技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc. All Rights Reserved. pg. 1
1)QuiX 端末認証と HP IceWall SSO における認証連携 はじめに現在多くの企業の情報システムに Web 型のシステムが採用されています Web 型システムは 従来のクライアントサーバ型のシステムに比べ クライアントに特別なソフトウェアをインストールする必要がないため 管理コストやメンテナンスコストを抑えることができるといった利点があるため急速に普及しました その反面 PC 標準のブラウザさえあれば誰でもアクセスが可能といったリスクも持ち合わせています このリスクは これまでのように閉じた社内ネットワークで利用している間は大きな問題とされてきませんでした しかし 昨今のデータ通信の高速化 定額化といった通信インフラの進化や スマートフォン タブレットの急速な普及 クラウドサービスの業務利用の拡大により 社外のオープンなネットワークからのアクセスは避けて通れない課題となってきています このような環境の変化に伴い 従来の ID/ パスワードによる認証だけでは パスワード漏えいによるなりすましや 個人デバイスからの不正アクセス などのリスクが懸念されています 今回は QuiX 端末認証と IceWall の連携により 二要素認証を実現し Web アプリケーションの認証を強化する方法をご紹介いたします QuiX 端末認証について QuiX 端末認証は 端末の固有情報を秘密分散法により分割したトークンを端末とサーバそれぞれに配置します 認証の際は端末に配置したトークンをサーバに送り サーバで固有情報を復元することで 端末を特定する仕組みです このトークンは 認証のたびに更新されるワンタイムトークンとなっているため ハッキングされにくいというメリットがあります これにより 特定の端末以外からのアクセスを防止し パスワード漏えいによるなりすましや 不正な PC が社内ネットワークに接続されることによる 情報漏えいやウィルス感染を防止します また API を提供することにより他の認証方式と連携可能で 利用者 運用管理者の負担が増えないというメリットがあります 1. QuiX 端末認証と HP IceWall SSO の認証連携メリット 1.1.QuiX 端末認証との連携を行わない場合のリスク Web システムを利用する際 ID とパスワードのみで認証を行うため パスワードの漏えいによる第三者のなりすましのリスクがあります また 正規の利用者が個人の PC からアクセスする事も可能なため ウィルスやマルウェア ファイル交換ソフト等により情報漏えいが発生するリスクもあります Copyright (C) 2012 Base Technology, Inc. All Rights Reserved. pg. 2
1.2.QuiX 端末認証によるメリット QuiX 端末認証を導入することで Web システムを利用する際にまず正規の端末からのアクセスかどうかを確認する事が可能となります これにより仮にパスワードが漏えいしたとしても 正規の端末以外からはアクセスできないため 不正アクセスを防止する事ができます また正規の利用者であっても許可された端末以外からアクセスできないため 個人 PC からのアクセスによる情報漏えいやウィルス感染を防止することができます 運用管理者に対しては QuiX 端末認証の API を利用することで IceWall の ID 管理と QuiX 端末認証の ID 管理を統合し 複数の DB に対してメンテナンスを行う手間を省いています 利用者に対しては 自動的に端末認証されるため従来の ID とパスワード入力だけでよく 操作方法は変わらず 利便性を損なうことはありません さらには端末を紛失した際に 紛失した端末だけ利用停止を行うことが可能なため 利用者自身のアカウントは利用を継続できるというメリットもあります 2. システム構成 Web システムへのアクセスにおける QuiX 端末認証と HP IceWall SSO との認証連携のシステム構 成は下記の通りです Copyright (C) 2012 Base Technology, Inc. All Rights Reserved. pg. 3
3.QuiX 端末認証と HP IceWall SSO の連携方法 3.1. 処理フロー Web システムへのアクセスにおける QuiX 端末認証と HP IceWall SSO との認証連携の処理フローは下記の通りです 3.2. 処理フロー概要 1Web システムにアクセスするユーザは まず IceWall にアクセスし ID とパスワードを入力します 2 入力された ID とパスワードを受取った IceWall は 正規の ID とパスワードであるかどうかの認証を行います 3 正規の ID とパスワードであると判定された場合 その ID をフォワーダ経由で QuiX 端末認証に引き渡します 4IceWall から ID を受取った QuiX 端末認証は 端末が正規のものであるかどうかを確認します 5QuiX 端末認証で正規の端末と判定した場合 ID と新しく配置したトークンを IceWall の認証ルーチンに引き渡します 6IceWall の認証モジュールは RADIUS インタフェースを使用して ID とトークンを QuiX-RADIUS に引き渡します 7QuiX-RADIUS で認証が OK の場合 端末からお客様社内にある Web システムへのアクセスが可能となります Copyright (C) 2012 Base Technology, Inc. All Rights Reserved. pg. 4
まとめ本技術レポートでは QuiX 端末認証と IceWall の連携により Web システムへのアクセスに二要素認証を導入することで 認証を強化する方法についてご紹介いたしました IceWall の統合 ID 管理 シングルサインオンに 二要素認証を付加した結果 Web システムへのアクセス管理を強化しながらも利用者 運用管理者の負担を増やさないことを実現しました 二要素認証を実現する仕組みとして QuiX 端末認証は Windows パソコンだけでなく Android や ios に対応しているため これからのマルチデバイス環境にも柔軟に対応できます また Web システムに限らず SSL-VPN などのネットワーク機器と連携も可能なため 様々な環境で二要素認証によるアクセス管理強化を実現可能です 二要素認証による認証強化の際は QuiX 端末認証をぜひご検討ください Copyright (C) 2012 Base Technology, Inc. All Rights Reserved. pg. 5
2)QuiX 端末認証と Citrix XenApp の認証連携 はじめに外出先などの社外から社内ネットワークにアクセスする際に 端末に情報を残さないソリューションとして 近年デスクトップの仮想化が注目されています 従来の PC に加えて ipad や Android タブレットなどのスマートデバイスからの利用も可能なので リモートアクセスのセキュリティ対策として普及が拡大すると考えられます 今回 Citrix XenApp と QuiX 端末認証の連携によって XenApp の ID/ パスワード認証に加えて QuiX 端末認証を行う二要素認証 (Two-Factor Authentication) を実現する方法をご紹介いたします QuiX 端末認証について QuiX 端末認証は 端末の固有情報を秘密分散法により分割したトークンを端末とサーバそれぞれに配置します 認証の際は端末に配置したトークンをサーバに送り サーバで固有情報を復元することで 端末を特定する仕組みです この仕組みは ハッキングされにくいというセキュリティを確保すると同時に 他の製品の認証機能と連携しやすく 利用者 運用管理者の負担が増えないというメリットがあります これにより 特定の端末以外からのアクセスを防止し パスワード漏えいによるなりすましや 不正な PC が社内ネットワークに接続されることによる 情報漏えいやウィルス感染を防止します 1. 仮想デスクトップ利用における QuiX 端末認証と XenApp の認証連携メリット 1.1.QuiX 端末認証との連携を行わない場合のリスク XenApp を利用する際 ID とパスワードのみで認証を行うため パスワードの漏えいによる第三者のなりすましのリスクがあります また ID/ パスワードを知っている正規の利用者が個人所有のデバイスからアクセスする事も可能なため 利用者の過失や悪意により情報漏えいが発生するリスクもあります 1.2.QuiX 端末認証によるメリット QuiX 端末認証を導入することで XenApp 利用時にまず正規の端末からのアクセスかどうかを確認する事が可能となります これにより仮にパスワードが漏えいしたとしても 正規の端末以外からはアクセスできないため 不正アクセスを防止する事ができます また正規の利用者であっても許可された端末以外からアクセスできないため 個人 PC からのアクセスによる情報漏えいを防止することができます 運用管理者に対しては XenApp の ID 管理と QuiX 端末認証の ID 管理を統合することで 複数の DB に対してメンテナンスを行う手間を省いています 利用者に対しては 自動的に端末認証されるため従来の ID とパスワード入力だけでよく 操作方法は変わらず 利便性を損なうことはありません さらには端末を紛失した際に 紛失した端末だけ利用停止を行うことが可能なため 利用者自身のアカウントは利用を継続できるというメリットもあります Copyright (C) 2012 Base Technology, Inc. All Rights Reserved. pg. 6
2. システム構成 仮想デスクトップ利用における QuiX 端末認証と XenApp の認証連携のシステム構成は下記の通り です 3.QuiX 端末認証と XenApp の連携方法 3.1. 処理フロー仮想デスクトップ利用における QuiX 端末認証と XenApp の認証連携の処理フローは下記の通りです Copyright (C) 2012 Base Technology, Inc. All Rights Reserved. pg. 7
3.2. 処理フロー概要 1XenApp を利用するユーザは まずブラウザから WebInterface の URL にアクセスします 2ブラウザからのリクエストを SecureGateway 経由で QuiX 端末認証が受取り 端末認証を行っていない端末からのアクセスであった場合 端末認証を行い アクセス元の端末が正規のものであるかどうかを確認します 3QuiX 端末認証で正規の端末と判定された場合 QuiX 端末認証は1のリクエストを WebInterface に中継します 4WebInterface は XenApp のログイン画面を返送し ブラウザで入力された ID/ パスワードを使い 正規のユーザかどうかの認証を行います 5WebInterface での認証が成功した場合 XenApp のプラグインがダウンロードされ 仮想デスクトップの利用が可能となります 6 以降のアクセスは XenApp プラグインと XenApp サーバが SecureGateway を中継して仮想デスクトップの通信を行います まとめ本技術レポートでは QuiX 端末認証と XenApp の連携により 仮想デスクトップ利用で二要素認証を実現することで 認証を強化する方法についてご紹介いたしました QuiX 端末認証の利用者管理と XenApp の ID 管理を統合した結果 SSL-VPN 接続時のアクセス管理を強化しながらも利用者 運用管理者の負担を増やさないことを実現しました 二要素認証を実現する仕組みとして QuiX 端末認証は Windows パソコンだけでなく Android や ios に対応しているため これからのマルチデバイス環境にも柔軟に対応できます 二要素認証による認証強化の際は QuiX 端末認証をぜひご検討ください Copyright (C) 2012 Base Technology, Inc. All Rights Reserved. pg. 8
3)QuiX 端末認証 RADIUS オプションと APRESIA の連携による社内アクセスの認証強化 はじめに近年データ通信の高速化 定額化といった通信インフラの進化や スマートフォン タブレットの急速な普及により 社外から社内ネットワークにアクセスしたいというニーズが高まっています また昨年以降 災害や電力不足などの影響により在宅勤務を行わざるを得ない状況がいつまた訪れるかもしれず BCP( 事業継続計画 ) の観点からもリモートアクセスの必要性が高まっています このような環境の変化に対応する際に 従来の ID/ パスワードによる認証だけで社内ネットワークにアクセスすることは パスワード漏えいによるなりすましや 個人デバイスからの不正アクセス などのリスクが懸念さます 今回は QuiX 端末認証 RADIUS オプションと日立電線株式会社様製のネットワーク装置 APRESIA の連携により 二要素認証を実現し 社内ネットワークへのリモートアクセスの認証を強化する方法をご紹介いたします QuiX 端末認証 RADIUS オプションについて QuiX 端末認証は 端末の固有情報を秘密分散法により分割したトークンを端末とサーバそれぞれに配置します 認証の際は端末に配置したトークンをサーバに送り サーバで固有情報を復元することで 端末を特定する仕組みです このトークンは 認証のたびに更新されるワンタイムトークンとなっているため ハッキングされにくいというメリットがあります これにより 特定の端末以外からのアクセスを防止し パスワード漏えいによるなりすましや 不正な PC が社内ネットワークに接続されることによる 情報漏えいやウィルス感染を防止します QuiX 端末認証 RADIUS オプションは RADIUS 認証に対応した APRESIA と連携することで ネットワーク上の全てのプロトコルに対して端末認証を行うことで二要素認証を実現します 1. QuiX 端末認証 RADIUS オプションとネットワーク機器の認証連携メリット 1.1.QuiX 端末認証との連携を行わない場合のリスク社内ネットワークにアクセスする際 ID とパスワードのみで認証を行うため パスワードの漏えいによる第三者のなりすましのリスクがあります また 正規の利用者が個人の PC からアクセスする事も可能なため ウィルスやマルウェア ファイル交換ソフト等により情報漏えいが発生するリスクもあります 1.2.QuiX 端末認証によるメリット QuiX 端末認証を導入することで 社内ネットワークにアクセスする際にまず正規の端末からのアクセスかどうかを確認する事が可能となります これにより仮にパスワードが漏えいしたとしても 正規の端末以外からはアクセスできないため 不正アクセスを防止する事ができます また正規の利用者であっても許可された端末以外からアクセスできないため 個人 PC からのアクセスによる情報漏えいやウィルス感染を防止することができます 運用管理者に対しては QuiX 端末認証の管理ツールを利用することで社内ネットワークにアクセスする端末を一元管理することが可能となり 運用の手間を省いています 利用者に対しては 自動的に端末認証されるため従来の ID とパスワード入力だけでよく 操作方法は変わらず 利便性を損なうこ Copyright (C) 2012 Base Technology, Inc. All Rights Reserved. pg. 9
とはありません さらには端末を紛失した際に 紛失した端末だけ利用停止を行うことが可能なため 利用者自身のア カウントは利用を継続できるというメリットもあります 2. システム構成 社内ネットワークへのアクセスにおける QuiX 端末認証 RADIUS オプションと APRESIA との認証 連携のシステム構成は下記の通りです 3.QuiX 端末認証と APRESIA の連携方法 3.1. 処理フロー社内ネットワークへのアクセスにおける QuiX 端末認証 RADIUS オプションと APRESIA の認証連携の処理フローは下記の通りです Copyright (C) 2012 Base Technology, Inc. All Rights Reserved. pg. 10
3.2. 処理フロー概要 1 社内ネットワークにアクセスするユーザは まず QuiX 端末認証にアクセスし 端末が正規のものであるかどうかを確認します 2QuiX 端末認証で正規の端末と判定した場合 ID と新しく配置したトークンを APRESIA に引き渡します 3APRESIA は RADIUS インタフェースを使用して ID とトークンを QuiX-RADIUS に引き渡します 4QuiX-RADIUS で認証が OK の場合 端末から社内ネットワークへのアクセスが可能となります まとめ本技術レポートでは QuiX 端末認証 RADIUS オプションと APRESIA の連携により 社内ネットワークへのアクセスに二要素認証を導入することで 認証を強化する方法についてご紹介いたしました QuiX 端末認証の管理ツールで社内ネットワークにアクセス可能な端末を管理することで アクセス管理を強化しながらも利用者 運用管理者の負担を増やさないことを実現しました 二要素認証を実現する仕組みとして QuiX 端末認証は Windows パソコンだけでなく Android や ios に対応しているため これからのマルチデバイス環境にも柔軟に対応できます 二要素認証による認証強化の際は QuiX 端末認証をぜひご検討ください 注 : 本書に記載の企業名および製品名は 各企業の商標または登録商標です Copyright (C) 2012 Base Technology, Inc. All Rights Reserved. pg. 11