PKI認証デバイス/プライベート認証ソリューション
HOME
ソリューション<TOP>
USBトークン認証 VPNリモートアクセス

USBトークン認証 VPNリモートアクセス

Active DirectoryいらずのVPN スタンドアロンでUSBトークンにリモートアクセス証明書発行製品カタログ・データシート

Pentio USB Token 3300A + ソフトイーサ PacketiX© VPN

PacketiX VPN Serverは、クライアント証明書を発行する機能を内蔵したVPNソフトウエアです。リモートアクセスするクライアントを厳密に特定するためにUSBトークン/ICカードを利用する小・中規模な構成に最適なパッケージです。USBトークンを会社にリモートアクセスする鍵として活用していただけます。

USBトークン/ICカードでアクセス実現にActive Directory不要で割安

USBトークン/ICカードを利用したリモートアクセスは、これまで高額なソリューションでした。ペンティオがご提供する「USBトークン認証VPNリモートアクセス」は、大変使いやすく割安にご提供可能なパッケージです。VPN導入構築が高額で導入をためらっていた中小法人様でも導入いただくことが可能です。

PacketiX© VPN

PacketiX VPNソフトウエアだけでリモートアクセス証明書発行

「USBトークン認証VPNリモートアクセス」には、VPN認証で必要なクライアント証明書と秘密鍵を発行する機能が含まれております。証明書を発行する認証局機能がPacketiX VPN Serverに搭載されており、証明書の発行を容易におこなうことが可能です。これまでのActive Directory Serverを利用した証明書発行と比較して管理者作業を大幅に削減することができます。

PacketiX VPNソフトウエアだけでリモートアクセス証明書発行

USBトークン/ICカードに証明書を直接格納が可能に

USBトークン/ICカードへ証明書を格納プロセスは、PacketiX VPN ServerからUSBトークン/ICカードに直接書き込めます。ペンティオがご提供するPKCS11 Libraryを指定し、PacketiX VPNのスマートカードマネージャで、「新しい証明書と秘密鍵を作成してカードに書き込む」操作をするだけで、直接書き込みを実現できます。このことから管理者PCにユーザー秘密鍵コピーが残留しないので、安全を確保した運用が実現できます。

USBトークン/ICカードに証明書を直接格納が可能に

PCに証明書格納するより安全USBトークンはPINで利用者認証

証明書をPCに格納する認証方式ではVPNアクセスする可能性があるPCすべてに証明書を格納しておく必要があります。これに対し証明書を格納したUSBトークンを可搬すれば出先のPCからでもVPNアクセスすることが可能になります。
また、USBトークンにはPINコードで所有者判定機能があるので、万一USBトークンを紛失しても第三者が利用することはできません。IDパスワードだけでなく、IDパスワード+USBトークン(証明書)利用者認証を二要素にすることで、企業のセキュリティ安全性を高度に保ちます。

 PCに証明書格納するより安全USBトークンはPINで利用者認証

USBトークン認証リモートアクセス 構成図

h1

PacketiX VPN 4.0の動作環境
(2014年8月現在:ソフトイーサ株式会社)

対応 OS

Windows (32bit, 64bit)
Windows Vista SP1, SP2 / Server 2008 SP1, SP2 / Hyper-V Server 2008 / 7 SP1 / Server 2008 R2 SP1 / Hyper-V Server 2008 R2 / 8 / Server 2012 / Hyper-V Server 2012 / 8.1 / Server 2012 R2 (クライアントPCでUSBトークン/ICカードを利用するにはPacketiX VPN Clientが動作するWindows利用がお勧めです。Windows 98 / 98 SE / ME / NT 4.0 SP6a / 2000 SP4 / XP SP2, SP3 / Server 2003 SP2 はICカード サポート対象外です。)

必要なハードウェアリソース (VPN Client)

PacketiX VPN Client をコンピュータにインストールして使用する際に、必要なハードウェアリソースは以下のとおりです。なお、ハードウェアリソースには最低環境と推奨環境があります。


モニタ
16 ビット色、800 × 600 以上の解像度の表示能力を有するモニタ (Windows の場合)
メモリ最低環境
最低 16 Mbytes 以上の空きメモリが存在すること。
メモリ推奨環境
最低 32 Mbytes 以上の空きメモリが存在すること。
ハードディスクドライブ最低環境
30 Mbytes 以上の空き容量が存在すること。
ハードディスクドライブ推奨環境
VPN Client の動作ログの保存量や保存サイズによりますが、少なくとも 300 Mbytes 以上に空き容量が存在すること。


上記の要件を満たしていない場合、動作はしますがスワップが発生し、パフォーマンスが著しく悪化する可能性があります。またスワップ領域が割り当てられていない場合は、PacketiX VPN Client の動作が停止します。

PacketiX VPN 4.0構成スタイル別メリット

IDパスワード IDパスワード
+PC内証明書
IDパスワード
+USBトークン(証明書)
ユーザー使い勝手 ×
定期的に変更する
パスワード記憶が困難
(パスワード漏洩の遠因)
×
定期的に変更する
パスワード記憶が困難
(パスワード漏洩の遠因)

IDパスワード
+USBトークンの
ユーザーPIN記憶
使用環境
どこからでも可
×
証明書格納PCのみ
(PC内証明書は移設できてしまう)

どこからでも可
本人特定(他人排除)
IDパスワードのみ

IDパスワードと証明書

IDパスワードとユーザーPINで
守られた証明書(二要素)
アクセス権漏洩防止 ×
IDパスワード漏洩でアクセス可能に

ユーザーPCを第三者が使えない仕組みが必須

USBトークン搾取した第三者はPINがわからず使用不可能
総合判定 B 評価
類推されない長いパスワードを定期的に記憶する運用が負担
C 評価
ユーザー使用環境に制限を加える。証明書更新・回収が困難
A 評価
安全性が高く、かつ利便性があり。アクセス権更新も容易

ユーザーアクセスに必要なパスワードを定期的に変更する行為が、システム全体のセキュリティレベルを低下させる遠因になっている。ユーザーPINで守られたもう一つの鍵を併用することで、パスワード定期変更から解放することが可能になる。

PacketiX VPN 4.0商品構成

必要製品群 製品名 数量 標準料金
USB トークン Pentio USB Token™ 3300A ※1 30個 180,000円
認証局(証明書発行) 下記VPN機器内蔵機能
VPN機器 PacketiX VPN 4.0アプライアンス ※2 1台 約200,000円
(同時アクセス30)※3
合計 380,000円
※1 Pentio USB Token™ 3300Aは、組織のユーザー数と同数必要です。
※2 PacketiX VPN 4.0アプライアンスは、ぷらっとホーム株式会社EasyBlocks PacketiX VPN 4.0です。これはぷらっとホーム社EasyBlocksマイクロサーバー機にソフトイーサ株式会社PacketiX VPN 4.0 Standard Edition(小規模企業向け)ソフトウエアを搭載したアプライアンス製品です。
※3 PacketiX VPN 4.0 Standard Edition(小規模企業向け)は、製品ライセンス (無期限)と1年間サブスクリプション契約が含まれます。

PacketiX VPN 4.0オプション

必要製品群 製品名 数量 標準料金
VPN設計構築 訪問によるPacketiX VPN設計・構築 (基本) ※4 1式 380,000円
※4 PacketiX VPN設計・構築は、株式会社エーピーコミュニケーションズが担当します。要件確認・打合せ訪問・事前動作確認試験・本番導入試験・現地訪問設置が含まれます。F/W再設計・設定, Syslog転送, DHCP構築, クライアント環境セットアップは別途承ります。

PacketiX VPN 4.0の主な機能 (2014年8月現在:ソフトイーサ株式会社)

PacketiX VPN Serverがサポートする
VPN プロトコル

・SoftEther VPN プロトコル (Ethernet over HTTPS) ※4
・OpenVPN (L3 モードと L2 モード)
・L2TP/IPsec
・MS-SSTP (Microsoft Secure Socket Tunneling Protocol)
・L2TPv3/IPsec
・EtherIP/IPsec

 

※4 PacketiX VPN プロトコルの仕様

・ペイロードのプロトコル: イーサネット ・VPN で使用するプロトコル(上位): SSL (Secure Socket Layer) 3.0 / TLS (Transport Layer Security) 1.0
・VPN で使用するプロトコル(下位): TCP/IP と UDP/IP の混合 (IPv4 または IPv6 上)
・暗号方式: RC4-MD5, RC4-SHA, AES128-SHA, AES256-SHA, DES-CBC-SHA and DES-CBC3-SHA
・データ圧縮: zlib
・セッション鍵: 128bit
・準拠する規格: 拡張した HTTP over SSL Protocol (RFC2818, RFC 5246)
・WAN 最適化: 論理的な VPN セッションの構築に 1~32 の TCP 接続を使用
・接続維持: 自動再接続を無制限に試行可能
・対応プロクシ: HTTP プロクシサーバーと SOCKS プロクシサーバー
・TCP ポート: 443, 992 および 8888 (初期設定)
待ち受け TCP ポートは任意に追加や削除が可能
・NAT 下での利用: NAT-Traversal 機能がデフォルトで有効.
 NAT の設定を変更せずに、NAT 下で VPN 接続の待ち受けが可能な場合がある。
・制限されたアクセス環境での利用:
 VPN over ICMP (ICMP パケットによる VPN 構築が可能)
 VPN over DNS (DNS パケットによる VPN 構築が可能)

 

 

・ユーザー認証:
- 匿名認証
- パスワード認証
- RADIUS でのパスワード認証
- NT ドメインや Active Directory でのパスワード認証
- X.509 RSA PKI 証明書認証 (鍵は VPN クライアントの設定に保存)
- X.509 RSA PKI 証明書認証 (鍵は PKCS#11 対応のスマートカードや USB トークンを利用) ※5
・VPN カプセル化対象:
Ethernet (IEEE802.3) フレーム (最大 1,514 バイトまたは、1,518 バイトの IEEE802.1Q タグ付き VLAN)
・対応 VPN クライアント: SoftEther VPN Client
・対応クライアント OS: Windows と Linux
・対応する VPN 構成: リモートアクセス VPN, 拠点間 VPN (L2 ブリッジ) and 拠点間接続 VPN (L3 ルーティング)
※5 Pentio USB Token 3300A / Pentio IC Card 3300Cのペンティオ推奨接続方式です

PacketiX VPN 4.0製品の情報・お問い合わせ
ソフトイーサ株式会社
http://www.softether.jp
PacketiX VPN 4.0製品
http://www.softether.jp/1-product/11-vpn