現在地

ARCACLAVIS NSASに関するよくあるご質問

トラブルシューティング

画面に壁紙もしくは背景しか表示されなくなりました。回避方法を教えてください。

現象の詳細

前提条件

  • NSASグループポリシー設定「ICカードを抜いた際の動作」が「ロック」になっている。
  • Flashスクリーンセイバーが設定されている。

再現手順

  1. ICカードを外し、ロック画面を表示させる。
  2. スクリーンセイバーがかかるまで放置する。
  3. ICカードをセットする。
  4. ロック画面もしくはICカードパスワード入力画面が表示されず、壁紙もしくは背景だけが表示される状態となる。

原因

Flashスクリーンセイバーが設定されている為。

回避方法

Flashスクリーンセイバーの使用は避けてください。

正しいICカードパスワードを入力しているにもかかわらずエラーとなってしまいます。原因と回避方法を教えてください。

以下の点をご確認ください。

  • NumLock がかかっていませんか?
    キーボードの「NumLock」またはそれに該当するキーを押して解除してください。
  • CapsLock がかかっていませんか?
    キーボードの「CapsLock」またはそれに該当するキーを押して解除してください。
  • かな入力モードになっていませんか?
    キーボードの「カタカナ ひらがな」またはそれに該当するキーを押して解除してください。
  • キーボードによってはキートップの表記が異なったり、キーそのものが無い場合がございます。その場合はメーカーへお問い合わせください。

仕様・制限事項

NSAS とは何ですか?
シンプルな管理方法とユーザの利便性の確保を基本コンセプトとして開発された、運用性の高いICカード認証ソフトウェアです。
NSASとは何の略ですか?

New Concept Secure Authentication System の略です。
「エヌサス」と発音します。

NSASで何ができるのですか?

ICカードを使って Windows ドメインへのログオンを行う事ができます。面倒な管理作業が必要だった従来のセキュリティ製品と異なり、一歩進んだセキュリティを簡単に実現することがで きます。

NSASを導入する為には何が必要ですか?

ドメインコントローラとしてActive Directoryを利用しているWindowsドメイン環境が必要になります。

ICカードパスワードとは何ですか?

銀行のキャッシュカードの暗証番号と同様で、そのICカードを所持している人物が本人である事を特定する為のパスワードです。万一ICカードが盗まれても、ICカードパスワードがわからなければ不正に利用する事はできません。

ユーザに対して定期的なパスワードの変更を義務付けているのですが、NSASを導入しても同様のセキュリティポリシーで運用できますか?

問題ありません。従来通りドメインのパスワード有効期限の設定に従って、ユーザに対してICカードパスワード変更が要求されます。この際、ICカードパスワードの変更に伴いドメインパスワードも自動的に更新されます。

NSASの導入にあたってパスワードポリシー設定(長さ、複雑さ等)の変更が必要ですか?

変更の必要はありません。NSAS が自動生成するドメインパスワードに対して、既存のドメインのパスワードポリシーに合わせた設定が可能です。また、同様のポリシーをユーザが入力するICカードパスワードに対して設定する事もできます。

パスワード履歴のポリシーにも対応していますか?

対応しています。既存のドメインのパスワードポリシーの設定に従って、履歴に残っている過去に使用したドメインパスワードは生成されません。また、このポリシーはユーザが入力するICカードパスワードにも適用されます。

Active Directory の移動プロファイルには対応していますか?

対応しています。

既に導入が完了してしまった後でセキュリティポリシーが変更になり、NSASクライアントの設定を変えなければならなくなりました。全てのPCに対する設定変更や再インストール作業が必要ですか?

そのような手間のかかる作業は必要ありません。
ActiveDirectory に備わるグループポリシー機能によって、NSASの各種動作設定も行う事が出来ます。これにより、ドメイン上の全てのNSASクライアントに対して動作設定をネットワークを介して一元管理可能です。

業務系システムにCitrix社のMetaFrameを導入しており、こちらの認証もActive Directory連携で行っています。このような環境へのNSASの導入実績はありますか?
NSASを導入の際にMetaFrame ICA クライアント側の認証設定をパススルーにて運用する事で、問題なくご利用可能です。
他社製認証アプリケーションとの連携は可能ですか?

NSASの汎用ID/パスワード入力機能で対応できる場合がありますのでお問い合わせ下さい。

操作・利用方法

NSASを使用する複数のクライアントPCにNSASクライアントキットを一括配信し、自動的にインストールまたはバージョンアップすることは可能ですか?

Active Directory 上で以下の操作を行います。(クライアントPCにおける操作は必要ございません。)

  1. 配信用に使用する組織単位およびグループポリシーを作成し、コンピューターをその組織単位内に移動します。
  2. 配信用に使用するネットワーク上の共有フォルダーにNSASクライアントキットをコピーします。
  3. グループポリシー画面にて「コンピューターの構成」→「ソフトウェアの設定」→「ソフトウェア インストール」を順に開きます。
  4. 右クリックメニューの「新規作成」→「パッケージ」を選択します。
  5. 2)で配置したNSASインストーラーをネットワークパスより指定します。
  6. 「割り当て」または詳細設定される場合は「公開または割り当て時の詳細設定」を選択し、「OK」をクリックします。
  7. この設定をされた後、そのグループポリシーが適用されるクライアントPCは次回起動時に自動的にインストール作業が開始されます。

必須環境およびソフトウェア

  • Active Directory
  • クライアントPCがソフトウェアを取得するための共有フォルダー
  • NSASクライアントキット
    (NSASを動作させている環境でそのままご利用できます。)
NSASクライアントキットにおける起動画面およびロック画面に表示されるカスタムロゴ画像の、クライアントPCにおける保存場所を教えてください。

カスタムロゴ画像は共有フォルダーより取得された後、以下に保存された上でNSASクライアントにおいて使用されます。
%programfiles%¥NSAS¥CLIENTKIT¥Temp¥NSASlogo.bmp(規定ロゴ:2000,XP用)、NSASlogo2.bmp(拡張ロゴ:Vista以降用)
(例)C:¥Program Files¥NSAS¥CLIENTKIT¥Temp¥NSASlogo.bmp, NSASlogo2.bmp

NSASクライアントにおける起動画面およびロック画面に表示されるカスタムロゴ画像がどのような条件において有効であり続けるかを教えてください。

カスタムロゴ画像が保存されている共有フォルダーが参照できる状態であれば常に有効ですが、たとえ共有フォルダーが解除され、カスタムロゴ画像を参照できない状態になっても、NSASグループポリシーにおける該当項目が変更されない限り有効であり続けます。
また、逆にグループポリシーを参照できない状態になっても有効であり続けます。

NSASを導入するユーザ数がとても多いのですが、ICカード発行作業が大変なのではありませんか?
従来のICカードログオン製品で必要だった、あらかじめICカードに各アカウントのログオン情報を書き込むような手間のかかる作業はNSASでは必要ありません。お買い上げになったそのままの状態のICカードをユーザに配る事ができます。
既に配布済みのICカードを社員証として使っているのですが、そのカードを利用する事はできませんか?

社員証が Sony FeliCa (RC-S860) であれば可能です。
その他の種類のICカードについては弊社までお問い合わせください。

ICカードを複製して不正利用される事はありませんか?
ICカードに備わる高度なセキュリティ機能により、複製する事は非常に困難です。
ICカードを使用するユーザアカウントはどのように登録するのでしょうか?

NSASでは ActiveDirectory 上のドメインアカウントをそのままICカードログオンに使用できます。あるドメインアカウントをNSAS利用ユーザとして登録する為には、簡単な専用ツールを用いて、初回パスワードである「期限付きパスワード」を発行します。

期限付きパスワードとはどのようなパスワードですか?

NSASがインストールされたPCだけで利用できる専用のパスワードで、ドメインのパスワード有効期限とは別の期限を発行毎に設定する事が可能です。
ユーザが初めてICカードでWindowsドメインにログオンする場合、及び緊急時にICカード無しでログオンしなければならない場合に入力します。
セキュリティ確保の為、期限付きパスワードは16文字の非常に長い文字列になっています。しかしながら、システム管理者とユーザの間で間違って伝わってしまいそうな文字列が排除されている等、細かな点に至るまで配慮された設計になっています。

NSASの期限付きパスワードの発行を既存システムと連携して行う事はできませんか?

期限付きパスワードを発行するツールは、汎用的なDOSコマンド版も提供されています。既存システムからこのコマンドを呼び出す事により、低コストな追加開発だけで既存システムとの連携も実現可能です。

ユーザ数が数千人、数万人規模の環境に導入する際に必要となる期限付きパスワードの発行を効率的に行う方法はありますか?

期限付きパスワードの発行はCSV形式のユーザ一覧ファイルから一括して行う事も可能です。Microsoft Excel 等で作成したユーザリストを使って、一度の処理で全ユーザに対して期限付きパスワードを発行できます。また、発行した結果もCSV形式で出力可能です。

NSASを導入すると、ユーザのドメインログオン手順はどのように変わるのでしょうか?

通常時のログオン手順は以下の様になります。

  1. ICカードをICカードリーダ装置にセットする。
  2. ICカードパスワードを入力する。

この時、ユーザID、及びそのアカウントにログオンする為のパスワード(以下「ドメインパスワード」)は自動的に入力されます。また、これまで面倒だった Ctrl+Alt+Del の入力は必要なくなります。

NSASを導入すると、ドメインパスワードはどのように変わるのでしょうか?

ドメインパスワードは NSAS を導入すると自動的に暗号化されます。非常に複雑なドメインパスワードをユーザに意識させる事なく利用でき、また、ICカードを所持していないユーザは正しいドメインパスワードを入力できない事になりますので、一歩進んだセキュリティが簡単に実現できます。

NSASを利用するユーザと、従来通り ID/パスワードで利用するユーザを同じドメインで混在させることは可能ですか?

可能です。従来のユーザアカウントとNSASを利用するユーザアカウントとの違いは、上記の通り、ドメインパスワードが暗号化されているかどうかの違いしかありません。

ユーザに対して定期的なパスワードの変更を義務付けているのですが、NSASを導入しても同様のセキュリティポリシーで運用できますか?

問題ありません。従来通りドメインのパスワード有効期限の設定に従って、ユーザに対してICカードパスワード変更が要求されます。この際、ICカードパスワードの変更に伴いドメインパスワードも自動的に更新されます。

NSASの導入にあたってパスワードポリシー設定(長さ、複雑さ等)の変更が必要ですか?

変更の必要はありません。
NSAS が自動生成するドメインパスワードに対して、既存のドメインのパスワードポリシーに合わせた設定が可能です。また、同様のポリシーをユーザが入力するICカードパスワードに対して設定する事もできます。

ICカード紛失、破損時の緊急対応方法は提供されていますか?

その様な状況に備えて「緊急ログオンモード」が用意されています。

ユーザがICカードを自宅に忘れたまま出社してきました。自宅にカードを取りに帰らせなければログオンできないのでしょうか?

そのような場合にも緊急ログオンモードが利用できます。

緊急ログオンモードの運用にあたってシステム管理者が行わなければならない作業はどのようなものでしょうか?

ユーザ登録を行った時と同様に期限付きパスワードを発行します。
それ以外の特別な緊急対応作業というべきものは一切ありません。

緊急ログオンモードを利用するには、専用の緊急用アカウントが必要なのでしょうか?

必要ありません。
緊急ログオンモードでも、各ユーザが通常のICカードログオン時にお使いのアカウントでログオンする事ができます。

期限付きパスワードを利用してICカード無しでログオンできる事によるセキュリティレベルの低下は心配ありませんか?
緊急ログオンに必要な期限付きパスワードには、その時のユーザの状況に応じて任意の有効期限を1日単位で細かく設定する 事ができます。そのユーザに対して新しいICカードを再配布するのに必要な最低限の日数を設定する事をお奨めしています。
緊急ログオンモードの運用から通常のICカードログオンでの運用に戻す為にシステム管理者が行う作業はどのようなものですか?

システム管理者が行う作業は一切ありません。
ユーザが通常通りICカードをセットして画面の指示に従う事によって、自動的に通常モードに戻ります。

緊急ログオンモードから通常モード(ICカードでの利用)に戻す場合、新しいカードと交換しなければなりませんか?

交換の必要はありません。
この場合、ユーザが以前使用していたICカードをセットして画面の指示に従う事によって、自動的に通常モードに戻ります。
システム管理者が行わなければならない作業は一切ありません。

緊急ログオンモードから通常のICカードログオンに戻った後、緊急ログオンモードで使用していた期限付きパスワードは利用できますか?

ICカードログオンでの運用に戻った時点で、期限内であってもその期限付きパスワードは無効になります。

ICカードが第三者に盗まれてしまいました。どのように対処すればよいのでしょうか?

ICカードが盗まれても、ICカードパスワードがわからなければ不正ログオンする事はできません。このような場合には慌てずにそのユーザのアカウントに対して期限付きパスワードを再発行し、新しいICカードを利用してください。
期限付きパスワードの再発行を行った時点で、たとえ正しいICカードパスワードを入力できたとしても、盗まれたICカードではログオンできなくなります。

Active Directory のソフトウェア配布機能には対応していますか?

NSASの各インストーラは全て Windows Installer 形式で提供されているため、Active Directoryのソフトウェア配布機能を用いて各クライアントへインストールすることが可能です。

導入後にNSASクライアントの設定変更が必要となった場合、全てのPCに対する設定変更や再インストール作業が必要ですか?

そのような手間のかかる作業は必要ありません。
ActiveDirectory に備わるグループポリシー機能によって、NSASの各種動作設定も行う事が出来ます。これにより、ドメイン上の全てのNSASクライアントに対して動作設定をネットワークを介して一元管理可能です。