画面が表示されます 3 ユーザー名パスワードドメインを入力しログインします 4 接続可能な仮想デスクトップのアイコンが表示されますのでダブルクリックします 5 仮想デスクトップに接続され SecureSuiteV の認証画面が表示されます 6 ユーザー名を入力しをクリックします 7 静脈認証の画面に切り替わります 8 指を静脈センサーに置き認証します 9 仮想デスクトップが表示されます Copyright 2015 Hewlett-Packard Development Company, L.P. Page 11

Case 3.Citrix XenApp +t520(thinpro) + SecureSuiteV(IC カード認証 ) Citrix 環境で FeliCa 等の IC カードによる認証をする方法です 1. 動作環境シンクライアント HP t520 ThinPro T6X51007 認証ソフトウェア SecureSuiteV Ver.2.0.3 認証デバイス FeliCa ACS ACR122U または ACR1251 仮想環境 Citrix XenApp Ver 7.6 仮想デスクトップ Windows Server 2008 R2 SP1 ACR1251 は t520 に別途ドライバのインストールと XenApp サーバにレジストリ設定が必要 2. 動作原理 Citrix の ICA プロトコルはスマートカードに対応しています仮想デスクトップ側に SecureSuiteV Workstation モジュールをインストールすることで IC カードによる認証が可能になりますカードリーダーのドライバーは CCID 対応によりサーバーおよびシンクライアントにインストールする必要がありません StoreFront サーバ Active Directory SecureSuiteV サーバ照合 ID/ パスワードログオン IC カード照合 ICA 接続仮想デスクトップ t520 XenApp サーバ Copyright 2015 Hewlett-Packard Development Company, L.P. Page 12

3. ユーザー認証プロセス 1 t520 電源 ON 2 Citrix Receiverの認証画面が表示します 3 User Name / Password / Domain を入力します 4 仮想側のWindowsの認証画面が表示されます 5 ユーザー名を入力します 6 パスワード入力画面が表示されます ( 設定による ) パスワードを入力します Copyright 2015 Hewlett-Packard Development Company, L.P. Page 13

Case 4.Citrix XenApp +t520(wes) + SecureSuiteV( 指紋認証 ) Citrix 環境でシンクライアントに接続された指紋センサーで認証する方法です 1. 動作環境シンクライアント HP t520 WES 14WWZDCE301 認証ソフトウェア SecureSuiteV Ver.2.0.3 認証デバイス指紋認証センサー Digital Persona U.are.U4500 仮想環境 Citrix XenApp Ver 7.6 仮想デスクトップ Windows Server 2008 R2 SP1 2. 動作原理 Citrix XenAppサーバとt520(WES) の両方にSecureSuiteV Workstationをインストールします更に指紋センサーのドライバーをt520にインストールします認証時は ICAプロトコルを経由してXenApp 側のSecureSuiteVがt520のSecureSuiteVを制御し t520に接続されたusb 指紋センサーを制御します StoreFront サーバ Active Directory SecureSuiteV サーバ照合 ID/ パスワードログオン指紋照合 ICA 接続仮想デスクトップ t520 XenApp サーバ Copyright 2015 Hewlett-Packard Development Company, L.P. Page 15

3. ユーザー認証プロセス 1 t520 電源 ON 2 Windows はローカルユーザで自動ログオン 3 ブラウザを起動し StoreFront に接続し ID/ パスワードでログオンします 4 XenApp サーバの公開デスクトップが起動し SecureSuiteV の認証画面が表示されます 5 ユーザー名を入力しをクリックすると指紋認証画面が表示されます 6 指紋センサーに指を置き認証が成功すると仮想デスクトップが表示されます Copyright 2015 Hewlett-Packard Development Company, L.P. Page 16

SecureSuiteV に関する製品情報 https://www.uniadex.co.jp/service/security/securesuitev.html お問い合わせ窓口ユニアデックス株式会社 https://www.uniadex.co.jp/cgi-bin/form/form-s.cgi HP シンクライアントに関する情報 http://www.hp.com/jp/thinclient Doc#:C0012 Copyright 2015 Hewlett-Packard Development Company, L.P. Page 17