クライアント仮想化環境のセキュリティと利便性を向上させるICカード認証（ARCACLAVIS編）

目次本書の取り扱いについて... 2 0. ユースケースとベネフィット... 3 1. はじめに... 3 2. 本書での対応製品... 3 3. ARCACLAVIS Ways for Thin Client とは?... 4 4. ARCACLAVIS Ways fot Thin Client の機能とメリット... 6 5. 動作確認済みのシステム環境... 12 6. IC カードを使用するために必要な HP Thin Client の設定... 14 7. ARCACLAVIS 製品情報... 19 日本ヒューレットパッカード株式会社 2/10/2015 Copyright 2015 Hewlett-Packard Development Company, L.P. Page 1

本書の取り扱いについて本書は日本ヒューレットパッカード株式会社が販売する製品を検討されているお客様が実際のご利用方法に合わせた設定を行う際に役立つ手順の一例を示すものですいかなる場合においても本書の通りになる事を保証するものではありません本書の内容は将来予告なしに変更されることがあります HP 製品およびサービスに対する保証については該当製品およびサービス保証規定書に記載されています本書のいかなる内容も新たな保証を追加するものではありません本書の内容につきましては万全を期しておりますが本書中の技術的あるいは校正上の誤り省略に対して責任を負いかねますのでご了承くださいこの文書の著作権は日本ヒューレットパッカード株式会社に帰属します日本ヒューレットパッカードの許可なく一部または全体の複製転載編集等を行うことや許可されていない第三者への開示等の行為全てを禁止します本文中使用される企業名製品名商標などはそれを保持する企業団体に帰属します Copyright 2015 Hewlett-Packard Development Company, L.P. Copyright 2015 Hewlett-Packard Development Company, L.P. Page 2

0. ユースケースとベネフィット背景企業や自治体においてクライアント仮想化環境の導入が進んでいますクライアント仮想化環境を利用する事で時間や場所にとらわれずに業務を行える環境を簡単に構築することが出来るようになりましたデータやアプリケーションはデータセンター内のサーバー側に置かれる事でセキュリティや利便性が向上する反面従来型のユーザー ID/ パスワード認証によるログオン方式では不正アクセスやなりすましのリスクは残ったままですクライアント仮想化環境をより安全なものにするにはさらなる本人認証の強化が求められますまたクライアント仮想化環境にログイン後に利用する各種業務システムの本人認証においては入力すべき ID/ パスワードが増える事は利用者の大きな負担となりまい業務効率の低下につながってしまいますそのために各種業務システムにログインするためのユーザー ID/ パスワードの効率的な管理も必要となってきています解決したい課題クライアント仮想化環境への本人認証の強化業務システム利用時のユーザー ID/ パスワード管理 Why HP シンクライアント? HP シンクライアントは ARCACLAVIS Ways for Thin Client の動作検証を行っておりますので安心してお使い頂けます 1. はじめに本資料ではジャパンシステム株式会社が販売しているクライアント仮想化環境用の認証ソリューションである ARCACLAVIS Ways for Thin Client を使用した HP Thin Client のユーザー認証の強化方法について紹介します 2. 本書での対応製品本資料では以下に記載されている製品を対象としています ARCACLAVIS Ways for Thin Client の詳細な動作環境は製品のリリースノートをご参照くださいクライアント仮想化環境 Microsoft リモートデスクトップサービス (RDS) Citrix XenDesktop/XenApp Copyright 2015 Hewlett-Packard Development Company, L.P. Page 3

VMware Horizon View 認証ソリューション ARCACLAVIS Ways for Thin Client Ver1.2 ACR122U-A9(IC カードリーダライタ ) Felica カード MIFARE Standard 1K カードシンクライアント端末 HP t520 WES7 モデル HP t620 WES7 モデル HP t820 WES7 モデル HP t520 ThinPro/SmartZero モデル HP t620 ThinPro/SmartZero モデル HP mt41 HP Elitebook 745 G2 Notebook PC WES7 モデル HP t310 HP t310 AiO 3. ARCACLAVIS Ways for Thin Client とは? ARCACLAVIS Ways for Thin Client( アルカクラヴィスウェイズフォーシンクライアント ) はクライアント仮想化環境 (= シンクライアント環境 ) における本人認証の強化と業務システムの不正利用対策を実現するソリューションです IC カード認証やシングルサインオンログ収集機能などによりセキュリティ強化と利便性の向上を実現しますクライアント仮想化環境への本人認証の強化クライアント仮想化環境におけるセキュリティリスクの原因となりうるユーザー ID/ パスワード認証をユーザー ID/ パスワード +IC カードの二要素認証にする事で強化することができます IC カードは Felica または MIFARE に対応しているためカードリーダに置いたままにする必要はなくタッチ操作による認証が可能ですさまざまなアプリに対応するシングルサインオンクライアント仮想化環境にログオンした後は Web アプリケーションクライアント / サーバーアプリケーションレガシーアプリケーションなどのさまざまなタイプのアプリケーションに対してシングルサインオンによる自動ログインが可能になりますアプリケーション側の改修やネットワーク構成の変更は不要です Copyright 2015 Hewlett-Packard Development Company, L.P. Page 4

万が一のための備え ( 緊急パスワードログ収集 ) IC カードを忘れたり紛失盗難の際には管理者が発行した緊急パスワードで IC カード無しでもログオンすることが可能ですシンクライアント端末利用時の IC カード操作やシングルサインオン利用時のログを記録します共有アカウントを使用している場合でも IC カードに紐付いたユーザーのログが出力されるのでインシデント発生時に追跡調査が可能ですシステム構成概要 Copyright 2015 Hewlett-Packard Development Company, L.P. Page 5

4. ARCACLAVIS Ways for Thin Client の機能とメリット 4-1. IC カード認証クライアント仮想化環境を利用する際の本人認証をユーザー ID/ パスワード + IC カードの 2 要素認証で行うことでセキュリティが強化されます非接触型の IC カードを利用するため認証後は IC カードをカードリーダライタから取り外す事が可能です IC カードを持たないユーザーからのアクセスを遮断する事で ID/ パスワード盗難による不正アクセスやなりすましを防止します 4-1-1. IC カード認証のフロー RDS のリモートログオン時シンクライアント端末にてリモートデスクトップ接続を起動しユーザー ID とパスワードを入力してリモートサーバーへアクセスサーバーへのアクセスに成功すると ARCACLAVIS Ways for Thin Client の認証画面が表示されます IC カードを IC カードリーダライタにセットする ( かざす ) IC カードのパスワードを入力します設定により 4 をスキップする事も可能 Windows にログオン! クライアント仮想化環境を安全に利用! Copyright 2015 Hewlett-Packard Development Company, L.P. Page 6

4-1-2. IC カード認証のフロー RDS の Remote App プログラム利用時クライアント端末にてリモートデスクトップサービスの RD Web アクセスページにアクセスしサインインサインイン後利用する Remote App プログラムのアイコンをクリック ( 上記では Word を選択 ) サーバーへのアクセスに成功すると ARCACLAVIS Ways for Thin Client の認証画面が表示される IC カードを IC カードリーダライタにセットする ( かざす ) IC カードのパスワードを入力します設定により 5 をスキップする事も可能 2 でクリックしたプログラム (Word) が起動する! シンクライアント環境を安全に利用! Copyright 2015 Hewlett-Packard Development Company, L.P. Page 7

4-1-3. IC カード認証のフロー Citrix XenApp の公開アプリケーション利用時クライアント端末にて Citrix StoreFront の Web サイトにアクセスしサインインサインイン後アプリケーションタブを選択し公開アプリケーションのアイコンをクリック ( 上記では Word を選択 ) サーバーへのアクセスに成功すると ARCACLAVIS Ways for Thin Client の認証画面が表示される IC カードを IC カードリーダライタにセットする ( かざす ) IC カードのパスワードを入力します設定により 5 をスキップする事も可能 2 でクリックしたプログラム (Word) が起動する! シンクライアント環境を安全に利用! Copyright 2015 Hewlett-Packard Development Company, L.P. Page 8

4-1-4. IC カード認証のフロー Citrix XenDesktop または Citrix XenApp の公開デスクトップ利用時クライアント端末にて Citrix StoreFront の Web サイトにアクセスしサインインサインイン後デスクトップタブを選択し接続するデスクトップのアイコンをクリックサーバーへのアクセスに成功すると ARCACLAVIS Ways for Thin Client の認証画面が表示される IC カードを IC カードリーダライタにセットする ( かざす ) IC カードのパスワードを入力します設定により 5 をスキップする事も可能 Windows にログオン! クライアント仮想化環境を安全に利用! 上記の画面は XenDesktop の Windows 7 デスクトップに接続した場合のものです Copyright 2015 Hewlett-Packard Development Company, L.P. Page 9

4-1-4. IC カード認証のフロー VMware Horizon View 利用時クライアント端末にて VMware Horizon View Client を起動し View 接続サーバーアイコンをダブルクリック接続後 Windows のアカウント情報を入力し [ ログイン ] ボタンをクリック接続するデスクトップアイコンをダブルクリックして接続仮想デスクトップへのアクセスに成功すると ARCACLAVIS Ways for Thin Client の認証画面が表示される IC カードを IC カードリーダライタにセットする ( かざす ) IC カードのパスワードを入力します設定により 6 をスキップする事も可 Windows にログオン! クライアント仮想化環境を安全に利用! 4-1-5. IC カード認証離席時のロックと解除クライアント仮想化環境にログオン後は IC カードを IC カードリーダライタにかざす事で仮想デスクトップ側の画面ロックおよびロック解除をする事ができます離席時には IC カードを IC カードリーダライタにセットする ( かざす ) 仮想デスクトップの画面がロックしますロック解除には IC カードを IC カードリーダライタにセットする ( かざす ) Copyright 2015 Hewlett-Packard Development Company, L.P. Page 10

4-2. シングルサインオンクライアント仮想化環境へのログオン後に利用する様々な業務アプリケーションのユーザー認証を自動化することで利用者の利便性が向上しますクライアント仮想化環境へログオンすると自動的に ARCACLAVIS Ways for Thin Client サーバーから事前に登録しておいたアプリケーションのユーザー ID/ パスワード情報を取得しアプリケーションの認証画面が表示されると自動的にユーザー ID/ パスワードが入力されます ARCACLAVIS Ways for Thin Client のシングルサインオン機能は仮想デスクトップに常駐しているアプリケーションがウィンドウを監視していて登録済みのアプリケーションの認証画面が表示されるとユーザー ID/ パスワードを自動入力します ( 代行入力方式 ) そのため既存のアプリケーションやネットワークの変更が不要となり低コスト短期間でシングルサインオンの導入が可能です Copyright 2015 Hewlett-Packard Development Company, L.P. Page 11

4-2-1. シングルサインオンのフロータスクトレイからウィンドウを監視登録されている認証画面が表示される自動的にユーザー ID/ パスワードが入力されて認証されます 5. 動作確認済みのシステム環境以下のシステム環境にて ARCACLAVIS Ways for Thin Client Ver1.2 の簡易的な動作確認を行い HP Thin Client からクライアント仮想化環境への IC カード認証が動作する事を確認しまいた日本 HP およびジャパンシステムが下記の組み合わせでの動作を保証するものではございません 5-1. 検証環境 ARCACLAVIS ways for Thin Client 環境 Web サーバー兼 DB サーバー IC カードリーダライタ IC カード IC カードクライアント仮想化方式 Microsoft RDS Citrix XenDesktop 5.5 Citrix XenApp 6.5 VMware Horizon View 6 Windows Server 2008R2 Enterprise SP1 ACR122U-A9 Felica MIFARE Standard 1K OS Windows Server 2008R2 Enterprise SP1 Windows 7 Enterprise SP1 Windows Server 2008R2 Enterprise SP1 Windows 7 Enterprise SP1 Copyright 2015 Hewlett-Packard Development Company, L.P. Page 12

シンクライアント端末 HP t520 Thin Client HP t620 Thin Client HP t820 Thin Client HP mt41 Mobile Thin Client HP EliteBook 745G2 WES モデル HP t310 Zero Client HP t310 AiO Zero Client OS Windows Embedded Standard 7E HP ThinPro/SmartZero 5.1 Windows Embedded Standard 7E HP ThinPro/SmartZero 5.1 Windows Embedded Standard 7E Windows Embedded Standard 7E Windows Embedded Standard 7E なし (Teradici PCoIP Zero Client) なし (Teradici PCoIP Zero Client) HP t310 Zero Client および HP t310 AiO Zero Client はクライアント仮想化方式 VMware Horizon View にのみ対応 Copyright 2015 Hewlett-Packard Development Company, L.P. Page 13

6. IC カードを使用するために必要な HP Thin Client の設定クライアント仮想化環境でのユーザー認証に IC カードを使用するためにはシンクライアント端末に接続された IC カードリーダライタをクライアント仮想化環境の仮想デスクトップに認識させる必要があります仮想デスクトップで表示される ARCACLAVIS Ways for Thin Client の認証画面のプロパティをクリックすると仮想デスクトップが認識した IC カードリーダライタの情報が表示されますプロパティに IC カードリーダライタの情報が表示されない場合には IC カードリーダライタが仮想デスクトップに認識されていないため IC カード認証は利用できません利用するクライアント仮想化環境により IC カードを仮想デスクトップに認識させるためのシンクライアント端末側の設定が異なりますここではクライアント仮想化方式に応じて必要となるシンクライアント端末側の設定を説明します Copyright 2015 Hewlett-Packard Development Company, L.P. Page 14

6-1. Microsoft RDS Microsoft RDS ではリモートデスクトップ接続のスマートカードのリダイレクト機能を利用します Windows Embedded Standard の場合リモートデスクトップ接続のローカルリソースとリソースの詳細設定画面でスマートカードが有効になっている ( チェックが付いている ) 必要がありますスマートカードは初期状態で有効になっています Copyright 2015 Hewlett-Packard Development Company, L.P. Page 15

6-2. VMware Horizon View VMware Horizon View では接続プロトコルとして PCoIP と RDP を選択可能です PCoIP の場合は VMware Horizon View の PCoIP スマートカード機能を利用しますこの機能を利用するには仮想デスクトップに VMware Horizon View Agent をインストールする際にコンポーネントの選択画面で PCoIP スマートカードを選択してインストールしておく必要があります ( 初期状態では選択されていません ) RDP の場合はリモートデスクトップ接続のスマートカードのリダイレクト機能が利用されます Windows Embedded Standard の場合初期設定のままでこの機能が利用できますので必要な設定は特にありません HP ThinPro/SmartZero 5.1 の場合 Horizon View 接続設定の編集画面でスマートカードログオンを許可するを有効にします Copyright 2015 Hewlett-Packard Development Company, L.P. Page 17

6-3. Citrix XenDesktop/XenApp Citrix XenDesktop/XenApp ではスマートカードのリダイレクト機能が利用されます Windows Embedded Standard の場合初期設定のままでこの機能が利用できますので必要な設定は特にありません HP ThinPro/SmartZero 5.1 の場合 ThinPro レジストリの root/connectiontype/xen/general/enablesmartcard の値を 1 に設定します Copyright 2015 Hewlett-Packard Development Company, L.P. Page 18

7. ARCACLAVIS 製品情報 ARCACLAVIS ways for Thin Client に関する詳細な製品情報は以下の製品紹介ページをご参照ください http://www.japan-systems.co.jp/product/arcaclavis/product/ways-thinclient/index.html 新製品 ARCACLAVIS Ways V5.0 についてジャパンシステム株式会社では以下の 3 つの ARCACLAVIS シリーズの製品を統合し ARCACLAVIS Ways V5.0 として新たにリリースしました ARCACRAVIS Revo/Rex ARCACLAVIS Ways SSO ARCACLAVIS Ways for Thin Client http://www.japan-systems.co.jp/news/2015/150129.html ARCACLAVIS Ways V5.0 の動作環境 http://www.japan-systems.co.jp/product/arcaclavis/product/ways/spec.html ARCACLAVIS Ways V5.0 は ARCACLAVIS Ways for Thin Client からのバージョンアップも行え今後はこちらがエンハンスされて行きますクライアント仮想化環境への対応としては Citrix XenDesktop/XenApp の新バージョンへの対応が予定されています ARCACLAVIS Ways V5.0 -> Citrix XenDesktop/XenApp 7.1 に対応 (2015 年 1/29 リリース済み ) ARCACLAVIS Ways V5.1 -> Citrix XenDesktop/XenApp 7.5 に対応 (2015 年 4 月リリース予定 ) ARCACLAVIS Ways V5.2 -> Citrix XenDesktop/XenApp 7.6 に対応 (2015 年 7 月リリース予定 ) お問い合わせ先ジャパンシステム株式会社システム基盤事業本部営業部 TEL:03-5309-0222 FAX: 03-5309-0313 E-mail:security-sales@japan-systems.co.jp Copyright 2015 Hewlett-Packard Development Company, L.P. Page 19