SECUREMATRIX v11

働き方改革の推進により、在宅勤務などリモートワークを実施するためには、二要素認証などのセキュアな認証システムの導入が必須です。

従来のID、パスワードによる認証だけでは、悪意のあるキーロガーや、ブルートフォースアタック等のサイバー攻撃の脅威に対して、セキュリティのレベルに不安が残り安全ではありません。
しかしながら、セキュリティ強化の目的で、ワンタイムパスワードのためのハードウェアトークンや、乱数表を携帯することは、それ自体の管理や操作の点で、認証操作のための負担が増えてしまいます。
生体認証や、スマートフォンを利用した2段階認証などでも、認証のためのデバイスの持ち運びや所在管理などが面倒であったり、操作や運用がしづらいケースも出てきてしまいます。

そんな中、PCやモバイル機器など、使用するデバイスとブラウザさえあれば、他に認証用の機器を用意することなしにハイレベルなセキュリティを保ちつつ、あまり手間をかけずに広範囲な環境において2要素認証を実現できるのが、SECUREMATRIXです。

図1-1 図1-2

主な特徴


ハイレベルなダブルのワインタイム認証

マトリクス認証によるワンタイムパスワードの実現
デバイス認証による操作機器を限定するアクセス制御

認証用の物理デバイスやアプリが不要で、シンプル操作

・ブラウザのみでマトリクス表(乱数表)を表示
・使用者ごとにアクセスできるデバイスを制御
・連携システムとのシングルサインオンが可能

機能概要


■マトリクス認証

アクセスのたびに異なる数字が表示されるマトリクス表(乱数表)を使って、固定された数字ではなく、記憶した形を使って都度変更された数字を入力するワンタイムパスワードの認証です。
予め設定した位置や順番をもとに、毎回異なるパスワードを入力するので、パターンを覚えていれば、長い文字を覚える必要がなくなり忘れるリスクも少なく安全です。

図2

マトリクス認証は、使用者ごとに位置と順番を決めて、そのパターンを記憶する認証方式です。
認証を行う度に乱数の表が変わるため、毎回入力するパスワードの文字が変わります。
これにより、パスワードの文字の漏洩や、他のシステムからのパスワードの使いまわしによるリスクを軽減します。

図3

パスワードには、英文字、記号、数字から成る固定文字を混在させることも可能です。

図4

管理者は、最低文字数(8~64文字)や、有効期限、パターンの全表選択や、位置の重複の許可など、様々なパスワードのポリシー設定が可能です。



■デバイス認証

デバイス認証は、SECUREMATRIX(SMX)サーバが生成した証明書を分割して、SMXサーバと、利用者側とで片方づつ保管することで、IDを入力する認証操作時に利用者のデバイスが正しい証明書を保持しているかを、SMXサーバが照合する認証方式です。
認証時には次回認証用の証明書を新たに生成し、同様に両者で保管することで、毎回異なる証明書を利用するので、ワンタイム認証を実現します。

図5

デバイス認証により、万が一IDが漏洩しても予め登録されたデバイスでしか使用できないため、他のPC等でなりすましの認証操作を行ったとしても、パスワード入力する前にアクセスを拒否できます。
これにより、ブルートフォースアタックなどのように第三者が外部からパスワードを総当たりで試みることもできません。


使用方法


SECUREMATRIXの認証操作は、IDを入れてデバイス認証をして、マトリクス表(乱数表)をもとにパスワードを入力するだけです。

使用方法

デバイス認証は、ユーザIDの入力時に、SECUREMATRIXのサーバー側で自動で行われ、マトリクス認証は、マトリクス表(乱数表)を見ながら、該当する数字を入力するだけで、ワンタイムパスワードの機能を使用できるのでとても簡単です。
まるでIDとパスワードだけの認証操作のようなシンプルな手順で、2要素認証を行うことができます。
他の認証のための物理デバイスを用意したり、スマホなどで認証用アプリを立ち上げる必要がなく、運用も操作も手軽にハイレベルなセキュリティの認証が実現できます。


SECUREMATRIXの構成


連携できるバックエンドのコンテンツにアクセスする利用者に対する認証を、SECUREMATRIXは三種類のサーバによって構成されたシステムで実行します。

構成

構成

■SAML2.0認証連携

Federationサーバによって、Office365、Salesforce、G Suite、SaaSなどSAML2.0を利用できるサービスへの認証連携を行います。


■RADIUS認証連携

GSBサーバで RADIUSログオン(SSL-VPN SSO 機能) を使用してアクセスを行う場合、VPNなどRADIUSプロトコルが利用可能な機器との認証連携が可能です。
シングルサインオン(SSO) は、SECUREMATRIXがバックエンドコンテンツへログインするためのアクセスを行うユーザの識別情報であるユーザID、およびパスワードを記憶し、本来ならば認証が毎回必要なバックエンドコンテンツに、GSBサーバのマトリクス認証だけでログインできる機能です。


■リバースプロキシ連携

リバースプロキシ連携により、GSBサーバは、クライアントとバックエンドWebサーバとの間に位置し、リバースプロキシサーバとして動作して、クライアントから GSBサーバへアクセスし、認証を行います。
認証が通った場合には、GSBサーバがリバースプロキシとしての動作を行い、バックエンドWebサーバへのアクセスは GSBサーバを経由して行うため、SECUREMATRIXによる安全な認証が完了したユーザだけが、 バックエンドWebサーバへアクセスできるように制御することが可能となります。
一般的には、インターネットなどの外部ネットワークから内部ネットワークに設置しているバックエンドWebサーバへアクセスする場合などに使用し、バックエンドWebサーバによってはアクセス時のシングルサインオンを設定することが可能です。


■Windowsドメイン認証連携

構成

Windowsドメイン認証と連携し、社内ネットワークへの認証を強化します。

Windows ドメイン認証連携を使用する場合、ドメインコントローラとして、Active Directory が必須となります。
Lightweight Directory Access Protocol (LDAP) は、Active Directory などのディレクトリーサービスに接続するための通信プロトコルであり、SECUREMATRIXのLDAP連携機能は、LDAPを利用してActive Directoryのユーザー登録データをSECUREMATRIXのユーザー登録データに同期するための機能です。


動作要件


最新の「システム推奨環境」は、下記開発メーカのURLをご参照ください
https://www.cseltd.co.jp/securematrix/function/

最新の「動作確認済み製品一覧」は、下記開発メーカのURLをご参照ください
https://www.cseltd.co.jp/securematrix/support/



お問合せ