PassLogic PassLogic(クラウド版/パッケージ版)
デバイスレス・ワンタイムパスワード
※以前より「トークンレス・ワンタイムパスワード」としていた認証機能の名称を「デバイスレス・ワンタイムパスワード」と変更いたしました。
- セキュリティ&使いやすさを両立!
- スマートフォンやトークンなどの他のデバイスを使わずに実現可能なワンタイムパスワードです。
デバイスレス・ワンタイムパスワードは、ユーザーがあらかじめ決めておいたパターンをもとに乱数表からワンタイムパスワードを読み取る仕組みです。ログインのたびに入力するパスワードが新たに生成されることで、強固な認証を実現します。動画で解説【デバイスレス・ワンタイムパスワード】
- デバイスレス・ワンタイムパスワードのメリット
-
■リモートアクセスに最適!
ブラウザだけで成立するため、認証用のスマートフォンやトークンなどの機器を追加で持ち歩く必要はありません。認証の際に認証用デバイスを取り出す必要もなく、「いつでも」「どこからでも」「どの端末でも」利用することができます。
■導入・管理コストを大幅削減!
認証用デバイスを準備し、配布する必要がないため、導入コストが削減されます。デバイス管理の手間からも解放されます。サポートを自動化し、管理コストを削減する機能もあります。
- デバイスレス・ワンタイムパスワードの仕組み
-
■「パターン」の設定
まず、ユーザー自身で「どのマス目から」「どの順番で」数字を抜き出すかを決めます。この位置と順番を「パターン」と呼びます。
【パターン設定のルール】
パターンに設定するマス目は、タテ・ヨコ・ナナメどの方向でも、離れていても構いません。自由に設定が可能です。■認証の手順
認証時には乱数表が表示されます。この乱数表のマス目に表示された数字を、パターンで設定した「位置と順番」に沿って入力し、「ログイン」ボタンを押すことで認証します。
表示される乱数表が認証のたびに変わるので、入力する数字も毎回変わります。その結果、ワンタイムパスワードとして成立します。
特許※乱数表から抜き出してワンタイムパスワードを生成する<U.SPAT.6141751/JP.PAT.5276658>■「追加フレーズ(固定パスワード)」との組み合わせ
パターンに沿って抜き出した数字の前後に、ユーザー自身が設定した固定の文字列「追加フレーズ」を前後または間に追加することで、よりセキュリティの強度が上がります。
例)パターンで抜き出した数字に、追加フレーズを後ろへ追加した場合
Windows OS認証強化
- Windows OSへの認証をワンタイムパスワードで強化「PassLogic for Windows Desktop」
-
「PassLogic for Windows Desktop」は、Windows OSのサインインにPassLogicの認証機能を適用し、Windowsのセキュリティを向上します。適用できる認証機能は、デバイスレス・ワンタイムパスワード、ソフトウェアトークン・ハードウェアトークンです。
さらに、サインイン後の業務システムへの認証作業を省略する「シームレスサインオン」機能により、業務効率の向上も見込めます。【対応Windows OS】
Windows 10/Windows11/Windows Server 2016/Windows Server 2019/Windows Server 2022 - 「PassLogic for Windows Desktop」の利用イメージ
- 事前準備として、Windows端末に専用のクライアントアプリ「PassLogic for Windows Desktop」をインストールします。
その後、端末を起動し、アカウントを選択すると乱数表が表示されます。PassLogicのデバイスレス・ワンタイムパスワード(※)と同様の認証作業を行い、サインインが完了します。
※認証方法をデバイスレス・ワンタイムパスワードに設定した場合です。ハードウェアトークンやソフトウェアトークンも設定可能です。 - シームレスサインオン(シングルサインオンに対応)
-
Windows OSにサインインした後、業務システムへの個別の認証を省略することができます。一度の認証作業で、複数の業務システムにシングルサインオンします。
※ 掲載の連携は検証当時のものです。バージョンや環境により連携できない場合があります。
- 利用場面の具体例
-
■個人端末
各端末上の全てのアカウントにご利用いただけます。
■共有端末
共有端末上の各アカウントに異なるポリシーや個別のパターンを設定できます。
■リモートデスクトップ
Windowsのリモートデスクトップ機能「RDP」を設定した端末にも適用可能です。
接続先の端末にPassLogic for Windows Desktopを設定しておけば、その端末にRDP接続した際に、PassLogicの認証が適用されます。
- さまざまな要望に対応
-
■オフライン認証
オフライン状態の端末でも認証が可能です。
オンラインの状態での認証に1度成功すると、最大1万件の乱数表とそれに対応する正解の値を端末内に保存します。オフライン時には、この乱数表と正解の値を使用して認証判定を行います。
ハードウェアトークン、ソフトウェアトークンを利用している場合でも、オフライン認証が可能か設定できます。
■Active Directoryアカウントにも対応
Active Directory(AD)に参加しているアカウントへの認証にも適用可能です。
PassLogicの認証とADのパスワード認証による二段階認証も設定可能です。
- 多要素認証
-
多要素認証を設定するには、ハードウェアトークンまたはソフトウェアトークン(パスロジが無料提供するスマートフォンアプリPassClip L)を使用します。
この多要素認証は、オフライン状態でも動作します。
■スマートフォンアプリとビンゴ型表示の利用(おすすめ)
スマートフォンアプリ「PassClip L」を利用した所有物認証と、ビンゴ型に表示したワンタイムパスワードから、パターンの記憶を利用して正解を読み取る知識認証による多要素認証を実現します。
ログインプロテクトを付加することも可能です。■スマートフォンとPINの利用
スマートフォンアプリ「PassClip L」を利用した所有物認証と、固定PIN(パスワード)の知識認証による多要素認証を実現します。
ログインプロテクトを付加することも可能です。■ハードウェアトークンとPINの利用
ハードウェアトークンのワンタイムパスワードによる所有物認証と、固定PIN(パスワード)の知識認証による多要素認証を実現します。
- ポリシー設定
-
Windows OSサインイン時に使用する認証方式や、ログイン可能な時間帯などの認証ポリシーを複数用意しておき、ユーザーごとに柔軟に設定できます(マルチポリシー)。
- サイレントインストール
- 「PassLogic for Windows Desktop」のクライアントアプリは、サイレントインストールとサイレントアンインストールに対応しています。
クライアントアプリ配布検証済み製品- SKYSEA Client View
- LANSCOPE エンドポイントマネージャー
シングルサインオン
- シングルサインオンとは
- シングルサインオン(SSO:Single Sign-On)」とは、一度の認証で複数のシステムにログインできる仕組みです。
PassLogicと複数の業務システムを連携し、シングルサインオン環境の構築が可能です。
シングルサインオンの実現により、ユーザーが認証作業を行う手間と、管理者が複数の業務システムの認証情報(ID・パスワードなど)を管理する負担を削減します。
- 汎用的な連携プロトコルに対応!クラウドでもオンプレミスでも連携可能
- VPNやVDI、クラウドストレージやMicrosoft 365などのクラウドサービス、社内ネットワーク上の業務システムなど、システムを問わず連携が可能です。
対象となるシステムの環境が、クラウドでも、オンプレミスでも連携プロトコルに対応していれば問題ありません。
PassLogicが対応する連携プロトコルは以下の表をご参照ください。対応プロトコル 主な連携先 概要 SAML クラウドサービス、VPN、VDIなど PassLogicは連携したサービスに対するIDプロバイダーとなります。 RADIUS VPN、VDIなど PassLogicはRADIUSサーバーとして、認証機能を提供します。 リバースプロキシ
(HTTP)社内Webアプリ
(グループウェアやウェブメール)などPassLogicはリバースプロキシサーバーとして、HTTPコンテンツの中継機能を提供します。
フォーム認証代行、BASIC認証代行などを行います。
※PassLogic クラウド版は非対応です。 - シングルサインオンとアクセスコントロール
- ユーザーやグループごとに、利用を許可するシステムと許可しないシステムへの振り分けを行う機能が「アクセスコントロール」です。
PassLogicは、認証が完了すると、ユーザーが利用を許可された業務システムの一覧を表示します。ユーザーが一覧から業務システムを選択すると、自動的にログイン(シングルサインオン)が完了します。
アクセスコントロール
- 業務システム単位で柔軟に接続制御
-
所属グループや接続元のIPアドレスによって、アクセス利用できる業務システムを制限することができます。
※アクセス権限のないシステムのURLへ直接アクセスした場合は、PassLogicがアクセスコントロールを行い、「403 Forbidden(アクセス権限がないためアクセス不能)」を返します。
クライアント証明書
- 許可していない端末からのアクセスをブロック
- PassLogic認証サーバの認証機能の一つとして、クライアント証明書認証に対応しており、会社が利用を認めているパソコンやスマートフォンだけにPassLogicの利用を許可することができます。
「クライアント証明書」と「デバイスレス・ワンタイムパスワード」と組み合わせることで、認証するための別の機器を使用することなく、多要素認証(”会社が許可した端末”&”本人だけが知る知識から生成するワンタイムパスワード”の2要素)を実現できます。
ソフトウェアトークン & ハードウェアトークン
- 各種トークンによる多要素認証にも対応
- PassLogicは各種ハードウェアトークン、ソフトウェアトークンを利用した多要素認証にも対応しています。
トークンとは?
トークンはワンタイムパスワードを表示する機器の事。
キーホルダータイプやカードタイプの専用機器にパスワードを表示するハードウェアトークン、スマートフォンに専用アプリをダウンロードしてパスワードを表示するソフトウェアトークンが一般的です。逆にトークンを使わずブラウザだけでパスワードを表示することをトークンレス(デバイスレス)といいます。 - ソフトウェアトークン
-
PassLogicをご利用のお客様にソフトウェアトークンを無償で提供しています。形式はスマートフォン用アプリ(iOS・Android対応)となり、手軽にワンタイムパスワード認証を利用できます。詳細についてはお問い合わせください。
パスワード表示形式
・パスワードをそのまま表示する「ベーシック表示」
・5×5のマス目に隠して表示する「ビンゴ型表示」
ビンゴ型表示で利用すれば、ユーザーごとのパターンを知らないとワンンタイムパスワードが分からないため、「パターンの知識+スマートフォンの所有」による多要素認証が成立します。 - ハードウェアトークン
-
OATH規格のハードウェアトークンによるワンタイムパスワード認証が利用可能です。
PIN(固定パスワード)と併用することで多要素認証が実現します。 - 多要素認証
- 個人を認証する際に使われる要素は、以下の3種類に分けられます。
- 自分だけが知っていることで認証する「知識認証」
- 自分だけが持っているモノで認証する「所有物認証」
- 自分だけの身体的特徴で認証する「生体認証」
PassLogicでは、用途や要件に応じてさまざまな組み合わせを選択し、多要素認証を実現できます。
ログインプロテクト
- オートロックで侵入防止
- ログインプロテクトは、PassLogic専用のスマートフォン用アプリ「PassClip L」使用時に利用できる機能です。
本人所有のスマートフォンから「今から認証するよ」と合図を送ってから1分間だけ、PassLogic認証サーバーが認証を待ち受ける状態になります。
それ以外のすべての時間帯は、自動的にログインプロテクトがかかり、どのようなパスワードを送っても認証自体を受け付けません。
豊富な連携方式
- VPN、VDI、SaaS等と連携
- PassLogicは、汎用的な連携方式(プロトコル)に準拠しており、VPNやVDIの他、クラウドストレージやMicrosoft 365をはじめとしたクラウドサービスなどの業務システムと連携できます。
また、認証APIを提供しており、Webサービスやスマートフォンアプリのログイン画面にワンタイムパスワードを容易に組み込むことができます。
※PassLogicクラウド版は、リバースプロキシ連携は非対応です。(パッケージ版のみ対応)
※APIの提供は基本的に有償オプションサービスです。API連携を希望されるソフトウェアメーカーの方はお問合せください。
ユーザー情報自動更新
- ユーザー情報更新を手軽に!
- LDAP(Active Directory)連携によるユーザー登録・更新の自動化や、指定したフォルダ内のCSVファイルを定期的に読み込む自動更新が可能です。
なお、管理画面におけるユーザー情報の逐一更新や、CSVファイルを読み込んで一括更新といった手動による更新にも対応しており、セキュリティポリシーに合わせた運用ができます。
※PassLogic クラウド版は、ユーザー情報自動更新には非対応です。
- ユーザー情報自動更新のイメージ
-
- 管理画面から手動更新
- 情報更新は管理画面から手動で更新いただくことも可能です。CSVファイルを読み込んで一括更新も対応しています。
サポート自動化
- サポートコストを大幅カット
- サポート担当者の日々の対応として、パスワード忘れやロックアウトしてしまいログインできないユーザーのリカバリがありますが、パターンの再設定とロックアウト解除の自動対応の機能を搭載しており、管理者の負担を軽減します。管理者による手動対応も可能なので、企業ごとのセキュリティポリシーに合わせた運用が可能です。
マルチポリシー
- 複雑な組織体系にも柔軟に対応
- 使用させる認証方式や、ログイン可能な時間帯などの認証ポリシーを複数用意しておき、ユーザーごとに柔軟に設定することができます。
【変更可能な内容】
認証方式/端末認証の利用有無/ログイン可能時間帯/定期的なパターン変更の有無/パスワード桁数/乱数表のサイズ / 追加フレーズの有無/パターンの制約/ロックアウトまでの認証失敗回数 など
サーバー冗長化
- 可用性・災害に万全の備えを
- 障害・災害対策のため、冗長化構成も可能です。なお、PassLogicクラウド版は冗長化構成が標準となっております。
ゼロトラスト
| 製品名 | メーカー名 |
|---|---|
| Prisma Access | パロアルトネットワークス株式会社 |
ゼロトラスト
| 製品名 | メーカー名 |
|---|---|
| Array AG | アレイ・ネットワークス株式会社 |
| BIG-IP APM | F5ネットワークスジャパン合同会社 |
| Check Point | チェック・ポイント・ソフトウェア・テクノロジーズ株式会社 |
| Cisco ASAシリーズ | シスコシステムズ合同会社 |
| Cisco Secure Firewall | シスコシステムズ合同会社 |
| Ivanti Connect Secure(旧 Pulse Connect Secure) | Ivanti Software株式会社 |
| FortiGate | フォーティネットジャパン合同会社 |
| PaloAlto PA-200 | パロアルトネットワークス株式会社 |
| WatchGuard Firebox M200 | ウォッチガード・テクノロジー・ジャパン株式会社 |
仮想デスクトップ(VDI)
| 製品名 | メーカー名 |
|---|---|
| Amazon WorkSpaces | アマゾン ウェブ サービス ジャパン株式会社 |
| NetScaler Gateway(旧 Citrix Gateway) | シトリックス・システムズ・ジャパン株式会社 ※PassLogicはCitrixReadyに認定されています。 |
| VMware Unified Access Gateway /Horizon(RADIUS) | ヴイエムウェア株式会社 |
| VMware Unified Access Gateway /Horizon(SAML) | ヴイエムウェア株式会社 |
| VMware Identity Manager(Workspace ONE) | ヴイエムウェア株式会社 |
| VMware Horizon Air | ヴイエムウェア株式会社 |
| VMware Horizon View | ヴイエムウェア株式会社 |
クラウドアプリ
| 製品名 | メーカー名 |
|---|---|
| ConnectWise Control Access | 株式会社アネット |
| 電子印鑑GMOサイン | GMOグローバルサイン・ホールディングス株式会社 |
| Box | Box |
| desknet’s NEO クラウド版 | 株式会社ネオジャパン |
| Dropbox Business | Dropbox |
| Google Workspace(旧:G Suite) | グーグル合同会社 |
| moconavi-GrW | 株式会社レコモット |
| Microsoft 365 | Microsoft |
| Salesforce | 株式会社セールスフォース・ドットコム |
| Splashtop/Splashtop with PassLogic | スプラッシュトップ株式会社 |
| VMware Horizon Air | ヴイエムウェア株式会社 |
| X-point Cloud | 株式会社エイトレッド |
| Zendesk | Zendesk |
| クラウドサイン | 弁護士ドットコム株式会社 |
| メールワイズ | サイボウズ株式会社 |
Webアプリ
| 製品名 | メーカー名 |
|---|---|
| Active!mail | 株式会社クオリティア |
| desknet’s NEO | 株式会社ネオジャパン |
| Outlook Web Access | Microsoft |
| X-point | 株式会社エイトレッド |
| サイボウズ Office | サイボウズ株式会社 |
| サイボウズ Garoon | サイボウズ株式会社 |
| プリザンター | 株式会社インプリム |
シングルサインオン製品 / その他
| 製品名 | メーカー名 |
|---|---|
| IceWall MFA | 製品ページ:日本ヒューレット・パッカード株式会社 |
| moconavi-GrW | 株式会社レコモット |
| OpenAM ※「OpenAM」はオープンソースのプラットフォームです。 |
製品例:オープンソース・ソリューション・テクノロジ株式会社 |
※PassLogicは標準的な連携方式を採用しており、多くの業務システムと連携が可能です。
※掲載以外の製品との連携についてはお気軽にお問合せください。
※掲載の連携は検証当時のものです。バージョンや環境により連携できない場合がございます。