SECUREMATRIX

働き方改革として在宅勤務などリモートワークを実施するために、「ゼロトラスト型認証モデル」のセキュアな認証システムの導入が求められています。

「ゼロトラスト型認証モデル」とは、ネットワークに依存せず、IDがセキュリティの境界線となり、権限があるユーザで、許可されたデバイスのみがアクセスできるという認証モデルです。

図1-1
従来のファイアウォールやVPNで防御する「境界型認証モデル」のようにIPベースの認証では1台のデバイスが侵入されると、社内ネットワーク内の他のPCやサーバに被害が拡大するおそれがあります。

また、テレワーク環境においては、在宅勤務など社内の強固なセキュリティ環境とは異なり、インターネット接続による脅威などセキュリティリスクが高まり、システムのIDやパスワードが、クラウドやインターネットの環境で盗まれるリスクが懸念されます。

図1-2

そのため、IDベースの認証によってIDをセキュリティの境界線とし、ユーザーの「ID」を一元化、動的管理し、さらにはIDを秘匿化して、ワンタイムパスワードにして多要素認証を取り入れることによりセキュリティ強度を高めていくことが望まれます。

これにより、社内のみならず、テレワーク環境においても攻撃者からの認証時のセキュリティ脅威を可能な限り減らすことができます。

SECUREMATRIXは、IDを秘匿化し、「ゼロトラスト型認証モデル」に対応するための多くの課題を解決します。

主な特長

図-特長

機能概要


■ 統一感のあるユーザインターフェース

直感的な操作を可能とするユーザインターフェースを、PCやモバイルなどデバイスで統一して提供します。

図00-1

■ Webブラウザだけで多要素の強固な認証を実現するブラウザログオン

Webブラウザだけで各種クラウドサービスや、社内のWeb アプリケーション、仮想化環境、ネットワーク機器などへのアクセスを多要素の強固な認証技術で保護します。

図00-1

■ IDのワンタイム化を実現したワンタイムデジタル身分証

ユーザーIDだけでなく、デバイスやユーザーの各種属性情報をIDに紐付けて一元管理することで、セキュリティと利便性の両立を実現します。
「ワンタイムデジタル身分証」はID情報を含んだ電子証明書として機能し、毎回発行することで、IDのワンタイム化を実現します。

図n01

■ ワンタイムパスワードからIDを特定するステルスID方式 特許技術①

ワンタイムパスワードにIDや属性情報を自動挿入します。
ワンタイムパスワードからIDを特定することができるため、認証時にIDを入力する必要がありません。
通信経路上に直接ID情報を流さず、盗み見や通信傍受などを防ぎ、安全に認証を行うことができます。

図n02

■ 認証に必要となるデータを全て秘匿化するSEED方式 特許技術②

認証に必要なデータを通信経路に流さず、SEEDと呼ばれるデータに置き換えて送受信します。
このSEEDからは、認証に用いるマトリクス表が生成できるほか、「ワンタイムデジタル身分証」の抽出も行います。
この方式により、認証に必要となるデータを全て秘匿化します。

図n02

■ 乱数表でパターン記憶を利用するワンタイムパスワード

アクセスのたびに異なる数字が表示されるマトリクス表(乱数表)を使って、固定された数字ではなく、記憶した形を使って都度変更された数字を入力するワンタイムパスワードの認証です。
予め設定した位置や順番をもとに、毎回異なるパスワードを入力するので、パターンを覚えていれば、長い文字を覚える必要がなくなり忘れるリスクも少なく安全です。
認証を行う度に乱数の表が変わるため、毎回入力するパスワードの文字が変わります。
これにより、パスワードの文字の漏洩や、他のシステムからのパスワードの使いまわしによるリスクを軽減します。

図3

パスワードには、英文字、記号、数字から成る固定文字を混在させることも可能です。

図4

管理者は、最低文字数(8~64文字)や、有効期限、パターンの全表選択や、位置の重複の許可など、様々なパスワードのポリシー設定が可能です。



■ 使用デバイスを特定する使い捨てのワンタイムデジタル身分証

デバイス認証は、使用許可するデバイスをユーザ自身で登録します。
登録を行うデバイスよりマトリクス認証をすると、次回用の身分証が、認証されたデバイスに付与されます。

図5

2回目以降に認証を行う場合は、ユーザが意識することなくデバイスが認可され、次回用の身分証が付与されます。
この身分証は、1度だけの使い捨てのワンタイムデジタル身分証なのでセキュリティ強度と高め、安心です。


SECUREMATRIXの構成


連携できるバックエンドのコンテンツにアクセスする利用者に対する認証を、SECUREMATRIXは二種類のサーバによって構成されたシステムで実行します。

構成

構成

■SAML2.0認証連携

Microsoft 365、Salesforce.com、Google WorkspaceなどSAML2.0を利用できるサービスへの認証連携を行います。


■RADIUS認証連携

GSBサーバで RADIUSログオンを使用してアクセスを行う場合、VPNなどRADIUSプロトコルが利用可能な機器との認証連携が可能です。
シングルサインオン(SSO) は、SECUREMATRIXがバックエンドコンテンツへログインするためのアクセスを行うユーザの識別情報であるユーザID、およびパスワードを記憶し、本来ならば認証が毎回必要なバックエンドコンテンツに、GSBサーバのマトリクス認証だけでログインできる機能です。


■リバースプロキシ連携

リバースプロキシ連携により、GSBサーバは、クライアントとバックエンドWebサーバとの間に位置し、リバースプロキシサーバとして動作して、クライアントから GSBサーバへアクセスし、認証を行います。
認証が通った場合には、GSBサーバがリバースプロキシとしての動作を行い、バックエンドWebサーバへのアクセスは GSBサーバを経由して行うため、SECUREMATRIXによる安全な認証が完了したユーザだけが、バックエンドWebサーバへアクセスできるように制御することが可能となります。
一般的には、インターネットなどの外部ネットワークから内部ネットワークに設置しているバックエンドWebサーバへアクセスする場合などに使用し、バックエンドWebサーバによってはアクセス時のシングルサインオンを設定することが可能です。


■Windowsドメイン認証連携

構成

Windows ドメイン認証と連携が可能です。
Active Directoryのユーザーデータを同期することもできます。
オンライン・オフライン問わず、Windows PC Windows ドメイン認証双方へのサインインを多要素の強固な認証技術で保護します。


動作要件


■サーバ推奨環境
動作環境

■クライアント推奨環境
動作環境


お問合せ