HP Security Week 2009 day5:a HP IceWall SSO 概要と事例のご紹介 日本ヒューレット パッカード株式会社榎本司 2009 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.
目次 概要 導入効果 HP IceWall SSOが提供する5つのメリット 導入実績 / 事例 / ソリューション連携 2 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
概要
はじめに HP IceWall SSO は 日本 HP が国内で開発し 製品として提供している NO.1* Web シングルサインオンソリューション (Single Sign On=SSO) です HP IceWall SSO は 1997 年の発売以来 日本国内においてイントラネットサービスや BtoC BtoB サービス等の多くのシステムへの導入実績があり 現在までに合計 4,000 万以上のユーザライセンスが販売されています * 出荷金額ベース国内 Web シングルサインオンパッケージ市場 No.1 日本 HP:34.7% ( 出典 : ミック経済研究所 個人認証型セキュリティソリューション市場の現状と将来展望 2008 2008 年 10 月刊 ) 4 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
なぜ今 SSO が求められているのか 情報資産を守る必要性の高まり 今 コンプライアンスへの対応 内部統制 リスク管理実施の一環として 企業の重要な情報資産を内外から守る必要があります IT 環境の複雑化 利便性の高い Web アプリケーションによって業務効率が向上する一方 アプリケーション数の増加によって それぞれが異なっているセキュリティ強度やアクセス管理ポリシー設計を統一することが困難になり IT 環境が複雑化する原因となっています 統合認証基盤の必要性 この状況への対策として 認証やアクセス制御を統合 強化して管理することが重要とされ 統合認証基盤の必要性が高まっています さらに これからの統合認証基盤では ユーザーの利便性向上 可用性 セキュリティ強化 他のセキュリティソリューションとの連携を可能とする柔軟性等も重要な条件となっています 以上の条件を全てカバーするのが 日本 HP が提供するシングルサインオンソリューションです 5 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
HP IceWall SSO とは ~ 基本機能 HP IceWall SSO はシングルサインオンにより 一度の認証で複数の Web アプリケーションへのログインを実現し さらにセキュリティと アクセスコントロールの 4A の統合を実現する製品です HP IceWall SSO を用いた統合管理 コンプライアンスオフィサー アクセスコントロール 4A が統合管理されているため ユーザの挙動実態が把握可能 作業効率も大幅にアップ アクセスコントロール 4A 認証 認可 管理 監査証跡 アプリケーション毎 ( まかせ ) の管理 アプリケーション毎にバラバラのアクセスコントロールで実態不明 管理コストもかかる HP IceWall SSO LOG IN ID PASS IT 管理者 Web アプリ Web アプリ Web アプリ アプリケーション管理者 アプリ別監査証跡の管理 アプリケーション管理者 アプリ別認証 認可 アプリケーション管理者 アプリ別認証アクセス制御 6 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
HP IceWall SSO とは ~ 基本構成 HP IceWall SSO は エージェントレスで OS や Web アプリケーションに制限の少ないリバースプロキシ方式を主体とした Web シングルサインオン製品です HP IceWall SSO 基本構成図 POINT 1 リバースプロキシ方式すべてのトランザクションが IceWall サーバを通過 認証認可チェックし アタックを防御する働きをします HP IceWall SSO POINT 2 エージェントの配布不要 OS Web アプリに制約が少ない ネットワーク Web アプリケーション クライアント PC IceWall サーバ Web アプリケーション POINT 3 認証モジュール IceWall サーバからの要求を受け 認証 DB 上の認証認可情報と照合し, アクセスログを出力 認証サーバ Web アプリケーション 7 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
導入効果
導入効果 HP IceWall SSO を導入することで 経営者 開発者 管理者 ユーザの皆様にさまざまなメリットを与えることができます 経営者 内部からの情報漏洩対策 内部統制への対応 証跡の統合管理 ミッションクリティカルへの対応 開発者 アプリケーション開発のコスト削減 既存の Web アプリケーションとの連携 品質の高い製品の導入 管理者 ユーザの統合管理 (ID パスワード 属性情報 ) アクセス制御の統合管理 AD LDAP との連携 運用コストの削減 IT インフラの水平統合化への対応 新テクノロジーへの対応 (Web サービス等 ) ユーザ 多くのパスワード管理 アクセスの容易さ アクセス権限のあるアプリケーションの判別 セルフサービス 9 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
導入効果経営者の方へ 御社の IT システムはサイロ化していませんか? HP IceWall SSO はサイロ化を防ぎ 全体最適化された IT システムを構築することができます 全体最適化された IT システム サイロ化したアプリケーション DB DB DB DB DB ビジネスロジック UI ビジネスロジック UI ビジネスロジック UI 認証 認証 認証 ビジネスロジック ビジネスロジック 防御セキュリティ 防御セキュリティ 防御セキュリティ ビジネスロジック ビジネスロジック ビジネスロジック 人事 AP 営業 AP サービス AP UI UI UI ポータル 認証 認可 証跡ログ防御セキュリティ WebSSO 人事 AP 営業 AP サービス AP 全体最適化が優れている理由 サイロ化のITシステム : 用サイロ型の ITシステム 間と費アプリケーションや部門の数時アプリケーションや部門が増えるほど時間と費用がかかってしまう 水平型の IT システム : アプリケーションや部門が増えても時間と費用があまり増えない 水平型の IT システム 10 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
導入効果管理者の方へ 海外製品のアクセス制御方式で 運用負担が高くなっていませんか? HP IceWall SSO は日本で開発された製品であることを活かし 日本の組織にあった運用管理ができます 具体例 A さん 人事部長から総務部長へ異動となった A さんのアクセス制御を行う場合 他社製品のロールベース方式では 個人のロールを新たに割り当てなくてはならないので その都度 時間と費用がかかってしまう HP IceWall SSO のルールベース方式では 個人属性が変われば自動的に変更処理されるので 人事異動の多い日本企業でも安心 HP IceWall SSO のルールベース方式 他社製品のロールベース方式 現状 A さん 変更後 個人属性 + 論理式でアクセス制御 現状 A さん 変更後 個人にロールを割り当てアクセス制御 IF 組織 = 人事部 IF 組織 = 総務部 IF 役職 = 部長 Then 人事用コンテンツ Then 総務用コンテンツ Then 部長用コンテンツ 認可ルール 人事部長 総務部長 ロールテーブル 人事用コンテンツ 部長用コンテンツ 総務用コンテンツ 人事用コンテンツ 部長用コンテンツ 総務用コンテンツ 11 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
導入効果開発者の方へ 新サービス開発する際 認証システムとアプリケーションをその都度 開発していませんか? HP IceWall SSO を導入すれば 認証システムとアプリケーションをわけて開発できるのでアプリケーション開発に専念できます HP IceWall SSO が認証 アクセス制御 セキュリティ対策をサポート 認証システム担当部分 ~ セキュリティ機能を提供 ~ ID/ パスワード入力 照合 パスワード変更 パスワード ポリシー チェック長さ / 有効期間 / 履歴 / 英数字混在 /ID と同一不許可 ユーザ登録 変更 削除 アクセス制御タイムアウトセッション管理 サーバ セキュリティクライアント証明書 SSL HP IceWall SSO がサポートする領域 アプリケーション開発部分 ~ 業務ロジックに集中 ~ ユーザ インターフェイス開発 AP ロジック開発 DB アクセス 情報継承 認証部分とアプリ部分を分けて開発可能 HP IceWall SSO 導入前 Web アプリA 認証システムA HP IceWall SSO 導入後 認証システム Web アプリ A Web アプリ B セキュリティ対策 Web アプリ B セキュリティ対策 Web アプリ C Web アプリ C 認証システム B 認証システム C 認証システム N 認証システムとアプリケーションを分離するメリット Web アプリ N サービス拡充が容易 維持管理 改修コストの削減 新サービスのスピード化 パッケージ ASPの追加が容易 各サービスへのセキュリティ対策も統一が可能 二要素認証等も認証 アクセス基盤への対応のみ Web アプリ N 12 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
導入効果開発者の方へ HP IceWall SSO は 現在導入済のシステムを選ばず 一部の特殊環境を除き どんな環境にでも適応させることができます HP IceWall SSO IceWall サーバ HTTP ヘッダでの属性情報引き渡し例 : Suzuki Ichiro 認証なし 例 ) 新規 既存の Web アプリ Web アプリケーション Type A 属性情報でのアプリケーションのコントロール 自動 Form 認証 代行認証例 : user01 ***** 自動 Form 認証 代行認証例 : AAAA *** 認証あり Form Basic 例 ) パッケージ Web アプリ等 Web アプリケーション Type B HP IceWall SSO の ID/ パスワードを利用した認証 認証 DB サーバ HP IceWall SSO の ID/ パスワード 属性情報 アプリケーションの ID/ パスワード 認証あり Form Basic 例 ) パッケージ Web アプリ等 Webアプリケーション Type C アプリケーション管理のID/ パスワードを利用した認証 USERID PASSWD Name USERID PASSWD user01 ***** Suzuki Ichiro AAAA *** 13 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
HP IceWall SSO が提供する 5 つのメリット
HP IceWall SSO が提供する 5 つのメリット HP IceWall SSO は利便性のみを追求する単なるポイントソリューションにはとどまらず 複数の課題を解決し 企業あるいは対外サービス全体で IT の最適化に貢献します Reliability 信頼セキュリティ強化で企業の信頼性を向上させます 企業が取り扱う個人情報 機密情報などの情報資産をセキュリティを強化することで守り お客様や社会から信頼される企業になるためのサポートをします Care 安心日本開発の製品で 日本企業への細かいケアを行います グローバル IT 企業である HP の技術と経験をベースに日本国内で開発をしています 機能 サポートの両面から 日本の企業文化や組織構造に合わせたきめ細やかなケアを行い これによって常に安心してお使いいただくことが可能です Comfort 快適クオリティの高い製品で快適なワークスタイルを実現します きわめて高品質で使いやすい製品です 運用者の負担と エンドユーザがアプリケーションを使用する際のストレスを軽減し 一歩進んだ快適な仕事環境を実現します Flexibility 柔軟幅広いビジネス規模 ニーズに柔軟に応え 未来の可能性を支えます 幅広い価格体系で企業の規模 ニーズに合った適切な導入ができ その高い拡張性と他のソリューションとの連携で 長く付き合える製品を提供し 企業の未来の可能性を支えます Professional 確実専門的な知識と確実なサポートで企業のビジネスを止めません HP が培ってきた豊富な導入経験と知見に基づき 短期間での確実な導入が可能です また ビジネスニーズに対応した信頼性の高いサポートで 導入後のご相談やご要望にもスピーディーに対応し 企業のビジネスを止めません 15 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
5 つのメリット Reliability 信頼 企業が取り扱う個人情報 機密情報などの情報資産をセキュリティを強化することで守り お客様や社会から信頼される企業になるためのサポートをします セキュリティ強化で企業の信頼性を向上させます POINT 1 ID/ パスワード漏洩を防止 ユーザに管理させる ID/ パスワードをひとつにすることにより セキュリティ強度が上がる POINT 2 HTTP 攻撃を防御 攻撃 ( クロスサイトスクリプティング バッファオーバーフローなど ) をシャットアウト POINT 3 情報漏洩を防止 アクセスコントロールやログの一元管理で不正アクセスを防ぐ クライアント PC POINT 4 ネットワーク 強固な認証を実現 他ソリューションとの連携による多要素認証や強力なパスワードポリシーが実現 IceWall サーバ 認証サーバ Web アプリケーション Web アプリケーション Web アプリケーション 16 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
5 つのメリット Comfort 快適 HP IceWall SSO は 極めて高品質で使いやすい製品です 運用者の負担と エンドユーザがアプリケーションを使用する際のストレスを軽減し 一歩進んだ快適な仕事環境を実現します クオリティの高い製品で快適なワークスタイルを実現します クライアント PC POINT 1 ID/ パスワードの一元化による利便性の向上 エンドユーザ 企業における Web アプリケーション数は 数十から多いところでは数百にも上ります HP IceWall SSO を導入すると ID. パスワードを 1 つに集約することができます HP IceWall SSO LOG IN ID PASS POINT 2 POINT 3 数百万ユーザ規模でも快適な環境を実現するパフォーマンスとスケーラビリティ 運用の簡便化 HP IceWall SSO は 100 万人ログインしている状態で毎秒 10000 件の処理に耐えられる構造をもっています 始業時間帯などの大量アクセス時でも処理が滞りません Web アプリ Web アプリ Web アプリ IT 管理者 企業内の認証 アクセス管理 証跡ログの一元管理を実現 IT システム運用管理コストの削減に貢献します 17 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
Comfort 快適 HP IceWall SSO の処理性能 リバースプロキシ型はプロキシ部分に負荷が集中するためボトルネックになると考えられがちですが HP IceWall SSO は処理性能が高いため ボトルネックにはなりません また 認証サーバ部分と認証 DB についても非常に高速です 現状では極めて大規模なサイトでも数千ヒット / 秒数百ログイン / 秒程度と考えられます HP IceWall SSO は十分それに耐えうる製品構造をもっています 高速処理性能の仕組み プロキシ専用 1,000hit/sec/ 台以上 dfw->mcrp により一層の高速化を実現 HP IceWall SSO IceWall サーバ Web アプリ Network MCRP クライアント PC マルチスレッド コネクションプール B*Tree などにより高速処理可能 10,000hit/sec 以上 認証モジュール 認証 DB 認証サーバ 書き込みが早い DB タイプを使用可能 ログインログアウト時に各 1 度のみアクセス 1,000 ログイン /sec 以上 18 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
Comfort 快適認証サーバの性能 ログインが集中する始業時間帯や WebMail 勤怠管理などアクセス集中型アプリケーションの使用時においても安定して動作します HP IceWall SSO のログイン処理 マルチスレッド 要求 1 ログイン要求 2 ログイン要求 3 ログイン ログイン要求 N メモリ B*Tree 検索 認証 DB コネクションプール ログイン処理のポイント B*Tree メモリ検索があるから 同時ログインユーザが多くてもパフォーマンスが劣化しない マルチスレッド コネクションプールによる完全パラレル処理を実現 通常アプリケーションのログイン処理 ログイン要求 1 ログイン要求 2 ログイン要求 N メモリ 認証 DB 認証 DB ログインユーザが多いと検索に時間がかかり パフォーマンスが落ちる シーケンシャル処理になる 19 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
Comfort 快適管理ログ HP IceWall SSO は精緻なログの取得が可能です 内部統制やキャパシティプランニング 問題発生時の課題解決に活かすことができます 取得可能なログ 内部統制に重要誰がいつどのコンテンツにアクセスしたか ログイン失敗数 ( 監査証跡 ) キャパシティプランニングに重要 各 Webサーバへのアクセス数 コンテンツサイズ ( トラフィック ) ログイン中ユーザ数 使用スレッド数 キュー数 コネクション数 ( ステータス ) 問題発生時の切り分けに重要各 Webサーバ 認証 DBのレスポンス時間 ( パフォーマンス ) 20 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
Comfort 快適 Web サーバ 認証 DB のレスポンス時間 HP IceWall SSO は Web サーバと認証 DB のレスポンス時間を取得できます これを利用することで システム上問題があった場合でも短時間での問題解決を可能とします アクセス処理の流れと取得するログ IceWall サーバ 5 4 Network クライアント PC 1 2 認証サーバ 3 認証 DB Web アプリ IceWall サーバで取得できる主なログ項目 1 [ フォワーダ起動から Web サーバ接続までの時間 ] 4 [Web サーバ接続開始からコンテンツ受信完了までの時間 ] 5 [ コンテンツ受信後からブラウザ出力までの時間 ] [ 日時 ][ ユーザ ID] [ リクエストメソッド ][ リクエスト URL] [ コンテンツサイズ ] [IP アドレス ] 認証サーバで取得できる主なログ項目 2 [ リクエスト処理時間 ] 3 [DB 処理時間 ] [ 日時 ][ ユーザ ID][ ログインしていた時間 ] [ リクエスト URL] 21 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
Comfort 快適 HP IceWall SSO Performance Monitor IceWall サーバや認証サーバ上のモジュールのログをテキストだけではなく モニタ形式で参照できる iwpmd iwpmc 認証サーバでの処理時間 リクエスト件数リソース使用量を逐次表示 IceWall サーバでの処理時間 リクエスト件数を各 Web アプリケーションごとに逐次表示 図版赤枠番号は 前頁のログ項目の番号に準拠 22 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
5 つのメリット Care 安心 HP IceWall SSO は グローバル IT 企業である HP の技術と経験をベースに日本国内で開発しています 機能 サポートの両面から 日本の企業文化や組織構造に合わせた決め細やかなケアを行い これによって常に安心してお使いいただくことが可能です 日本開発の製品で 日本企業の細かいケアを行います 日本で開発した製品だからできる 万全のサポート HP IceWall SSO は日本国内で開発しています だからこそ 日本の企業文化や組織構造に合わせたきめ細やかなケアで常に安心してお使いいただくことが可能です グローバル IT 企業である HP の技術と経験が可能にする機能グローバル IT 企業である HP の技術と経験が 時代に求められる機能を実現します たとえばシングルサインオンの範囲を一歩広げて 認証システム間でシングルサインオンを実現する グローバルシングルサインオン * HP IceWall SSO はこうした新しいご要望に積極的に取り組んでいる製品です *=Global Single Sign-On(GSSO) 複数の認証システムが認証連携することにより サイト ( 企業 ) 間シングルサインオンを実現する仕組み 日本国内における 10 年以上の実績接続性シングルサインオンを導入する際 一番不安に感じることは 果たして自社の Web アプリケーションと接続できるかということ HP IceWall SSO は 10 年以上の日本国内での実績を誇り アプリケーション接続について経験を積んできています 万が一接続できない場合においても その情報のフィードバックが製品側に常に反映される体制をもっています 23 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
5 つのメリット Flexibility 柔軟 HP IceWall SSO は 幅広い価格体系で 企業の規模 ニーズに合った適切な導入ができ その高い拡張性と他のソリューションとの連携で 長く付き合える製品を提供し 企業の未来の可能性を支えます 幅広いビジネス規模 ニーズに柔軟に応え 未来の可能性を支えます 接続性が高い HP IceWall SSO は 現在導入済のシステムを選ばず 一部の特殊環境を除き どんな環境にでも適応させることができます 非常に OPEN HTML 画面のカスタマイズ API の公開 通信電文の公開 DB 構造の公開 デファクトスタンダードの Web サーバソフトウェア DB の採用などにより 自由度が非常に高く 容易に顧客の環境に溶け込むことが可能です 規模やニーズに合わせた適切な導入 HP IceWall SSO は日本国内で開発しています だからこそ 日本の企業文化や組織構造に合わせたきめ細やかなケアで常に安心してお使いいただくことが可能です 他ソリューションとの連携 HP IceWall SSO は グローバルシングルサインオンをはじめ 生体認証 IC カード認証 携帯電話による認証 また金融サービスにおいて注目されているリスクベース認証など 導入目的に応じてさまざまなソリューションと連携可能です 24 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
Flexibility 柔軟 HP IceWall SSO が提供する 2 つの方式 HP IceWall SSO では代表的な 2 つの型を使った リバースプロキシ型とエージェントモジュール型を提供しています エージェントモジュール型 Network クライアント PC エージェントモジュール型のポイント ブラウザからアクセスする際にボトルネックになる箇所が少なく パフォーマンスに優れている Web サーバごとにエージェントを埋め込む必要がある エージェントモジュールが Web サーバのプラットフォームに対応していない場合がある Web アプリ リバースプロキシ型 エージェント エージェント エージェント http://www.backend1.com/ http://www.backend3.com/ http://www.backend2.com/ 認証サーバ リバースプロキシサーバ http://www.rproxy.com/ 認証サーバ Web アプリ 25 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
Flexibility 柔軟リバースプロキシ型とエージェントモジュール型の混在利用 HP IceWall SSO は リバースプロキシ型とエージェントモジュール型を自由に組み合わせて 複雑な社内ネットワーク構成にも柔軟に対応できます 3 つの型を組み合わせたシステム構成例 IceWall サーバ リバースプロキシ型 Web アプリ クライアント PC Network 認可 フォワーダ 認証 認可 プロキシ 認証情報は集中管理 エージェント MCRP プロキシ Web アプリ エージェントエージェントエージェント Web アプリ 認可 IceWall Agent+MCRP エージェントモジュール型 エージェントプロキシ型 26 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
Flexibility 柔軟自由度の高さ HP IceWall SSO は 多様な設定ファイル項目や API の提供など充実したカスタマイズ性により 非常に柔軟に個々の環境や要求に適応することが可能です しかも そのカスタマイズが HP IceWall SSO のバージョンアップに支障を与えないような構造を採用しています カスタマイズ例 可能なカスタマイズ 電文のカスタマイズ ログイン画面のカスタマイズ エラー画面のカスタマイズ 継承する情報 ヘッダを Web アプリごとに個別設定可能 IceWall サーバ Web アプリ Network カスタマイズ設定 API Apache HTTP Server クライアント PC 可能なカスタマイズ 情報のカスタマイズ セッション ID の作成 パスワード暗号方式作成 通信電文の公開 テキストによるログ出力 カスタマイズ設定 API 認証サーバ 認証 DB Oracle/LDAP ActiveDirectory MySQL 公開された認証テーブル既存の認証 DB の流用可能 27 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
Flexibility 柔軟エクストラネットへの拡張 イントラネットで導入したシステムをエクストラネットに容易に拡張することができます エクストラネットへ拡張した例 社外向け IceWall サーバ 関連会社社員仕様書の取得 Network 関連会社向けサイト 業務システム リモート社員出張先からデータ入力情報取得 認証サーバ 認証 DB 配送システム 出先の営業配送状況の取得 社内向け IceWall サーバ 社員各状況確認 28 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
Flexibility 柔軟 Windows 環境との SSO HP IceWall SSO は Windows と統合認証することで 後段の Web アプリケーションの認証を省略することができます Windows と統合認証した場合 Windows での認証を済ませれば あとは認証いらず LOG IN ID PASS 統合認証しない場合 STEP 1 Windowsの認証 LOG IN ID PASS STEP 2 Webアプリケーションの認証 LOG IN LOG IN ID Webアプリケーションの PASS 認証をする必要なし ID PASS 29 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
Flexibility 柔軟 Windows 統合認証との SSO を実現する仕組み HP IceWall SSO と Windows との統合認証は 下記のような仕組みで実現しています Kerberos v5 を利用した Windows 統合認証とのシングルサインオン Windows サーバドメインコントローラ 認証 DB の共通化も可能 W2K SP2/ IE6.0SP1 以上で自動ログイン可能 1Windows ドメインログオン MSAD Web アプリ クライアント PC 2 アクセス Network 3 ログイン画面表示 4 自動ログインを選択 IceWall サーバ モジュール追加 ID : 認証 DB パスワード : 認証サーバ 自動ログイン ログイン画面を表示させないことも可能 30 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
Flexibility 柔軟 GSSO(Global Single Sign-On) による他サービスとの連携 HP IceWall SSO SAML2 Agent は グローバルシングルサインオン *1 環境構築を支援する HP IceWall SSO のオプション製品です SSOの仕様を実装 SAML2.0 仕様のサービスプロバイダ (SP) 機能のうちニーズが高いWebシングルサインオンの仕様を絞り込んで実装したエージェントモジュール *2 導入が簡単 SAMLプロトコルはエージェント内に隠蔽されているため コンテンツ提供サイトの開発者がSAML 仕様を意識する必要はありません 自由度の高い構成既存 Webサーバにインストール または SPサーバを前段に設置することで 既存コンテンツを簡単にSPとして提供することができます 複数 IDPサイトへの接続対応導入が簡単なエージェント方式でありながら 複数のアイデンティティプロバイダ (IDP) と接続することができます *1 グローバルシングルサインオンとは複数の認証システムが連携することにより実現した シングルサインオン ドメインを超えた認証システム間でのシングルサインオンです *2 SAML2 エージェントオプションを組み込むことにより Web アプリケーションサーバは サービスプロバイダ (SP) の機能を持ちます SAML2 エージェントオプションはアイデンティティプロバイダ (IDP) の機能を持ちません このため IDP の機能を導入するには別製品の購入が必要です Login 認証システム A(IDP) UserID Passwd SSO (SAML2 ゲートウェイ ) 認証システム X(SP) Login UserID Passwd SAML 仕様 SAML 仕様 認証システム Y(SP) Login UserID Passwd ID を 1 回入力するだけで複数の認証システムにログイン SSO HP IceWall SSO SAML2 Agent SSO HP IceWall SSO SAML2 Agent 31 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
Flexibility 柔軟 GSSO による他サービスとの連携例 HP IceWall SSO SAML2Agent Option を導入することで単一 ID を利用した複数サイトへのログインが可能となります 迅速に他 WEB サービスとの連携が可能となり サービスレベルを向上できます SAML で相互認証を結んでいるサイト間での連携例 1 アクセス 3ID/ パスワード入力 2 同意画面認証連携 4 認証結果 送付先 与信枠などを送付 SP 子会社 IDP 親会社 32 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
Flexibility 柔軟他認証システムとの連携一覧 HP IceWall SSO では以下の他の認証システムと連携することができます ベンダー 製品名 種類 IW との連携 RSA セキュリティ ( 株 ) RSA Adaptive Authentication for Web リスクベース認証 連携ソフトウェア提供 ( 有償オプション ) RSA セキュリティ ( 株 ) RSA Secure ID ハードウェアトークン ( ワンタイムパスワード ) 設定で対応 ソニー株式会社 Felica IC カード 設定で対応 ソフトバンク BB 株式会社 SyncLock 携帯電話を使用した認証 ( ワンタイムパスワード ) 連携ソフトウェア提供 ( 有償オプション ) ( 株 ) ソリトンシステムズ SmartOn IC カード 設定で対応 日本ベリサイン株式会社 VeriSign ManagedPKI 電子証明書 連携ソフトウェア提供 ( 有償オプション ) パスロジ株式会社 PassLogic マトリクス認証 ( ワンタイムパスワード ) ベンダーより接続用モジュール提供 日立ソフトウェアエンジニアリング株式会社 静紋 生体認証 ( 指静脈認証 ) ベンダーより接続モジュール提供 マイクロソフト株式会社 Microsoft Windows Windows 統合認証 連携ソフトウェア提供 ( 有償オプション ) 株式会社ディー ディー エス ID Manager for HP IceWall クライアントサーバーアプリケーション ID パスワード自動代行入力 設定で対応 株式会社ディー ディー エス EVE MA 多要素認証プラットフォーム 設定で対応 大日本印刷株式会社 TranC ert Enterprise IC カード ( クライアント証明書 ) 設定で対応 株式会社 VASCO Data Security Japan VASCO DIGIPASS ハードウェア / ソフトウェアトークン ( ワンタイムパスワード ) 株式会社 VASCO Data Security Vacman ハードウェア ( ワンタイムパスワード ) 33 Japan 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved. 設定で対応 設定で対応
5 つのメリット Professional 確実 HP IceWall SSO は HP が培ってきた豊富な導入経験と知見に基づき 短期間での確実な導入が可能です また ビジネスニーズに対応した信頼性の高いサポートで 導入後のご相談やご要望にもスピーディに対応し 企業のビジネスを止めません 専門的な知識と確実なサポートで企業のビジネスを止めません 豊富な導入経験と短期間で確実な導入 HP IceWall SSO は トヨタ自動車株式会社様や NTT コミュニケーションズ株式会社様をはじめ 多くのリーディングカンパニーに採用されています また金融サービスをはじめとするミッションクリティカル環境における豊富な実績に基づき 確実なサポートをご提供します その経験を活かし お客様のさまざまな環境下において 短期間で確実な導入を実現しています ビジネスニーズにスピーディーに対応 HP IceWall SSO は モバイルサービスへの対応 ASP サービスへの対応 Windows 環境との連携 企業間連携サービスへの対応など時代の要望に応じた機能を次々と実装してきました それによりお客様の環境が常に最先端であるように努めています サポート体制 HW OS アプリケーションとの一体型サポートが可能です また日本にサポート拠点があるため非常に迅速なレスポンスができるようになっています さらに日本の企業文化や組織構造に合わせたきめ細やかなケアで 確実なサポートをお届けします 34 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
Professional 確実完全二重化の実現 HP IceWall SSO は完全二重化を実現していますので どの 1 台がダウンしても ユーザセッションはそのまま維持することができます 二重化 多重化の実装により どの 1 台がダウンしても安心です クライアント PC Load Balancer IceWall サーバ 認証サーバ Active/Standby 認証 DB サーバ 認証 DB 認証 DB IceWall サーバ N 台構成による冗長化 1 台がダウンしてもセッションは継続 認証サーバレプリケーションによる冗長化 1 台がダウンしてもセッションが継続 認証 DB サーバ Oracle RAC 等による冗長化の実現 35 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
導入実績 / システム構成例
導入実績 多くのリーディングカンパニーに HP IceWall SSO を認証基盤としてご採用頂いています ver.8.0 R3 までに 4000 万超ユーザライセンスを販売 Web シングルサインオンパッケージ市場シェア NO.1* * 出荷金額ベース国内 Web シングルサインオンパッケージ市場 No.1 日本 HP:34.7% ( 出典 : ミック経済研究所 個人認証型セキュリティソリューション市場の現状と将来展望 2008 2008 年 10 月刊 ) お客様名 製品エディション システム内容 ユーザ数 イーヒルズ ( 株 ) 様 ( 森ビルグループ ) EE ビジネスポータル (EIP) 5 万 NTT コミュニケーションズ ( 株 ) 様 EE+PKI BtoB(ASP) 数万 ( 株 )NTT データ様 EE+PKI 保険共同ゲートウェイ 無制限 ( 株 )NTT ドコモ様 EE BtoC 数百万 KDDI ( 株 ) 様 EE ASP( ファイル交換サービス - 住友商事 ( 株 ) 様 EE イントラネット 1.3 万 ( 株 ) 損害保険ジャパン様 EE 代理店システム 数万 トヨタ自動車 ( 株 ) 様 EE イントラネット エクストラネット GSSO(SAML) 十数万 ( 株 ) 三菱東京 UFJ 銀行 ( 旧 UFJ 銀行 ) 様 EE+PKI インターネットバンキング 数百万 ( 株 ) ユーフィット (UFJ グループ ) 様 EE マーケットプレイス 3 万 建設会社 EE イントラネット 1000~ 大手損保 EE+PKI 代理店システム 10 万 ~ 公共機関 RP BtoC - 証券会社 EE イントラネット 4000 証券会社 EE BtoC 10 万 ~ 新聞社 EE イントラネット 5000 保険会社 EE イントラネット 10 万 ユーティリティ会社 EE イントラネット 5 万 通信会社 SE BtoB 1000~ 大学 SE イントラネット 1000~ サービス会社 EE BtoC 100 万 EE=Enterprise Edition, SE=Standard Edition 37 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
導入実績シェアについて ver.8.0 R3 までに 4000 万超ユーザライセンスを販売 3 つの市場調査において業界市場シェア NO.1 に輝くシングルサインオンソリューションです 富士キメラ総研 2009 ネットワークセキュリティビジネス調査総覧 シングルサインオン市場シェア 2008 年 ( 実績 ) 35.6% Web シングルサインオンパッケージ 2007 年 2008 年の競合製品とのシェア比較図 HP IceWall SSO ミック経済研究所 情報セキュリティソリューション市場の現状と将来展望内部統制型 情報漏えい防止型ソリューション編 2009 Web シングルサインオンパッケージ市場シェア 2008 年 ( 実績 ) 35.2% ITR ITR Market View: アイデンティティ管理 / 内部統制市場 2008 SSO 製品市場シェア 32.8% 2007 年 2008 年 Web シングルサインオンパッケージ市場シェア NO.1* * 出荷金額ベース国内 Web シングルサインオンパッケージ市場 No1 日本 HP:35.2%( 出典 : ミック経済研究所 情報セキュリティソリューション市場の現状と将来展望内部統制型 情報漏洩防止型ソリューション編 2009 2009 年 6 月刊 ) 38 2009/10/19-23 2009/10/15 Copyright 2007-2009 HP corporate presentation. All rights reserved.
システム構成例 大規模イントラネットでの標準構成を以下に示します リバースプロキシ型とエージェント型 エージェントプロキシ型の混合となっています 本社ユーザ エージェント接続支店ユーザ 認証サーバと兼用可能 IM サーバ CFG サーバ SW IceWall(1) サーバ LB IceWall(n) サーバ LB Web アプリ MCRP 接続 Web アプリ RP サーバ (MCRP) その他社内ネットワーク 専用線 認証サーバ 認証 DB サーバ 認証情報 認証 DB サーバ Webアプリ Webアプリ Webアプリ リバースプロキシ接続 既存のものの利用も可能 39 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
事例紹介
某総合商社様事例 世界の 1 万以上のユーザが活用するイントラネットの認証基盤として HP IceWall SSO は使用されています 某総合商社様イントラネット環境 約 30 種類のアプリケーション / システム 採用のポイント 日本 HP の製品方針 事業継続性 豊富な利用実績 国内開発 サポート リバースプロキシ型 某総合商社様イントラネット IceWall サーバ 認証サーバ 認証 DB HP IceWall SSO HP IceWall SSO による統合された認証基盤 誰をどこにアクセスさせるか ( 認証と認可 ) 誰がどこにアクセスしたのか ( 監査証跡 ) 世界約 1 万ユーザを統合的に管理 トップページのアクセス 2~3 万 /1 日 世界約百数十拠点約 1 万ユーザ 41 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
株式会社エヌ ティ ティ ドコモ様 My DoCoMo 事業部ごとに構築されたサイト 料金確認各種手続き i モード設定 位置情報 オンラインショップ 今後のサービス拡大他のサイトとの相互乗り入れが必要 個別開発した認証機能 Login UserID Passwd Login UserID Passwd Login UserID Passwd Login UserID Passwd ( 顧客は携帯もインターネットも利用するが ) 携帯からのアクセスが 9 割 Challenge! インターネット上のドコモショップの必要性 NTTドコモユーザへのワンストップ サービス提供 利便性向上 5,000 万人から増え続けるユーザを支えられるスケーラブルでミッションクリティカルな認証基盤 モバイルとインターネットの融合を見据えた インターネット上 NTT ドコモ チャネルの確立 42 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
My DoCoMo システム概要図 それまで並立していたさまざまな NTT ドコモユーザ向け Web サイトを統合する上で 汎用性や信頼性のある基盤は何か NEC と共同で検討を進めました 我々が想定するトラフィック量に対応できるソリューションはなかなか見つからなかったのですが さまざまな事前検証を経て HP IceWall SSO( 以下 IceWall) が最も優れたソリューションであるという結論に達しました ( 斎藤氏 ) PC からのアクセスが 1/3 に 43 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.
IceWall SSO + Oracle Identity Manger
HP IceWall SSO + Oracle Identity Manager HP IceWall SSO と Oracle Identity Manager の連携により 企業全体の ID 管理環境を実現します SSO IceWall サーバ 後段 Web アプリ ID 属性情報配布 ユーザ セルフサービス属性の修正 認証 DB 後段 Web アプリ 認証サーバ ID 属性情報配布 パスワード変更 派遣社員登録アカウントロック解除部門管理者 OiM 運用者 運用者 パスワード変更初期化 Domain Controller Active Directory 45 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved. 正社員情報 人事システム
周辺サービスとお問い合わせ お問い合わせ HP カスタマーインフォメーションセンター http://www.hp.com/jp/iw_contact 03-6416-6660 (HPカスタマー インフォメーションセンター) 受付時間 : 月曜日 ~ 金曜日 9:00-19:00 土曜日 10:00-17:00 ( 日 祝祭日 年末年始および5 月 1 日を除く ) お見積り 資料のご請求 http://www.hp.com/jp/sso_est 最新 詳細情報 HP IceWall SSO 公式サイト http://www.hp.com/jp/icewall オンラインデモ http://h50146.www5.hp.com/products/softwa re/security/icewall/family/demo/index.html HP IceWall SSO 評価版ダウンロードサイト http://www.hp.com/jp/icewall_download 各種サービス 導入サービス エクスプレスサービス ( 短期間 低料金の定型構築パッケージサービス ) コンサルティングサービス ( お客様のあらゆるニーズに応じる個別サービス ) 定期技術トレーニングサービス 海外への導入 サポートサービス 低価格なStandard Edition, 定型パッケージもございます 47 2009/10/19-23 Copyright 2007-2009 HP corporate presentation. All rights reserved.