ubiqpass ご紹介資料 - nec(japan) · 他ソリューションとの比較...

ＵＢＩＱＰＡＳＳご紹介資料

２０１０年９月

ＮＥＣ／ＮＥＣソフト

業務システムのモバイル利用においてセキュアな接続を提供するモバイル向け個体認証製品

© NEC Soft, Ltd. 2010

人と地球にやさしい情報社会を

イノベーションで実現する

グローバルリーディングカンパニー

NECグループビジョン2017


ＵＢＩＱＰＡＳＳとは

▐ 企業内LAN上にある社内システムやグループウェア製品などにアクセスするモバイル端末を識別し、セキュアな認証を実現できる製品です

従来の認証システムで利用されているIDとパスワードでの認証に加え端末認証＊を活用した個体認証を標準装備しているため、登録されていない端末や有効期限切れ端末からのアクセスは拒否され、社内LANへのリモートアクセスにおいてセキュリティの向上を実現します

＊端末自体が保持する端末IDを利用した認証機構


効率化

ワークスタイルの変革

業務のモバイル利用の要求増加

・打ち合わせの途中でメンバーのスケジュールを確認したい・・・

・商談中に在庫状況を確認し、すぐに出荷指示を出したい・・・

・移動中にメールを確認し回答したい・・・

モバイル利用ニーズ

実際は会社に戻ってからの作業

外出時にこんなこと思ったことありませんか？

効率低下効率低下

残業増加残業増加

モバイル端末を活用して業務効率向上

！


モバイル利用の環境

経営革新の推進

コミュニケーション支援

情報の共有化

社内環境の整備

TCO削減

インフラの発展

▐ 業務システム受発注システム在庫引き当て

WEB化

WEBアプリケーション化 ⇒ シンクライアントでの動作携帯電話の進化 ⇒ 大画面,高速化,定額制

ビジネスへの展開営業の効率化

業務をモバイル利用する環境が整備されてきています

▐ グループウェアサイボウズOffice、ガルーン NECソフト WitchyMail NEC StarOffice


現状のモバイル利用時の問題点

インターネットインターネット

会社関係者以外に社内のデータが見られてしまう

クラッカー、ワーム、盗聴等の危険

業務システムデータグループウェアデータ

不正アクセス、サーバへのアタック

ＰＤＡ・ＰＣ

DMZ

業務システムグループウェア

インターネットからグループウェアを使用するにはDMZ上への配置が必要

インターネットからグループウェアを使用するにはDMZ上への配置が必要

ファイアウォール

社内LAN


外部からの不正アクセスによる社内データ漏えいの危険

携帯電話


ＵＢＩＱＰＡＳＳによるソリューション

パスワードが盗まれても登録端末でなければアクセスできません

端末ID

•携帯電話端末に登録されている個体識別ID•PC・PDAUBIQPASSサーバが自動生成するID

社内LAN


DMZ

××



端末を紛失してもパスワードが分からなければアクセスできません

PDA・PC

携帯電話

端末ID（物理的な鍵）とパスワード（記憶による鍵）を組み合わせた強固なセキュリティ

•端末、利用者それぞれに対するアクセス許可が設定できます•アクセス許可期限が設定できます•指定回数以上認証に失敗するとアクセスができなくするように設定できます

端末認証とパスワード認証の組み合わせによるより高度なセキュリティ環境を提供


▐▐ 端末認証とパスワード認証の組端末認証とパスワード認証の組みみ合合わわせによる高度なセキュリティせによる高度なセキュリティ• 端末ID(物理的な鍵)とパスワード(記憶による鍵)を組み合わせた強固なセキュリティ

▐▐ シングルサインオンシングルサインオン（（FORMFORM認証・認証・BASICBASIC認証）認証）• WEBベースの認証機構をもつWEBシステムへの代理認証が可能• UBIQPASS認証画面にてID・パスワードを1度入力するだけで、WEBシステムへログイン可能

▐▐ モバイル端末に適した認証機構を提供モバイル端末に適した認証機構を提供• 端末認証方式で面倒なID・パスワードの入力を簡略化可能

▐▐ SSLSSL--VPNVPN連携連携• SSL-VPNでのリモートアクセスを端末認証でセキュリティ向上• Web以外のアプリケーションに対応可能• SSL-VPNの外部認証機構として動作。携帯電話でワンタイムパスワード発行。セキュリティトークン化

▐▐ LDAPLDAP認証認証連携連携（（Ver3.0Ver3.0））

• 既存のLDAPサーバの利用者情報を用いた認証が可能• 利用者情報はLDAPサーバを使用することで、データの二重管理を防ぐことが可能

▐▐ PCPCデバイス認証デバイス認証対応対応（（Ver3.0Ver3.0））

• PCのデバイス情報を用いた端末認証による認証強化が可能

▐▐ 機種変更などの携帯電話独自の運用に対応機種変更などの携帯電話独自の運用に対応• 端末登録等の管理機能、有効期限設定機能、ロックアウト機能を提供

製品の特長とポイント


他ソリューションとの比較

PCでの利用を前提としていて携帯電話のビジネスシーンが拡大している今、ユーザのニーズを満たせない

ICカード、トークンを機器単位で購入する必要があり購入コストが高い

各端末へのドライバ・ソフトウェアの導入、機器使用方法の教育等が必要であり導入コストが高い

個人の管理に任されているため漏えい、忘却の問題がある

盗まれた事実に気づかない

携帯電話の入力インターフェースでの入力は面倒なため予想されやすい簡単なパスワードを設定してしまう

専用アクセスポイントやキャリアとの専用線開設のため、開設・運用コストが高い

問題点

高

△

専用線による

ソリューション

(専用AP等)

LDAP、RADIUSLDAP、RADIUSHTML、LDAP、RADIUS認証連携

パスワードID・パスワード必須パスワード（PINコード）のみ等、

簡略化可能

入力方式

高低低コスト

△○◎携帯電話

対応

トークン、ICカード（個人識別）ID＋パスワード

（個人識別）

機器識別＋パスワード（PINコード）

機器識別＋ID＋パスワード

認証方式

トークン、ICカードによる


ID＋パスワードによる


(SSL-VPN製品等)

UBIQPASSによるソリューション


▐ 端末認証機能

▐ シングルサインオン（FORM認証・BASIC認証）

▐ SSL-VPN連携

▐ リバースプロキシ機能

▐ LDAP認証連携 ※

▐ PCデバイス認証対応 ※

▐ 暗号化

▐ 安全な端末登録

▐ アクセス監視

▐ 端末管理機能

▐ マルチキャリア対応

特長

※ Ver3.0にて対応の機能


UBIQPASSデータベースサーバ

認証画面認証画面

携帯電話の場合は端末の個体識別IDを送信

UBIQPASSサーバ

携帯電話

PDA・ノートPC

端末ID

•携帯電話端末に登録されている個体識別ID

•PC・PDAUBIQPASSサーバが自動生成するID


端末ID（物理鍵）とパスワード（記憶鍵）の組み合わせ端末、利用者それぞれに対するアクセス許可が設定可能アクセス許可期限が設定可能設定回数以上認証に失敗すると端末をロックアウト可能

登録情報を確認

ワンタイムパスワード

SSL-VPN装置のログイン画面

One Time Password

ID:001PASSWORD0704447

One Time Password

ID:001PASSWORD0704447

UBIQPASS

認証

クリア

PINコード

ﾜﾝﾀｲﾑﾊﾟｽﾜｰﾄﾞ

認証

クリア

PINコード

端末認証機能


社内から

ＵＢＩＱＰＡＳＳ

端末IDを送信してもよろしいですか？

UBIQPASS端末ID取得画面

WEBシステムA

WEBシステムB

WEBシステム認証画面

WEBシステムメイン画面

UBIQPASS認証画面

UBIQPASS

認証

クリア

NEXTSSL-VPN装置のポータル画面

SSL-VPN装置

PINコード

SSL-VPN

認証

クリア

WEBシステムA

WEBシステムB

PINコード

WEBシステムA

WEBシステムB

1回の認証で様々なWEBシステムへログイン

1回の認証で様々なWEBシステムへログイン

WEBシステムA

Password

WEBシステム認証画面

WEBシステムメイン画面

代理認証

代理認証

※

※ SSL-VPNからUBIQPASSのポータルを利用すると代理認証が可能になります。

次期リビジョンで提供予定です。Ver3.0では提供していません。

ID

WEBシステムB

Password

ID

UBIQPASSポータル

社外から

WEBシステムへの代理認証が可能

シングルサインオン


WEBシステム

WEBシステム

メイン画面

端末認証をアドオン携帯がワンタイムパスワードトークン化

携帯電話

＋ノートPC

端末認証

ワンタイムパスワード RADIUSによるワンタイム

パスワード認証

① ②

③

④

⑤

⑥

携帯電話

① 端末認証

② ワンタイムパスワード

④

⑤

③ワンタイムパスワード

⑥



SSL-VPN装置SSL-VPN装置の

ログイン画面

PINコード

ﾜﾝﾀｲﾑﾊﾟｽﾜｰﾄﾞ

認証

クリア

PINコード

SSL-VPN

認証

クリア

NEXT

ID:001PASSWORD ：0704447

SSL-VPN連携


リバースプロキシ機能

▐ DMZセグメントに設置されたサーバ上でリバースプロキシサーバとして動作し、クライアントからWEBサーバへのリクエストをプロキシ処理します

Intranet

ルータファイアウォール

携帯電話

PDA・ノートPC Internet

DMZ

UBIQPASSサーバ

業務システム、グループウェアへの不正アクセスをブロック



LDAP認証連携 ※

▐ LDAPに準拠したディレクトリサーバーと連携が可能

LDAP

DB

社内LAN


DMZ


情報の多重化を防ぎ、リモートアクセス導入後の運用コスト削減を実現


※ Ver3.0の機能

既存のLDAPサーバの利用者情報を用いた認証が可能です。利用者情報はLDAPサーバを使用することで、データの二重管理を防ぐことが可能です。

社員番号等の利用者情報

利用者認証


PCデバイス認証対応 ※

▐ PCのデバイス情報を用いた端末認証による認証強化が可能

デバイス情報が異なるので認証できない

×

登録済み業務用端末

未登録端末

※ Ver3.0の機能

社内LAN


DMZ



PC利用時でもデバイス情報を用いて端末認証し、セキュリティの向上を実現

PCのデバイス情報を用いて端末認証を行うことで、未登録端末による登録済み端末になりすました不正アクセスを防ぐことができます。特定パソコン以外の業務使用ができないように制限を強化することが可能です。


暗号化

▐ ネットワークを流れるHTTPデータをSSL暗号化することで盗聴を防ぎ、よりセキュアなアクセスを実現します


Intranet

管理端末


携帯電話

PDA・ノートPC

Internet

HTTPSHTTPS

DMZ DMZ/Intranet

HTTPS

UBIQPASSサーバ

UBIQPASS管理サーバ


TCP/IP（5432）

HTTPS

TCP/IP（5432）


安全な端末登録

利用者の設定利用者の設定

端末の本申請端末の本申請

端末の仮申請端末の仮申請

端末の登録端末の登録

▐ インターネットからの仮申請後にイントラネットから本申請を行うことで不正な申請を防止

▐ WEBブラウザを用いた管理画面により簡単に端末登録が可能


利用者の設定利用者の設定 UBIQPASS管理者

•管理画面から利用者を登録

利用者の設定～安全な端末登録～




業務システムグループウェア利用者

•利用者画面から利用者パスワードを設定


端末の申請～安全な端末登録～





業務システムグループウェア利用者•登録する端末を使用して仮申請画面へアクセス

•携帯電話の場合は端末の個体識別IDを送信

•仮申請に必要な情報を入力／送信


端末の登録～安全な端末登録～





業務システムグループウェア利用者•イントラネットの端末から端末本申請画面へアクセス

•本申請に必要な情報を入力

•端末の利用者を設定


端末の登録～安全な端末登録～





UBIQPASS管理者

•本申請された端末の情報の確認•端末の設定／登録①端末の登録／否認を決定②端末の有効期限を設定


アクセス監視

▐ ログインの失敗回数を管理し、特定端末のロックアウトを行います

認証画面認証画面

携帯電話の場合は端末の個体識別IDを送信

ログイン失敗１回目

ログイン失敗２回目

・・・・

ログイン失敗X回目以降

ログインに設定された失敗回数連続失敗するとログインに失敗した利用者、端末共に以後のアクセスを否認します

入力されたパスワードが誤っています

否認利用者によるアクセスと、否認端末によるアクセスを意味します


端末管理機能

▐ WEBブラウザを用いた簡便な管理画面を提供します端末情報の参照／更新／削除ができます


▐ 端末の一覧表示▐ 様々な項目による検索

管理番号利用者のID 認証開始日認証終了日メールアドレスラストログイン認証の可否登録状況（仮申請、本申請、登録）

User-Agent

端末情報の参照～端末管理機能～


▐ 端末情報の更新端末を紛失してしまっても即座に端末を否認にできます

端末の所有者が変わっても簡単に利用者を変更できます

端末の利用者を登録／削除することができます• １台の端末に複数の利用者を登録することで共有端末とすることができます

情報を更新する端末を選択

⇒更新／削除

端末情報の更新／削除～端末管理機能～


マルチキャリア対応

docomo

SoftBank

au

WILLCOM

EMOBILE

Disney Mobile

その他

- 210i以降（一部機種除く）- D251i、F251i、N251i、D251iS、P251iS、N251iS、252i以降全機種-503i以降全機種- F661i、F671iS、F672i、R692i- FOMA全機種

-EZweb対応端末

-AIR-EDGE PHONE

-EMnet対応端末（一部機種を除く)

- Disney Web対応端末

- PC、PDA等WEBブラウザ搭載端末

１つのサーバで各社携帯電話に対応します

クライアント証明書対応docomo - FirstPass

au - Security Pass

- Yahoo!ケータイ対応端末（702MO、702sMOを除く）


適用事例～グループウェア連携～

外出先でもメール確認ができ、スケジュール変更も楽々と。仕事もサクサク進みます。

外出先

グループウェア

自宅から

インターネット

社内

スケジュール調整が随時されているので会議の日程や、お客様への報告もスムーズに!

SSL通信

SSL通信

業績UP!

グループウェアでスケジュール連絡事項を社内で共有

UBIQPASSを導入すると！！

◇ 社内のグループウェアシステムもモバイル環境で安心してご利用頂けます！◇ 外出先でも携帯があれば社内同様に情報活用・即対応で業務の効率化がアップ！


急なスケジュール変更も携帯1つでOK会議調整、車両確保などがスムーズに

自宅にてお客様より電話を受けても、休暇中でもメールの確認ができる

書類の印刷もできる




適用事例～受発注システム～


◇ 社内の業務系WEBシステムもモバイル環境で安心してご利用頂けます！！◇ 外出先でも携帯があれば受発注業務をこなせ商談機会を逃しません！！

発注依頼

～～会社

○○ 30箱

○○ 15箱

△△ 50箱

受注書

7/20分

○○ 30箱

○○ 15箱

△△ 50箱

在庫確認○○の在庫数△△の在庫数◇◇の在庫数

発注予定7/10～～会社○○ 10箱7/20～～会社△△ 5箱7/24～～会社○○ 70箱

SSL通信


社内社内受発注システム

発注書

会社

○○ 30箱

○○ 15箱

△△ 50箱

社内社内

営業所別７月度売上表

在庫確認表

○○営業所 15000

○○営業所 30000

△△営業所 5000

社内社内




◇ WEBシステムの電子カルテ情報もモバイル環境で安心してご利用頂けます！！◇ 往診先でも携帯があればカルテ情報を参照できます！！

電子カルテシステム

患者情報手術方法会議7/15 ~~~手術○○○教授執刀×××手術室AM9:00開始

手術議事録7/3～～～手術○○○執刀×××手術室AM9:00開始PM3:00終了

患者情報投薬履歴7/5シロップ15mlトローチ湿布薬解熱剤

外出先から会議室から自宅から

院内からファイア

ウォール

ファイア

ウォール

Internet

適用事例～電子カルテシステム～


患者情報病名暦～～～～～～～～～～処方暦～～～～～


ＵＢＩＱＰＡＳＳの構成

UBIQPASSサーバ


▐ UBIQPASSは３つのサーバ機能で構成されます(UBIQPASSサーバ、データベースサーバ、管理サーバ）

▐ ３つのサーバ機能は同一筐体で構築することもシステムの負荷にあわせて別々の筐体で構築することも可能です

外部からのアクセス（認証、仮申請）を

処理するサーバ

端末情報、利用者情報、認証情報等UBIQPASSで扱う情報を格納するサーバ

端末情報、利用者情報、認証情報等UBIQPASSで扱う情報を管理するサーバ



UBIQPASSサーバUBIQPASSサーバ

DMZ

2台構成

クライアント

Internet


Intranet

UBIQPASS管理サーバUBIQPASSデータベースサーバ

UBIQPASS管理サーバUBIQPASSデータベースサーバ

UBIQPASSサーバUBIQPASS管理サーバUBIQPASSデータベースサーバ

UBIQPASSサーバUBIQPASS管理サーバUBIQPASSデータベースサーバ

DMZ

1台構成

クライアント

Internet


Intranet

システム構成図

管理端末管理端末

管理端末管理端末


システム構成

～100ユーザ～200ユーザ～400ユーザ

機種 Express5800/110 クラス Express5800/120 クラス

CPU 2GHz以上×1 2GHz以上×1

メモリ容量 768MB以上 1GB以上

ディスク容量 10GB以上 20GB以上

UPS装置構成することを推奨構成することを推奨

機種 Express5800/110 クラス Express5800/120 クラス Express5800/120 クラス

CPU 2GHz以上×1 2GHz以上×1 3GHz以上×1

メモリ容量 512MB以上 512MB以上 512MB以上

ディスク容量 5GB以上 5GB以上 5GB以上

UPS装置構成することを推奨構成することを推奨構成することを推奨

機種 Express5800/110 クラス Express5800/120 クラス Express5800/120 クラス

CPU 2GHz以上×1 2GHz以上×1 2GHz以上×1

メモリ容量 512MB以上 512MB以上 512MB以上

ディスク容量 5GB以上 5GB以上 5GB以上

UPS装置構成することを推奨構成することを推奨構成することを推奨

※2000ユーザ以上の場合は、別途ご相談ください。　同時接続可能な最大httpセッション数はユーザ数の10％という前提です。

DMZにDBサーバを置かないことを推奨します。※SSL-VPN連携のみの場合、「SSL-VPNの同時アクセス数＝UBIQPASSの利用者数」としてHWをサイジングしてください。

機種

CPU

メモリ容量

ディスク容量

ソフトウェア

管理端末は上記要件を満たす既存の端末をご利用いただけます。

Disney Mobile Disney Web

その他 PC、PDA（WEBブラウザ搭載端末）

Red Hat Enterprise Linux ES Version 4.8




AIRE-EDGE PHON

Emnet

WILLCOM

EMOBILE

NTT docomo

SoftBank

au

251i以降（ただし、SH251i,SH251iSは除く）、503i以降、661i以降、671i以降、692i以降、FOMA

Yahoo!ケータイ対応機(一部機種除く)

EZweb対応機

210i以降（ただし、F210i,N210i,P210i,KO210i,SO210iは除く）、

UBIQPASSが動作するHW

管理端末が動作するHW

管理端末ハードウェア

UBIQPASSサーバ



2台構成

PC98-NXシリーズ、PC9800シリーズ、PC/AT互換機

Pentiumまたは同等のCPU（300MHｚ以上）

64MB以上

12MB以上の空きがあること

Microsoft Internet Explorer 5.5以上、Netscape Navigator 4.7以上推奨

OS

OS WEBブラウザを利用可能なすべてのOSかつ下記ハードウェアで動作するもの









OS

ハードウェア

対応機種（クライアント）

ハードウェア

1台構成

UBIQPASSサーバ







OS

ハードウェア


・SSLによる暗号化を行う場合には、各サーバ用のSSL証明書の取得費用が別途必要となります。・ユーザライセンス数は、UBIQPASSに登録可能な利用者数です。

・標準では接続可能WEBサーバ数は1サーバに限定されます。複数のWEBサーバに接続する場合には、接続先サーバ数分追加1サーバライセンスをご用意ください。・本製品のASP利用はできません。ASPでのご利用については別途ご相談ください。・冗長化オプションは冗長化構成をとる場合に購入が必要な製品です。

製品体系と価格 (Ver.3)

標準価格（税別）製品名

-750,000円UBIQPASS/PR Ver3.0 (冗長化オプション)

-600,000円UBIQPASS/RD Ver3.0 (冗長化オプション)

36,000円240,000円UBIQPASS/RD Ver3.0 (追加１サーバライセンス)

1,200,000円8,000,000円UBIQPASS/RD Ver3.0 (5000ユーザライセンス)

288,000円1,920,000円UBIQPASS/RD Ver3.0 (1000ユーザライセンス)

180,000円1,200,000円UBIQPASS/RD Ver3.0 (500ユーザライセンス)

85,200円568,000円UBIQPASS/RD Ver3.0 (100ユーザライセンス)



45,000円300,000円UBIQPASS/PR Ver3.0 (追加１サーバライセンス)

1,500,000円10,000,000円UBIQPASS/PR Ver3.0 (5000ユーザライセンス)

360,000円2,400,000円UBIQPASS/PR Ver3.0 (1000ユーザライセンス)

225,000円1,500,000円UBIQPASS/PR Ver3.0 (500ユーザライセンス)

106,500円710,000円UBIQPASS/PR Ver3.0 (100ユーザライセンス)



年間保守料保守無

○

×

RADIUS連携

○×SSL-VPN等の外部認証機能でのみ利用する場合に選択UBIQPASS/RD

○○リバースプロキシ形態でのみ利用する場合に選択UBIQPASS/PR

SingleSign On

リバース

プロキシ説明


お問い合わせは下記へ

ＮＥＣプラットフォーム販売本部（ソフトウェアお問い合わせ）

▐ ＴＥＬ：０３（３７９８）７１７７

▐ ＦＡＸ：０３（３７９８）８４１４

▐ Ｅ－ｍａｉｌ： [email protected]

▐ 製品URL： http://www.nec.co.jp/soft/ubiqpass/

「iモード」「FOMA/フォーマ」「FirstPass/ファーストパス」「PASSAGE DUPLE/パッセージ・デュプレ」は株式会社エヌ・ティ・ティ・ドコモの登録商標です。

SOFTBANKおよびソフトバンクの名称、ロゴは日本国およびその他の国におけるソフトバンク株式会社の登録商標または商標です。

「Yahoo!」および「Yahoo!」「Y!」のロゴマークは、米国Yahoo Inc.の登録商標または商標です。

au、EZweb、Security Passは、KDDI株式会社の登録商標または商標です。

「WILLCOM」は株式会社ウィルコムの登録商標です。

「EMnet」は、イー・モバイルの登録商標です。

その他記載されている会社名、製品名は各社の登録商標または商標です。

受付時間：９：００～１２：００１３：００～１７：００

月曜日～金曜日（祝日・ＮＥＣ所定の休日を除く）

mailto:[email protected]

http://www.nec.co.jp/soft/ubiqpass/

ubiqpass ご紹介資料 - nec(japan) · 他ソリューションとの比較...

Documents