USBトークン認証 VPNリモートアクセスActive DirectoryいらずのVPN スタンドアロンでUSBトークンにリモートアクセス証明書発行

+

PacketiX VPN Serverは、クライアント証明書を発行する機能を内蔵したVPNソフトウエアです。リモートアクセスするクライアントを厳密に特定するためにUSBトークン/ICカードを利用する小・中規模な構成に最適なパッケージです。USBトークンを会社にリモートアクセスする鍵として活用していただけます。

Pentio PKI Solution [Data Sheet]

ソフトイーサ PacketiX© VPNPentio

USBトークン/ICカードでアクセス実現にActive Directory不要で割安USBトークン/ICカードを利用したリモートアクセスは、これまで高額なソリューションでした。ペンティオがご提供する「USBトークン認証VPNリモートアクセス」は、大変使いやすく割安にご提供可能なパッケージです。VPN導入構築が高額で導入をためらっていた中小法人様でも導入いただくことが可能です。

PacketiX VPNソフトウエアだけでリモートアクセス証明書発行「USBトークン認証VPNリモートアクセス」には、VPN認証で必要なクライアント証明書と秘密鍵を発行する機能が含まれております。証明書を発行する認証局機能がPacketiX VPN Serverに搭載されており、証明書の発行を容易におこなうことが可能です。これまでのActive Directory Serverを利用した証明書発行と比較して管理者作業を大幅に削減することができます。

USBトークン/ICカードへ証明書を格納プロセスは、PacketiX VPN ServerからUSBトークン/ICカードに直接書き込めます。ペンティオがご提供するPKCS11 Libraryを指定し、PacketiX VPNのスマートカードマネージャで、「新しい証明書と秘密鍵を作成してカードに書き込む」操作をするだけで、直接書き込みを実現できます。このことから管理者PCにユーザー秘密鍵コピーが残留しないので、安全を確保した運用が実現できます。

証明書をPCに格納する認証方式ではVPNアクセスする可能性があるPCすべてに証明書を格納しておく必要があります。これに対し証明書を格納したUSBトークンを可搬すれば出先のPCからでもVPNアクセスすることが可能になります。また、USBトークンにはPINコードで所有者判定機能があるので、万一USBトークンを紛失しても第三者が利用することはできません。IDパスワードだけでなく、IDパスワード＋USBトークン（証明書）利用者認証を二要素にすることで、企業のセキュリティ安全性を高度に保ちます。

対応 OSWindows (32bit, 64bit)Windows Vista SP1, SP2 / Server 2008 SP1, SP2 / Hyper-V Server 2008 / 7 SP1 / Server 2008 R2 SP1 / Hyper-V Server 2008 R2 / 8 / Server 2012 / Hyper-V Server 2012 / 8.1 / Server 2012 R2 （クライアントPCでUSBトークン/ICカードを利用するにはPacketiX VPN Clientが動作するWindows利用がお勧めです。Windows 98 / 98 SE / ME / NT 4.0 SP6a / 2000 SP4 / XP SP2, SP3 / Server 2003 SP2 はICカード サポート対象外です。)

必要なハードウェアリソース (VPN Client)PacketiX VPN Client をコンピュータにインストールして使用する際に、必要なハードウェアリソースは以下のとおりです。なお、ハードウェアリソースには最低環境と推奨環境があります。

モニタ16 ビット色、800 × 600 以上の解像度の表示能力を有するモニタ (Windows の場合)メモリ最低環境最低 16 Mbytes 以上の空きメモリが存在すること。メモリ推奨環境最低 32 Mbytes 以上の空きメモリが存在すること。ハードディスクドライブ最低環境30 Mbytes 以上の空き容量が存在すること。ハードディスクドライブ推奨環境VPN Client の動作ログの保存量や保存サイズによりますが、少なくとも 300 Mbytes 以上に空き容量が存在すること。

上記の要件を満たしていない場合、動作はしますがスワップが発生し、パフォーマンスが著しく悪化する可能性があります。またスワップ領域が割り当てられていない場合は、PacketiX VPN Client の動作が停止します。

PacketiX VPN 4.0の動作環境（2014年8月現在：ソフトイーサ株式会社）

Ver. 1.0.2-140925

PCに証明書格納するより安全USBトークンはPINで利用者認証

USBトークン/ICカードに証明書を直接格納が可能に

ルート証明書

Pentio USB Token 3300 A 会社PacketiX VPN

USBトークン認証リモートアクセス 構成図

※あくまでも概念構成図になります。

Pentio USB Token 3300 A

PKIデバイス

VPN Logon

クライアント証明書

社内ネットワーククライアント秘密鍵

又は

内蔵 証明書発行 認証局

VPN Server アプライアンス

VPN 4.0

ユーザーアクセスに必要なパスワードを定期的に変更する行為が、システム全体のセキュリティレベルを低下させる遠因になっている。ユーザーPINで守られたもう一つの鍵を併用することで、パスワード定期変更から解放することが可能になる。

約200,000円

380,000円

180,000円

標準料金 数量

合計

製品名 必要製品群

30個

1台

─ ─

Pentio USB Token™ 3300A ※1USBトークン

下記VPN機器内蔵機能認証局（証明書発行）

PacketiX VPN 4.0アプライアンス ※2VPN機器

IDパスワードIDパスワード＋PC内証明書

IDパスワード＋USBトークン（証明書）

PacketiX VPN 4.0の主な機能（2014年8月現在：ソフトイーサ株式会社）

PacketiX VPN 4.0商品構成

380,000円

標準料金 数量製品名 必要製品群

1式

訪問によるPacketiX VPN設計・構築（基本） ※4VPN設計構築

PacketiX VPN 4.0オプション

×

×

ユーザー使い勝手

使用環境

本人特定（他人排除）

アクセス権漏洩防止

総合判定

PacketiX VPN 4.0構成スタイル別メリット

PacketiX VPN プロトコルの仕様・ペイロードのプロトコル: イーサネット・VPN で使用するプロトコル(上位): SSL (Secure Socket Layer) 3.0 / TLS (Transport Layer Security) 1.0・VPN で使用するプロトコル(下位): TCP/IP と UDP/IP の混合 (IPv4 または IPv6 上)・暗号方式: RC4-MD5, RC4-SHA, AES128-SHA, AES256-SHA, DES-CBC-SHA and DES-CBC3-SHA・データ圧縮: zlib・セッション鍵: 128bit・準拠する規格: 拡張した　HTTP over SSL Protocol (RFC2818, RFC 5246)・WAN 最適化: 論理的な VPN セッションの構築に 1～32 の TCP 接続を使用・接続維持: 自動再接続を無制限に試行可能・対応プロクシ: HTTP プロクシサーバーと SOCKS プロクシサーバー・TCP ポート: 443, 992 および 8888 (初期設定)待ち受け TCP ポートは任意に追加や削除が可能・NAT 下での利用: NAT-Traversal 機能がデフォルトで有効.　NAT の設定を変更せずに、NAT 下で VPN 接続の待ち受けが可能な場合がある。・制限されたアクセス環境での利用: 　VPN over ICMP (ICMP パケットによる VPN 構築が可能)　VPN over DNS (DNS パケットによる VPN 構築が可能)・ユーザー認証: - 匿名認証 - パスワード認証 - RADIUS でのパスワード認証 - NT ドメインや Active Directory でのパスワード認証 - X.509 RSA PKI 証明書認証 (鍵は VPN クライアントの設定に保存) - X.509 RSA PKI 証明書認証 (鍵は PKCS#11 対応のスマートカードや USB トークンを利用) ※5・VPN カプセル化対象:Ethernet (IEEE802.3) フレーム (最大 1,514 バイトまたは、1,518 バイトの IEEE802.1Q タグ付き VLAN)・対応 VPN クライアント: SoftEther VPN Client・対応クライアント OS: Windows と Linux・対応する VPN 構成: リモートアクセス VPN, 拠点間 VPN (L2 ブリッジ) and 拠点間接続 VPN (L3 ルーティング)

※5 Pentio USB Token 3300A / Pentio IC Card 3300Cのペンティオ推奨接続方式です

PacketiX VPN Serverがサポートする VPN プロトコル・SoftEther VPN プロトコル (Ethernet over HTTPS) ※4・OpenVPN (L3 モードと L2 モード)・L2TP/IPsec・MS-SSTP (Microsoft Secure Socket Tunneling Protocol)・L2TPv3/IPsec・EtherIP/IPsec

類推されない長いパスワードを定期的に記憶する運用が負担

ユーザー使用環境に制限を加える。証明書更新・回収が困難

▲

C 評価B 評価 A 評価安全性が高く、かつ利便性があり。アクセス権更新も容易

PacketiX VPN 4.0製品の情報・お問い合わせソフトイーサ株式会社http://www.softether.jpPacketiX VPN 4.0製品http://www.softether.jp/1-product/11-vpn

定期的に変更するパスワード記憶が困難（パスワード漏洩の遠因）

定期的に変更するパスワード記憶が困難（パスワード漏洩の遠因）

IDパスワード＋USBトークンのユーザーPIN記憶

×○ ○どこからでも可 証明書格納PCのみ

（PC内証明書は移設できてしまう）どこからでも可

○▲ ◎IDパスワードのみ IDパスワードと証明書 IDパスワードとユーザー

PINで守られた証明書（二要素）

▲× ○IDパスワード漏洩でアクセス可能に

ユーザーPCを第三者が使えない仕組みが必須

USBトークン搾取した第三者はPINがわからず使用不可能

※4 PacketiX VPN設計・構築は、株式会社エーピーコミュニケーションズが担当します。要件確認・打合せ訪問・事前動作確認試験・本番導入試験・現地訪問設置が含まれます。F/W再設計・設定, Syslog転送, DHCP構築, クライアント環境セットアップは別途承ります。

※1 Pentio USB Token™ 3300Aは、組織のユーザー数と同数必要です。※2 PacketiX VPN 4.0アプライアンスは、ぷらっとホーム株式会社EasyBlocks PacketiX VPN 4.0です。これはぷらっとホーム社EasyBlocksマイクロサーバー機にソフトイーサ株式会社PacketiX VPN 4.0 Standard Edition(小規模企業向け)ソフトウエアを搭載したアプライアンス製品です。

※3 PacketiX VPN 4.0 Standard Edition(小規模企業向け)は、製品ライセンス (無期限)と1年間サブスクリプション契約が含まれます。

※4

（同時アクセス30）※3

Pentio PKI Solution [Data Sheet]

©2014 Pentio Co., Ltd. All rights reserved. ●ペンティオ、ペンティオのロゴ、および本文中に記載されている製品名は、日本および他の国におけるペンティオ株式会社の商標または登録商標です。 ●本文中に記載されている商品名および社名は、それぞれ各社の商標または登録商標です。 ●製品の仕様・デザインは予告なく変更することがあります。ご了承下さい。

[PKIソリューション事業部]〒160-0022　東京都新宿区新宿5-10-1 第2スカイビル801Tel.03-5919-0971　Fax.03-5919-0980　http://www.pentio.com/ 2014年9月