認証セキュリティシステム smartonid v2.8.1aclサーバー...
TRANSCRIPT
© 2011 Soliton Systems K.K All rights reserved.※本資料に記述の内容は、予告無く変更される可能性があります。
認証セキュリティシステム
SmartOn ID V2.8.1.0ご紹介
2011年4月29日版
株式会社ソリトンシステムズ
© 2011 Soliton Systems K.K All rights reserved. 2
情報セキュリティの盲点
どんなに優れた暗号化製品も、
ID、パスワードがわかれば復号化できる
ログに残った「ユーザ名」は、本当に「本人」?
利用・操作ログを収集しても、
PC側にデータの無いシンクライアントも、
ID、パスワードがわかればアクセスし放題
情報セキュリティ対策は、「本人認証」をきちんと行い、「なりすまし(匿名)」を防止できてこそ、有効
© 2011 Soliton Systems K.K All rights reserved. 3
SmartOn ID とは
ICカードを活用し、PC利用時のユーザ認証、アクセス制限、認証ログ管理を強化して、情報漏洩を事前に防止するシステムです。
© 2011 Soliton Systems K.K All rights reserved. 4
SmartOn ID の構成概要
SmartOn IDマネージャー
SmartOn IDマネージャー
SmartOn IDクライアントSmartOn IDクライアント
ログ
ログ
SmartOn ID ログサーバー
SmartOn ID ログサーバー
SmartOn ID ACLサーバー
SmartOn ID ACLサーバー
・・・SmartOn IDのコンポーネント
SmartOn IDユーザ情報(ACL情報)
② SmartOn ID認証
④ ドメイン認証Windowsログオン
SmartOn 管理コンポーネントは、3つの機能コンポーネントで構成
- ACLサーバー- マネージャー- ログサーバー
SmartOnクライアント、SmartOnマネージャーのログ管理を行ないます
・ユーザ・グループ情報の追加・変更等
・トークン登録/失効
① パスワード入力
既存ドメインサーバー(Active Directory
ドメインなど)
③ ACLダウンロード
ACL: Access Control List
© 2011 Soliton Systems K.K All rights reserved. 5
今、お使いのICカードを使えます
SmartOn IDでのご利用をご提案致します
・ビルの入館証や、入室管理、プリンタ認証などで、ICカードを利用している・社員証、職員証のIDカードがICカードだ・携帯電話が、おサイフケータイだ・社員全員が通勤で交通系のカードなどを持っている・SmartOnではないが、PCログオン製品でICカードを利用している
SmartOn IDは、SmartOn用の「専用メモリ領域」を必要としません。各種ICカード内に読取り可能なID情報があれば、SmartOn IDのシステムに登録して利用できます。
すでに、このようなICカードをお持ちではありませんか?
お持ちのICカードがSmartOnで利用できるか事前チェックも可能です!※販売代理店、もしくは弊社にお問い合わせください
SmartOn IDの特長
© 2011 Soliton Systems K.K All rights reserved.
SmartOn IDのPCセキュリティ機能
6
SmartOn Desktop – デスクトップ情報を漏洩させない
コピー禁止やプリントアウトの禁止、不要なPC操作の禁止により、PCからの不正なデータ持ち出しを防止します。
SmartOn LogServer – ログサーバ万が一のログ管理
クライアントPCおよびマネージャーの操作履歴を一元管理します。
???
SmartOn Logon – ログオンユーザ認証を強化する
ICカードで認証されたユーザでなくてはPCを利用できません。※必須機能です※生体認証デバイスにも対応
(オプション)
© 2011 Soliton Systems K.K All rights reserved. 7
ユーザ認証の強化
①PCに電源をオン→OS起動→待ち受け画面
②カードリーダにICカードを挿入→パスワード認証画面
③ パスワード認証に成功すると、Windowsにログオン可能
④ カードリーダからICカードを抜くと、PCロック
クライアント制御 -Logon
「ICカード=PCの鍵」がないとPCが利用できません「ICカード=PCの鍵」がないとPCが利用できません
ICカードとパスワード、2つの要素が揃わないとログオンできない、「二要素認証」によるなりすましリスクの軽減
ログオン時には必ずICカードで認証
LOCK!
© 2011 Soliton Systems K.K All rights reserved. 8
ログオン方式をお客様のセキュリティポリシーに合わせて選択可能-「カードのみ」
-「カード+SmartOnパスワード」
-「カード+Windowsアカウント+Windowsパスワード」 等
カードを抜いたらロック。ロックをしない設定も可能
カードをかざすとロックする設定も可能
<ログオン画面をカスタマイズ可能(無償)>
お客様のロゴや、ユーザへのセキュリティ啓蒙など
ご利用いただけます。
柔軟な設定・運用をサポート
スローガンや会社ロゴに変更可能
クライアント制御 -Logon
© 2011 Soliton Systems K.K All rights reserved. 9
クライアント制御 -Desktop
アクセス制御・利用制限
ICカードA
ICカードB
共用PCでもICカードによりPCの機能を制限します
社員がログオン アルバイトがログオン
制限可能な項目(一部)
外部メディア(USBメモリー等)へのコピー禁止
ファイル・フォルダ・ドライブへのアクセス禁止
アプリケーションの利用制限(Winnyなど)
プリンタ利用、プリントスクリーン禁止
など、幅広い設定が可能です。
ユーザ毎の制御で情報漏えいを防止しますユーザ毎の制御で情報漏えいを防止します
© 2011 Soliton Systems K.K All rights reserved. 10
利用許可アプリの事前指定が可能
“ホワイトリスト機能”により、あらかじめ指定したアプリケーショ
ンのみ利用許可します。
ホワイトリスト方式利用を許可するアプリのみを設定
ブラックリスト方式(従来型)使わせないアプリを設定
○ Word.exe(ワード)○ Excel.exe(エクセル)○ Gyomu.exe(社内業務ソフト)
…業務上許可されたものは使える
× Winny.exe(ファイル共有ソフト)× Share.exe(ファイル共有ソフト)× Game.exe(ゲームソフト)
…
他のソフトはすべて使えない!
1.「使用禁止ソフト」を次から次へと設定しなくてもよい
2. 利用制限の設定し忘れがほとんどない
3. 勝手にアプリケーションをインストールしても使えない
キリがない!
クライアント制御 -Desktop
© 2011 Soliton Systems K.K All rights reserved. 11
認証、管理者操作を記録
ログ出力
ログ収集用
サーバー
SmartOnクライアントPC
2008/02/20-10:08:02,SOL,,5100,0,SmartOn Logonが起動しました。2008/02/20-10:08:44,SOL,社員,2114,0,[user]がWindowsにログオンしました。2008/02/20-10:08:51,SOD,,5200,0,SmartOn Desktopが起動しました。2008/02/20-10:09:55,SOL,社員,2150,0,コンピュータをロックしました。2008/02/20-10:10:00,SOL,アルバイト,2100,0,ロック前と異なるカードです。2008/02/20-10:10:00,SOL,アルバイト,2171,0,コンピュータのロックを解除しました。2008/02/20-10:20:02,SOL,アルバイト,2150,0,コンピュータをロックしました。2008/02/20-11:49:37,SOL,アルバイト,2171,0,コンピュータのロックを解除しました。2008/02/20-12:13:34,SOL,,5100,0,SmartOn Logonが起動しました。2008/02/20-12:41:24,SOL,社員,2114,0,[user]がWindowsにログオンしました。
ログサンプル
SmartOnマネージャー
ユーザの認証ログを一元管理します。
PC利用時の認証状況の把握が可能です。
SmartOnマネージャーでの設定・変更履歴も管理します。
クライアント制御 -LogServer
ICカードで正確な「本人」の操作ログを取得ICカードで正確な「本人」の操作ログを取得
取得できるログ内容…SmartOnアカウント情報…Windowsアカウント情報…ログオン、ログオフ、ロック履歴…パスワードなどの変更履歴…パスワード自動送出履歴 など
© 2011 Soliton Systems K.K All rights reserved. 12
管理&運用
ICカード運用管理機能
カード忘れ時の柔軟な対応臨時パスワード(代用コード)を発行する。ログオン後SmartOnの設定は有効なままです。
SmartOn ID機能を一時停止する。
クライアント登録機能で、臨時カードに「いつもの権限」を割り当てます。
人事異動・組織変更でも一括登録&変更!インポートツール・エクスポートツールの完備
紛失カードの失効/トークンシリアルICカード紛失時にはカードを失効。第三者の不正ログオンを拒絶します。
© 2011 Soliton Systems K.K All rights reserved. 13
運用中の管理負荷軽減機能
管理&運用
SmartOnクライアントもリモートメンテナンスバージョンアップ、設定変更などの際、SmartOnクライアントソフトを自動配付、インストール、自動再起動が可能です。
アップデート適用開始日の指定が出来るので、組織変更や人事異動などのタイミングにあわせた計画的なスケジューリングが可能です。
SmartOn管理者権限を分散・委譲できます!SmartOnシステムのマスター管理者とサブ管理者を分けることで、その権限を分散・委譲。運用負荷が集中することを回避します。
社員証の課題(ひとり1枚)にも柔軟に対応1枚のICカードに複数のWindowsアカウントが設定可能です。
© 2011 Soliton Systems K.K All rights reserved. 14
システム冗長化・ネットワーク負荷分散
ACLサーバー #1 ACLサーバー #2
冗長化
負荷分散
ACLサーバー接続優先順序1: #12: #2
同一ドメイン内でレプリケーション
ACLサーバー接続優先順序1: #22: #1
管理&運用
© 2011 Soliton Systems K.K All rights reserved.
動作環境
SmartOn ID ACLサーバーCPU:使用するOSに依存(2GHz以上を推奨)
メモリ:使用するOSに依存(1GB以上を推奨)
HDD:使用するOSに依存(40GB以上の空き容量を推奨)
対応OS:Windows Server 2003 /2003 R2Windows Server 2008 /2008 R2
詳細はリリースノードをご参照してください。
15
© 2011 Soliton Systems K.K All rights reserved.
動作環境
SmartOn ID マネージャーCPU:使用するOSに依存(1GHz以上を推奨)
メモリ:使用するOSに依存(512MB以上を推奨)
HDD:100MBの空き容量が必要(200MB以上の空き容量を推奨。ログファイルによって増加)
対応OS:
Windows XP/Vista/7 32/64ビット
詳細はリリースノードをご参照してください。
16
© 2011 Soliton Systems K.K All rights reserved.
動作環境
SmartOn ID ログサーバーCPU:使用するOSに依存(2GHz以上を推奨)
メモリ:最低512MB(1GB以上を推奨)
HDD:使用するOSに依存(40GB以上の空き容量を推奨。ログファイルによって増加)
対応OS:
Windows Server 2003 /2003 R2Windows Server 2008 /2008 R2
詳細はリリースノードをご参照してください。
17
© 2011 Soliton Systems K.K All rights reserved.
動作環境
SmartOn ID クライアントCPU:使用するOSに依存(2GHz以上を推奨)
メモリ:使用するOSに依存(1GB以上を推奨)
HDD:100MB以上の空き容量を推奨。ログファイル、キャッシュファイルによって増加
対応OS:
Windows XP/Vista/7 32/64ビット
詳細はリリースノードをご参照してください。
18