PC の不正利用を防ぐ 認証ソリューション ご紹介資料 V2.8.1 株式会社ソリトンシステムズ 記載の商品名は 各社の商標または登録商標です
SmartOn ID とは ユーザー認証を強化する SmartOn Logon ログオン 万が一のログ管理 SmartOn Log ログ IC カード認証による なりすまし の防止 必須機能 誰が 何時 ログオンしたか クライアント PC の認証履歴 及び SmartOn ID マネージャーの操作履歴を収集 情報を漏洩させない SmartOn Desktop デスクトップ より柔軟なセキュリティを SmartOn デバイス制御オプション コントロールパネル操作制御 アプリケーション起動制御 ドライブへのアクセス制限等による情報漏えい対策 指定された USB メモリ,WPD( ) だけが利用できる 有償オプション機能 ID/ パスワードの安全運用 SmartOn Pass パス ユーザー ID パスワード 各種アプリケーション 各 Web サイトに必要なユーザー ID/ パスワードを SmartOn が記憶し 自動送出によるシングルサインオンを実現 WPD=Windows Portable Device 2
SmartOnの歴史 ソリトンシステムズ自社開発 10年以上に渡る開発 販売の実績 国内シェア11年連続No.1! 3800サイト 260万ライセンス以上の 出荷実績 2015年3月現在 出展 富士キメラ総研 2014 ネットワークセキュリティビジネス調査総覧 2005 2003 2001 1997 2012 SmartOn ID スマートデバイス オプション販売開始 2010 SmartOn ID for リモートアクセス 2007 販売開始 SmartOn ID 販売開始 SmartOn Solo 販売開始 SmartOn NEO 販売開始 SmartOn 販売開始 Soliton C-Gate 3
今 お使いの FeliCa MIFARE を使えます このような IC カードをお持ちではありませんか? ビルの入館証や 入室管理 プリンタ認証などで IC カードを利用している 社員証 職員証が IC カードである 社員全員が通勤で交通系 電子マネーのカードなどを持っている SmartOn ではないが PC ログオン製品で IC カードを利用している を利用した PC セキュリティをご提案します お持ちの IC カードが SmartOn ID で利用できるか事前チェックも可能です! 販売代理店 もしくは弊社にお問い合わせください! 既存の IC カードを利用する場合 カード設計情報や登録 ID 情報が予め必要となる場合があります また IC カードの購入元 あるいは IC カード利用システムのメーカーに従来の用途とは違う目的 (SmartOn ID での利用 ) で IC カードを使用する旨をご確認ください FeliCa はソニー株式会社が開発した非接触 IC カードの技術方式で ソニー株式会社の登録商標です MIFARE は NXP セミコンダクターズ社の登録商標です 4
SmartOn Logon ユーザー認証の強化 ICカード=PCの鍵 がないとPCが利用できません ①PCに電源をオン OS起動 ②スタート画面 ③認証画面でカードリーダ に ICカードを置きパスワードを入力する SmartOn認証 ログオン時には必ずICカードで認証 ④ SmartOn認証に成功すると Windowsにログオン可能 ICカードとパスワード 2つの要素が揃わないと ログオンできない 二要素認証 によるなりすましリスクの軽減 5
SmartOn Logon 生体認証にも対応 生体認証のメリット 忘れたり 紛失の心配がない 貸し借りを防止できる 確実な本人認証 マイナンバー対策にも最適 事務取扱担当者の確実な識別 認証 ICカードと組み合わせた利用や混 在も可能 ICカードのみ 生体情報のみ ICカード 生体情報 3種の認証方式 1台の管理サーバーで一元管理 指ハイブリッドスキャナ NEC製 HS100-10 は SmartOn ID V2.8.1.5以降で対応 指紋リーダー Cross Match製 U.are.U 4500)は SmartOn ID V2.8.1.8以降で対応 6
SmartOn Logon 柔軟な設定 運用をサポート 一例 ログオン方式の選択 ICカードのみ/ICカード SmartOnパスワード/ICカード Windows ID Windowsパスワード等 ロック条件の選択 ICカードをリーダーから外すとロック or かざすとロック SmartOnパスワードの有効期間 ログオン時に入力するSmartOnパスワードの有効期間を決めることが可能 オフライン時の設定 認証サーバーに通信不可の環境でICカード認証を許可する設定が可能 認証画面のロゴの変更 認証画面のロゴを自由に変更することが可能 7
SmartOn Desktop アクセス制御 利用制限 ユーザーが使用するアプリケーションを制御 SmartOn IDがない場合 SmartOn IDがある場合 コントロールパネル の操作 コントロールパネル の操作 ユーザーはPC内の全ての操作が可能 情報漏洩に繋がる可能性あり ユーザーは決められたアプリケーション のみ使用できる 情報漏洩リスクの軽減 制限可能な項目 一部 ファイル フォルダ ドライブへのアクセス禁止 アプリケーションの利用制限 Winnyなど プリントスクリーン禁止など 8
SmartOn Pass シングルサインオン ユーザーに代わって ID/ パスワードを代行入力 PC ログオン後に利用する各種アプリケーションの ID/ パスワード認証を SmartOn が自動代行 ユーザーにパスワードを教えずに運用したり 数多くのパスワード管理が必要な環境に効果的です (= パスワード漏洩防止 ) Windows 基本 ( ベーシック ) 認証 HTML フォーム認証に対応 ( ただし 事前検証を推奨 ) 管理者側 or ユーザー側のどちらでも設定可能です 自動入力機能 各種 ID/ パスワードを IC カードに紐付け ブラウザ認証機能 9
SmartOnデバイス制御オプション 本機能は有償オプション機能です 指定USBメモリ/WPDのみ利用許可 管理者が登録したUSBメモリ/WPDのみ利用可能 接続 利用可能なデバイス 情報をACLサーバー から取得 SmartOn IDクライアント ACLサーバー デバイス情報を管理 会社で許可しているUSBメモリ/WPDは利用可 私物のは利用不可という運用ができます ユーザー単位での制御もできます 別のPCを使用していても ログオンしたユーザーを 識別して ユーザーに紐づいたUSBメモリ/WPDが利用できます 管理者は 通常は許可されていないUSBメモリ/WPDに対して 一時利用許可 用のパス ワードを発行でき 柔軟な運用ができます SmartOn ID V2.8.1.x デバイス制御オプションでは USBデバイスのMass Storage Class(ClassID:8)に対応します WPD制御に関してはVer 2.8.1.6にて対応しています WPD制御を利用するにあたり注意事項があります 詳細に関してはリリースノートをご確認ください 実際に制御可能かどうかは予めご検証ください 10
SmartOn Log 認証 管理者操作を記録 ユーザーの認証ログ/管理者のマネージャー操作ログを管理 ログサンプル 2013/08/16-10:08:02,SOL,,5100,0,SmartOn Logonが起動しました 2013/08/16-10:08:44,SOL,社員,2114,0,[user]がWindowsにログオンしました 2013/08/16-10:08:51,SOD,,5200,0,SmartOn Desktopが起動しました 2013/08/16-10:08:52,SOP,,5401,0,SmartOn Passが起動しました 2013/08/16-10:09:55,SOL,社員,2150,0,コンピュータをロックしました 2013/08/16-10:10:00,SOL,アルバイト,2100,0,ロック前と異なるカードです 2013/08/16-10:10:00,SOL,アルバイト,2171,0,コンピュータのロックを解除しました 2013/08/16-10:20:02,SOL,アルバイト,2150,0,コンピュータをロックしました 2013/08/16-11:49:37,SOL,アルバイト,2171,0,コンピュータのロックを解除しました 2013/08/16-12:13:34,SOL,,5100,0,SmartOn Logonが起動しました 2013/08/16-12:41:24,SOL,社員,2114,0,[user]がWindowsにログオンしました SmartOn ID ログサーバー ログ出力 SmartOn ID クライアント SmartOn ID マネージャー 取得できるログ内容 主にテキスト形式 SmartOnアカウント情報 Windowsアカウント情報 ログオン ログオフ ロック履歴 パスワードなどの変更履歴 パスワード自動送出履歴 など ログの結果を元に図 表 グラフを自動作成 ログの内容が一目でわかる 詳しくはP16で 11
お客様の運用ポリシーに柔軟に対応 お客様の導入 運用に関する不安を解消 なるほど ICカードを忘れたときの対応は 臨時カードを発行 又は一時的なパスワード認証 ICカードは既に配布して 回収するのが難しい PC側で後からICカードを登録可能 認証情報を変更するには 専用の管理コンソールからの情報変更や CSVによる流し込み作業 ICカードを紛失してしまった ユーザーへの対応は 紛失したICカード情報を失効し 新たなICカードの再発行 PC側のソフトのバージョンアップ 対応はどうするの アップデート機能より自動更新可能 12
SmartOn IDの構成概要 SmartOn IDコンポーネント群 既存ドメイン環境 ③Windowsドメイン認証 冗長 ①SmartOn認証 ②ACLのダウンロード SmartOn ID ACLサーバー SmartOn IDクライアント ドメインコントローラー インストール ユーザーの作成 インストーラの発行 トークンの登録 配布 ログ送信 ログ送信 SmartOn ID マネージャー ログサーバー 13
本機能はSmartOn ID for リモートアクセスの機能です VDI シンクライアント環境にも対応 仮想デスクトップの認証もICカードを利用 ①ネットワーク接続 リモートサーバー側 対応するシンクライアントシステム ③画面表示後に ICカード認証 シンクライアント端末 Citrix XenApp XenDesktop VMware VMware Horizon MS Microsoft VDI 14
連携ソリューション ID管理 Soliton ID Manager 社内で使用されている多数のシステムで個別に管理されているユーザーIDを集中的 に管理し 各システムに対するユーザーIDの登録や 変更 削除などの操作を自動 的に実行します 各サーバー群 LDAP Active Directory SmartOn ID ACLサーバー 人事情報 社員番号 0001 姓 Soliton 名 hanako 所属 営業部 ユーザー自動登録 ADやACLサーバーに対しユーザーの 新規登録/変更/削除が一括で可能 登録 15
連携ソリューション スマートデバイス Soliton SecureBrowser Pro(SSBP)/Soliton SecureGateway (SSG) SSBP/SSGは 端末側に情報を残さずスマートデバイス ios/android 等から社内や クラウドのWebサイトへの安全なリモートアクセスを実現するソリューションです SmartOn IDと連携することで スマートデバイスからもSmartOn IDのPass機能 (シングルサインオン)を利用することができ 対象のWebサイトにID/パスワードの 自動入力が可能です 各種Webサイト クラウド SmartOn ID ACLサーバー SmartOn ID ACLサーバーをSSGの ユーザー認証サーバーとして活用 SmartOn ID ACLサーバーが 接続先WebサイトのID/パスワード 情報を保持 認証連携 SSBP セキュアブラウザでの Webアクセス時のSSOを実現 認証 自動入力 得られる効果 既存のSmartOn ID資源の有効活用 Webサイトアクセス時にID/パスワード を自動入力 都度入力不要のため操作性 利便性向上 Webサイトへ自動入力可能か事前検証ください 16
連携ソリューション ログ解析 NetAttest BigData ソリトン製品のログを統合的に分析できる専用アプライアンス 探す 検索 フリーフォームの検索機能 で簡単に検索可能 見せる 共有 特定のユーザーとレポート を共有することが可能 ログ出力 見える レポート 検索結果を元に図 表 グラフを作成可能 知らせる アラート メール通知機能により 管 理者に知らせることが可能 ログの解析 レポート化 SmartOn ID ログサーバー 高度なログ解析が可能 17
SmartOn ID 動作環境 SmartOn クライアント サポート OS サポート OS Windows Vista Home Basic/Home Premium/Business/Enterprise/Ultimate x86 SP2 Windows 7 Home Basic/Home Premium/Ultimate/ Professional/Enterprise x86/x64 SP1 Windows 8 -/Pro/Enterprise x86/x64 SP0 Windows 8.1 -/Pro/Enterprise x86/x64 SP0 CPU 使用する OS に依存 (1GHz 以上を推奨 ) メモリ使用する OS に依存 (1GB 以上を推奨 ) HDD その他 100MB の空き容量が必要 ( ログファイル キャッシュファイルによって増加 ) 使用する認証デバイスを接続する空きポートが必要です Windows Vista/7/8 については Windows エクスペリエンスインデックス基本スコア 3.0 以上の環境を推奨します SmartOn ACL サーバー / ログサーバー Windows Server 2003 Standard/Enterprise Edition SP2 Windows Server 2003 R2 Standard/Enterprise Edition x86/x64 SP2 Windows Server 2008 Standard/Enterprise x86/x64 SP2 Windows Server 2008 R2 Standard/Enterprise x64 SP1 Windows Server 2012 Datacenter/Standard x64 SP0 Windows Server 2012 R2 Datacenter/Standard x64 SP0 CPU 使用する OS に依存 (2GHz 以上を推奨 ) メモリ使用する OS に依存 (1GB 以上を推奨 ) HDD 使用する OS に依存 (40GB 以上の空き容量を推奨 ) SmartOn マネージャー サポート OS Windows Server 2003 Standard/Enterprise Edition SP2 Windows Server 2003 R2 Standard/Enterprise Edition x86/x64 SP2 Windows Server 2008 Standard/Enterprise x86/x64 SP2 Windows Server 2008 R2 Standard/Enterprise x64 SP1 Windows Server 2012 Datacenter/Standard x64 SP0 Windows Server 2012 R2 Datacenter/Standard x64 SP0 Windows Vista Business/Enterprise/Ultimate x86 SP2 Windows 7 Home Premium/Ultimate/Professional/ Enterprise x86/x64 SP1 Windows 8 -/Pro/Enterprise x86/x64 SP0 Windows 8.1 -/Pro/Enterprise x86/x64 SP0 CPU 使用する OS に依存 (1GHz 以上を推奨 ) メモリ使用する OS に依存 (512MB 以上を推奨 ) HDD その他 100MB の空き容量 (200MB 以上の空き容量を推奨 ログファイルによって増加 ) 使用する認証デバイスを接続する空きポートが必要です SmartOn マネージャーの全ての機能を使用するにはローカルの管理者権限が必要になります SmartOn マネージャーで使用する認証デバイスについては 認証デバイスメーカー側にて上記 OS での動作をサポートすると明示しているもののみ対象です 詳細は 弊社 Web でご確認ください URL:http://www.soliton.co.jp/smarton/ 18
対応 IC カードと IC カードリーダー IC カード カードリーダー FeliCa Mifare Standard 1K,4K/ Mifare Ultralight/ Mifare Classic Smartics J4K PaSoRi RC-S330/S 1 ( ソニー社製 ) - - PaSoRi RC-S360/SH 1 ( ソニー社製 ) - - ACR122 (ACS 社製 ) - ACR122T (ACS 社製 ) - ACR38U-I1 (ACS 社製 ) - - 1 SmartOn ID for リモートアクセスではご利用いただけません その他のカードリーダー TypeB カードなどにも対応しています 詳しくはご相談ください 表示製品のデザインは変更される場合があります 記載の製品名は 各社の商標または登録商標です 19
生体認証オプション (U.are.U) SmartOn クライアント (U.are.U 4500 使用時 ) 機種 サポート OS CPU メモリ HDD その他 PC/AT 互換機 Windows カタログおよび HCL に掲載されているもの http://www.microsoft.com/japan/whdc/hcl/default.mspx Windows 7 Home Basic/Home Premium/Ultimate/Professional/Enterprise x86/x64 SP1 Windows 8 -/Pro/Enterprise x86/x64 SP0 Windows 8.1 -/Pro/Enterprise x86/x64 SP0 Intel x86 および Intel x64 互換 CPU 2GHz 以上の 32 ビット (x86) または 64 ビット (x64) プロセッサ Intel Core i シリーズを推奨 SSE2 命令セットが実装されている CPU を搭載したマシンが必要です 1GB 以上を推奨 50MB の空き容量が必要 100MB 以上の空き容量を推奨 ログファイルによって容量は増加 認証装置 (U.are.U 4500) を接続する USB ポートが必要 指紋情報登録ツール (U.are.U) 機種 サポート OS CPU メモリ HDD その他 PC/AT 互換機 Windows カタログおよび HCL に掲載されているもの http://www.microsoft.com/japan/whdc/hcl/default.mspx Windows 7 Home Basic/Home Premium/Ultimate/Professional/Enterprise x86/x64 SP1 Windows 8.1 -/Pro/Enterprise x86/x64 SP0 Windows Server 2008 Standard/Enterprise x86/x64 SP2 Windows Server 2008 R2 Standard/Enterprise x64 SP1 Windows Server 2012 Datacenter/Standard x64 SP0 Windows Server 2012 R2 Datacenter/Standard x64 SP0 Intel x86 および Intel x64 互換 CPU 2GHz 以上の 32 ビット (x86) または 64 ビット (x64) プロセッサ Intel Core i シリーズを推奨 SSE2 命令セットが実装されている CPU を搭載したマシンが必要です 2GB 以上を推奨 50MB の空き容量が必要 100MB 以上の空き容量を推奨 ログファイルによって容量は増加 認証装置 (U.are.U 4500) を接続する USB ポートが必要 U.are.U 4500 指紋情報登録画面 20