TOP /  セキュリティ/認証 /  テレワーク・リモートワークのセキュリティ問題を多要素認証で解決する(SSLクライアント認証/ワンタイムパスワードなど)

テレワーク・リモートワークのセキュリティ問題を多要素認証で解決する(SSLクライアント認証/ワンタイムパスワードなど) | セキュリティ/認証

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

多要素認証を実現する電子証明書とワンタイムパスワードの製品紹介  (株式会社ムービット 谷地田工)

既存システム側に手を入れず簡単に多要素認証(電子証明書やワンタイムパスワード)を導入できるアプライアンス製品「Powered BLUE」についてご紹介します。

講演資料を見るには、 プライバシーポリシーに同意して、送付先メールアドレスをご入力しご請求ください。

またご入力いただきました情報は、当該イベントの主催・共催・協賛・講演企業とも共有させていただき、 当社及び各社のサービス、製品、セミナー、イベントなどのご案内に使用させていただきます。

メールアドレス


法人様向けの資料のため、フリーアドレスをご利用の場合は、会社名、お名前を入力してください。
会社名
お名前

セミナー全体の評価と、参加者からのコメント

参加者によるこのセミナーの評価は、
3.5 でした!(5点満点中)
セミナー名 テレワーク・リモートワークのセキュリティ問題を多要素認証で解決する(SSLクライアント認証/ワンタイムパスワードなど)
講演企業 オープンソース活用研究所 、株式会社ムービット
開催日 2018年09月13日
匿名の参加者
テレワークのユーザーサイドからの課題やセキュリティの問題点の所から解決策の提示のような話を期待しましたが単一プロダクトの機能の話だった為、少しイメージと違いました。
企業に対してITを提供する企業(ベンダー、SIerなど) 30代 男性 の参加者
テレワークの一般的な話が聞けるかと思っていた。
企業に対してITを提供する企業(ベンダー、SIerなど) 30代 男性 の参加者
セキュリティノウハウ、基礎知識を前段で説明してもらえて助かりました。 ITスキルがとぼしい私でも理解できました。デモを先に見せた方が理解しやすいと思いました。
企業に対してITを提供する企業(ベンダー、SIerなど) 40代 男性 の参加者
他社の比較など知りたかった。
企業に対してITを提供する企業(ベンダー、SIerなど) 30代 男性 の参加者
質問の時間が特に良いと感じました。 他の方の疑問をきくことで、より深い理解が促されました。
企業に対してITを提供する企業(ベンダー、SIerなど) 40代 男性 の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 20代 男性 の参加者
分かりやすく、勉強になりました
企業に対してITを提供する企業(ベンダー、SIerなど) 30代 男性 の参加者
コメントなし
匿名の参加者
マジゼミ様の内容は導入としては適切だったと思う。
匿名の参加者
事前アンケートは来ていただく方のニーズもわかり、とても良いですね。
企業に対してITを提供する企業(ベンダー、SIerなど) 40代 男性 の参加者
生体認証など、webシステムの導入に向けた、多要素認証などの動向など欲しかった
企業に対してITを提供する企業(ベンダー、SIerなど) 60代以上 男性 の参加者
コメントなし
匿名の参加者
コメントなし
匿名の参加者
コメントなし
企業に対してITを提供する企業(ベンダー、SIerなど) 50代 男性 の参加者
コメントなし
その他の業種 40代 男性 の参加者
・SSLのしくみ(WAF)、ブラウザのシェアなど、知らなかった情報を得ることができた。/SNI対応はメリット大きい ・製品の特長をもう少し整理して紹介してほしかった。(特に他社製品との差、含め) ・セキュリティ面のSpecが説明なかった

多要素認証を実現する
電子証明書とワンタイムパスワードの製品紹介
株式会社ムービット
会社概要
社名 株式会社ムービット
設立 1995年12月8日
所在地 東京都北区王子1-28-6
主な製品 Powered BLUE シリーズ
アプライアンスサーバー ( Linux )
ソフトウエア開発
話し手
谷地田

アジェンダ
■前半
説明
■ SSLの基本事項&SSLサーバー証明書
■ 常時SSL化を行なう際のポイント
■ SSLクライアント認証
■ SSL-VPN
■ ワンタイムパスワード認証
■ Powered BLUE 870 サーバーの紹介
■後半
デモ
リモートワーク
アクセス方法について
・なるべく簡単に使える
・ユーザー側には、専用のハードウエアは不要
・なるべく汎用的なソフトウエアで利用出来る
・基本は、ブラウザで利用出来る
Wi-Fi
野良Wi-Fi
暗号化されていない
暗号強度が低い
パスワードがない
Google
の 宣言
HTTPS
保護されていません
検索ランキング に
使用します
SSL
未対応のWebサイト
政府機関
政府機関
常時SSL化
SSL対応のWebサイト
に対応したサイトは
中央省庁37機関
2割
のうち常時SSL化を終えているのは
内閣官房や国家公安委員会、国税庁など
独立行政法人
9機関
など政府系106機関のうちでも
常時SSL化が完了しているのは
2割
SSLサーバー証明書
DV(ドメイン認証)
OV(実在証明)
EV(厳格な実在証明)
3種類
ACM
ブラウザのシェア
インターネットのアクセス割合
スマフォ対応
レスポンシブWebデザイン
スマフォ非対応
WebサイトをSSL化したのに
Book mark
http
HSTS機能
SSL接続を行うようにブラウザに
指示するセキュリティ機能
サーバーの脆弱性
Selinux
適切なセキュリティレベルでのサーバー運用
パッチ
セキュリティパッチの適用
Nessus
(ネサス:監査ツール)
ポート
サービス
バージョン
SSL関連の脆弱性はアタックを受けやすい
SSL関連の脆弱性
公開された途端に、すぐに攻撃を受けます
SSLサーバーの脆弱性チェックサイト
https://www.ssllabs.com/ssltest/
社内からの攻撃
Webサーバー単体での Firewall
機能
通信経路のSSL暗号化 とWebサーバー
通信経路のSSL暗号化 とWebサーバー
WAF
その1
WAF A社
http のログ
httpアクセスエラー 400番台 を検知してトラップ
www.mubit.com 66.29.66.21 - - [27/May/2018:13:28:15 +0900] "GET /mubit.css HTTP/1.1" 404 2909
"http://www.mubit.com/download/diskto_CDSCSIRAID.html" "Mozilla/5.0 (compatible; Googlebot/2.1;
+http://www.google.com/bot.html)"
httpログインエラー 400番台 を出さないアプリもある
http アクセス
200番台のログ
WAF
その2
WAF B社
http
ログファイルのログインのみモニター
(エラーかエラーでないかは問わない)
Aさんのアカウントで10回/秒 アクセスされたらブロック
同一IPなどから異なるアカウントでのアクセスには対処できない
「 SSLクライアント認証 」 での
Webアクセス
「 特定のユーザーのみ 」 Webへアクセスさせることが出来ます
SSL証明書
■ SSLのサーバー証明書
■サーバーにインストール
■アクセス先のサーバーの身元を証明
■ SSLのクライアント証明書
■クライアントの機器にインストール
■アクセス元のクライアントの身元を証明
相互に確認
■ SSLクライアント証明書
■ SSLサーバー証明書
SSL証明書発行元による相違
■ パブリック証明書
■グローバルサイン 公的にも利用
■発行・失効 時間がかかる
■有効期間 年単位
■ プライベート証明書
■自社などで発行 私的な利用
■発行・失効 迅速
■有効期間 日・週・月・年単位
証明書の組み合わせ
ケース1
ケース2
ケース3
ケース4
SSLサーバー
証明書
Public

Public

Private

Private

SSLクライアント
証明書
Public

Private

Private

Public

価格
高価
安価
最安
意味がない
SSLクライアント認証例
証明書
有効
スマートフォン
証明書
なし・失効
SSLクライアント証明書
証明書
失効操作
端末の紛失
社員の退職
ワンタイムパスワード生成器(トークン)
一般的には、数字を表示させるケースが多い
Webアクセス時 の ワンタイムパスワード認証
ワンタイムパスワード認証機能付属のWebサーバー
汎用のトークンでの利用に対応
OSS/無償の主なソフトウエアトークン
・Google Authenticator ( iOS/Android対応 )
・Authy ( iOS/Android/Windows/Mac/Linux対応 )
・IIJ Smartkey ( iOS/Android対応 )
・WinAuth ( Windows対応 )
他社のワンタイムパスワードのWeb認証でも利用が可能
OSS/無償のソフトウエアトークンで使えるサービスなど
・Google
・Amazon
・Microsoft
・Facebook
・仮想通貨のサイト
インターネットバンキング
etc
Powered BLUE 870 Web アプライアンス
Powered BLUE Private CA 仮想アプライアンス
1)インターネットサーバー 機能
Web
/
Mail /
DNS
RedHat / CentOS 7.x
/
FTP /
アプリ
(64bit) に対応
AWS / Azure / VMware / Hyper-V / K5 / Enterprise Cloud
2)Private CA 機能
SSLクライアント証明書発行・管理
3)SSLクライアント認証 機能
WebサイトのSSLクライアント認
4) オールインワン
リバースプロキシ
Powered BLUE 870/OTP
仮想アプライアンス
1)インターネットサーバー 機能
Web
/
Mail /
DNS
RedHat / CentOS 7.x
/
FTP /
アプリ
(64bit) に対応
AWS / Azure / VMware / Hyper-V / K5 / Enterprise Cloud
2) ワンタイムパスワード認証
Webサイトのワンタイムパスワード認証
3)ワンタイムパスワードユーザー管理
ID/パスワード(発行・管理・認証)
4) オールインワン
リバースプロキシ
Powered BLUE 870 Web アプライアンスの位置
IaaS OS まで
Pass Powered BLUE 870
Saas
(例
VPS )
( OS+GUI+アプリ )
運用・機能・ アプリ
Powered BLUE 870
基本
フリープラグイン
オプション
機能 内容
Web マルチドメイン・マルチサイト
Mail 中継・送信・受信・メールボックス
DNS
ftp
Let’s Encrypt 無償SSLサーバー証明書
WordPress CMS
RoundCube Web Mail
ownCloud オンラインストレージ
PrivateCA SSLクライアント証明書発行・管理
SSLクライアント認証 Private/Publicに対応
ワンタイムパスワード認証
リバースプロキシ
運用アプリ 例
グループウエア
サイボウズ
デスクネッツ
動作スペック
Powered BLUE 870
OS
スペック
内容
CentOS 7.x (64bit) / RedHat 7.x (64bit)
1 Core (min)
1024MB mem (min)
20GB HDD (min)
Ethernet x 1(min)
アプライアンス
仮想アプライアンス
OS + 専用GUI + アプリ
「 Powered BLUE 870 Web アプライアンス」運用環境
仮想アプライアンス
VMware / Hyper-V
クラウド対応
AWS / Azure / K5
クラウド対応
VPSなど
クラウド基盤の例
サービス名
AWS
AWS/EC2/東京
サーバースペック
1 Core
2 GB Memory
30 GB HDD
IP Address=1個
1 Core
2 GB Memory
Fujitsu Cloud Service 30 GB HDD
for OSS (K5)
IP Address=2個
月額
備考
$66.9
7425円
Firewall 付属
データ転送量従量課金
転送量 4TB時の費用
請求書未対応 (5.5GB/hour)
仮想基盤 Xen
富士通
4665円
請求書対応
Firewall 付属
データ転送量が無料
OpenStack 準拠
Ansible 対応
仮想基盤 OpenStack
NTT PC
Web ARENA
SuitePRO V4
2 Core
2 GB Memory
100 GB HDD
IP Address=1個
8400円
請求書対応
Firewall 別途
データ転送量が無料
HA機能付属
Powered BLUE プライベートCA


Web サーバー
オールインワン
■ CAとWebを1台での運用に対応
プライベート CA

+ リバースプロキシ
既存Webサーバー連携
■ CA + リバースプロキシ での運用に対応
プライベートCA

ロードバランサー
■ LB対応

CA / Web の分離 ロードバランサー対応
プライベートCA + リバースプロキシ + ロードバランサー

リバースプロキシのLB対応
■ エンド to エンド のSSL運用も可能
「Public」SSLクライアント証明書での認証
SSL-VPNを利用
SSL-VPN
ブラウザのみで利用可能
SSL-VPNを利用
RDP ログイン
SSL-VPNを利用
Windows サーバーへ
Webアクセス時 の ワンタイムパスワード認証
ワンタイムパスワード & ID/パスワードの
2要素認証機能付属のWebサーバーを簡単に構築 / 運用
他社のワンタイムパスワードのWeb認証でも利用が可能
OSS/無償のソフトウエアトークンで使えるサービスなど
・Google
・Amazon
・Microsoft
・Facebook
・仮想通貨のサイト
インターネットバンキング
・Powered BULE 870/OTP
etc
ワンタイムパスワードの同期
ワンタイムパスワード認証Web
+ リバースプロキシ
■ 既存Webサーバー連携
■ワンタイムパスワード + リバースプロキシ 運用に対応
構築・運用
10分

運用開始
AWSの場合
専用のAMIを選択
AWSの場合
サーバーのスペックを選択
管理画面
1)日本語・英語の2か国語対応
2)パッチなどの自動アップデート機能
「ひとり情シス」にも対応
サーバーのモニタリング & サービスの自動再起動 & パッチ適用
常時SSL化対応
■ SNI
セキュリティの強化
(Server Name Indication)
機能
IPアドレス1個で、全WebサイトのSSL化に対応
■ Webバージョンの非公開やSSLセキュアレベルの指定機能
■ HSTS (HTTP Strict Transport Security) 機能
httpでアクセスをhttpsでの接続で通信する機能
■ SELinux対応 (セキュアOS)
IPアドレス

SSL化Webサーバーの関係
https
IP アドレス A
Webサーバー A
https
IP アドレス B
IP アドレス C
Webサーバー B
https
Webサーバー C
「 SNI / Server Named Indication 」対応のWebサーバー
https
Webサーバー A
https
IP アドレス B
1個
Webサーバー B
https
Webサーバー C
アプリ(フリープラグイン)
WordPress マルチサイト・マルチユーザー対応
同一サイト内で複数の WordPress / ブログ を構築・運用の例
SSLクライアント認証 & ワンタイムパスワード認証

■グループウエア・Webメール
■サイボウズ
■デスクネッツ ■Active! mail
■ RoundCube ■NIコラボスマート ■Aipo
■ワークフロー
■X-point ■楽々Workflow ■NIコラボスマート
■eValue NS
■Power egg
■Seagull Office
■NTTデータ イントラマート ワークフロー
■オンラインストレージ ■ownCloud
■FileBlog
■Proself
■他 ■ホームページ
■WordPress
■Zabbix
運用パターン-1
オールインワン
運用パターン-1
オールインワン
■本社、支店、関連会社 5社のWebサイトを運用
■各社のWebサイトは WordPress で管理
■メールは Web Mail / RoundCube を利用
■オンラインストレージは ownCloud を利用
■公開用サイト以外のWebは、
SSLクライアント認証 or ワンタイムパスワード認証
■SSLサーバー証明書は Let’s Encrypt を利用
■ IP address= 1個
運用パターン-2
リバースプロキシ
SSLクライアント認証Web
運用パターン-2
リバースプロキシ
■会社及び製品別の複数のWebサイトを運用
■Webサイトは、WordPress で管理
■公開用Webサイト
社員&関係者用Webサイトは、
SSLクライアント認証 or ワンタイムパスワード認証
■社内の既存で運用のグループウェアへは
リバースプロキシ を利用
■SSLサーバー証明書は Let’s Encrypt を利用
■ IP address= 1個
「 Powered BLUE 870 Webアプライアンス」 おさらい
■マルチサイトWeb
WordPress や Let's Encrypt 対応
IP アドレス 1個 で運用
■ SSLクライアント認証
■ ワンタイムパスワード認証
社員 や 会員 向けの 専用Web
■ オールインワン
Webアプリ
から
ページ
リバースプロキシ
まで
製品の サイト
■ Powered BLUE 870 Webアプライアンス
https://www.powered.blue/sub/products/blue/b870.html
■ Powered BLUE 870 プライベート CA
https://www.powered.blue/sub/products/ca/b870-ca.html
■ Powered BLUE 870/OTP
https://www.mubit.co.jp/sub/products/blue/b870-otp.html

他のカテゴリから探す

IT業界の改革にご協力いただけませんか?

本サイトは、株式会社オープンソース活用研究所がプロデュースする、中小IT企業による”本気”の情報提供セミナー「マジセミ」の結果レポートページです。「マジセミ」は、次を目的として活動しています。

我々はITエンジニアが、今よりももっと「誇り」と「喜び」をもって仕事をし、今よりももっと企業や社会に貢献できる、そんなIT業界を創りたいと考えています。

そのためには、技術をもった中小のIT企業がもっと元気になる必要がある。その為には、技術をもった中小のIT企業を、もっと皆様に知って頂く必要がある、と考えました。

株式会社オープンソース活用研究所
代表取締役所長 寺田雄一

本当かウソか、あなたが見極めてください。

もし、我々のこの活動にご賛同していただけるのであれば、ぜひ下のセミナーに参加してください。

「なんだ、結局ただの売り込みセミナーじゃないか」

もしそう感じたら、アンケートなり、あなたのFacebookなりに、そのままお書き頂き、拡散して頂いて構いません。

参加者からのお褒めの言葉、お叱りの言葉が、我々中小IT企業を成長させ、それが日本のIT業界を変えていくのだと、強く確信しています。

あなたの行動が、日本のIT業界を変えるのです。

「マジセミ」のFacebookページ

今後のセミナー情報などを提供させていただきたますので、「マジセミ」のFacebookページに「いいね!」をお願いします。

日本のIT業界を変えるためのアクション、ありがとうございました!

関連するセミナーの講演資料
オープンソースでデジタルマーケティング ~オープンソースによるマーケティングオートメーション(MA)と会員統合~ 【SIer歓迎】無料オンラインストレージのリスク(データ持ち出し/ランサムウェア感染など)と対策 ~様々なオンラインストレージとの比較と、内部不正対策、ランサムウェア対策など機能紹介~ VMWare、Docker、AWS、Azureに簡単に配置できる認証基盤 ~オープンソースのシングルサインオン「OpenAM」を仮想アプライアンスで~ テレワーク・リモートワークのセキュリティ問題を多要素認証で解決する(SSLクライアント認証/ワンタイムパスワードなど) オープンソースで実現するシングルサインオンの概要(Offce365連携から、会員統合、ソーシャル連携、多要素認証まで) デジタル革命時代の「攻めと守りの認証/ID管理」(基調講演:NIST SP800-63-3 などに見る、サイバーセキュリティ対策の国際動向/みずほ銀行など採用、パスワード不要のFIDO最新動向) 【東京開催】オープンソース「OpenAM」によるシングルサインオンの概要 ~ IDaaS等との比較、導入時の注意点 ~ 【福岡開催】オープンソース「OpenAM」によるシングルサインオンの概要 ~ IDaaS等との比較、導入時の注意点や体験談も ~ オープンソース(OpenAM / Keycloak)によるシングルサインオンの概要と、商用製品やIDaaSとの比較 WordPressサイトを常時SSL化する方法と、常時SSL化による新たな脆弱性問題