現在地

ARCACLAVIS Ways 機能

多要素認証

ID/パスワードでの認証ではなく、ICカードや生体(顔、指紋&指静脈)情報、ワンタイムパスワードなどを用いて本人認証を強化します。

部門や業務、利用者ごとに認証方法を選択できるため、例えば、自分の端末ではICカード社員証・職員証で認証し、特殊な業務を行う端末では生体認証を利用するといったことも可能です。

顔認証 New!

専用機器不要でハンズフリーの認証のため、利便性に優れたセキュリティ強化を実現します。常時監視機能により、離席すると画面をロックするため、なりすまし/不正利用を防止します。ICカードとの併用も可能です。二要素認証でマイナンバーを扱う端末のセキュリティ要件を高いレベルで充たします。

初期登録は顔画像ファイルを使って一括登録が可能なため、導入の手間を軽減できます。内蔵/外付けWebカメラを利用可能です。

動的ネットワークアクセス制御

動的にファイアウォールと連携し、認証に成功したユーザのPCの経路を開放し、認証に伴う認可によるアクセス制御を実現します。また、画面ロック/ログオフなど認証の取り消し・一時停止により、経路を閉鎖し、常時開放の環境から、認証によって動的に開放/閉鎖を行う環境とすることで、ネットワークアクセスのセキュリティを向上します。

対応ファイアウォールは以下の通りです。(他ファイアウォールにも順次対応予定です)

  • Cisco ASA 5500-Xシリーズ(Cisco Adaptive Security Appliance Software 9.1.6)
  • VMware NSX for vSphere 6.1.4

※Waysサーバが障害等で停止している時は、ファイアウォールを経由しての通信ができなくなります。
 そのため、可用性が求められるシステムではサーバの二重化など、冗長化を考慮した設計が必要です。

【物理ファイアウォールのみで利用するイメージ】

【VMware NSXの仮想ファイアウォールと物理ファイアウォールで利用するイメージ】

ARCACLAVIS Waysによる認証は、物理PCはもちろん、VMware Horizon Viewによる仮想デスクトップ環境にも対応しており、「マイクロアクセスコントロール」において開放/閉鎖を行うファイアウォールも、NSXの仮想ファイアウォールだけでなく、物理ファイアウォールにも対応しています。サーバセグメント、クライアントセグメントで複数のファイアウォールがある場合にも適応でき、一度の認証で複数のファイアウォールに開放/閉鎖の指示を行うことも可能なため、物理/仮想のハイブリッド環境にも対応できます。

nsx_image_01.png

シングルサインオン

クラウドアプリケーション、イントラWebアプリケーション、C/Sアプリケーションなど様々なタイプのアプリケーションに対して、シングルサインオンを実現します。
アプリケーション側の改修を必要としないため、容易にシングルサインオン環境を構築できます。

業務アプリケーションへの自動ログインに加え、「パスワード自動生成・自動変更」機能により、パスワード変更の手間も低減することができます。ユーザはアカウント管理から解放され、生産性の向上につながります。

※当社が想定する方式以外の方式で認証が行われている場合、本機能が使用できない場合があります。

Cloud SSO サーバ機能

フェデレーション(IDP Initiated SSO)への対応により、SAMLを利用したシームレスなSSOを実現します。あらゆるブラウザ(IE/Firefox/Chromeなど)から、Office 365やSalesforce、Google Appsなどのクラウドアプリケーションに自動ログインできます。
クラウドアプリケーションの他に社内業務アプリを利用している場合は、従来の代行入力型シングルサインオンと併用することで、より多くのアプリケーションでシングルサインオンを利用できます。

SSO都度認証

マイナンバー導入に伴うセキュリティ対策として、PCでのなりすまし(ログオフ忘れにより、別ユーザが業務アプリケーションを利用してしまうこと)を防止するための仕組みが求められています。
そこで、業務アプリケーションへのログイン認証の都度、ICカードや生体情報などのデバイス認証を要求し、シングルサインオンする機能を追加しました。
認証したユーザ毎のアカウントで業務アプリケーションにログインできるため、自治体の窓口業務、コールセンター・ヘルプデスクのシステム利用時など、共有PC/共有アカウントを利用している場合に有用な機能です。

暗号機能

ドライブ、フォルダ、外部メディア、ネットワーク上の共有フォルダを自動暗号/復号することが可能です。
指定された暗号フォルダは自動暗号/復号され、ユーザは暗号フォルダ、非暗号フォルダなどを意識することなく確実にファイルを暗号化した状態で保持できます。

また、ドライブ単位(C:\、D:\など)で暗号対象を指定するだけの「ドライブ暗号」機能では、指定されたローカルドライブ全体を暗号対象にすることもできます。
自宅に個人情報の入ったデータをUSBメモリで持ち出したり、外部業者にファイルをメールしたりするとき、暗号化しデータを持ち出すことができます。パスワードで暗号/復号ができ、専用のツール内で編集・更新ができます。
さらに、有効期限を設定し、期限を過ぎた場合には自動的に削除することができ、データのカプセル化を実現しています。

ノートPCの置き忘れ、盗難にあっても暗号化されていれば、情報漏えいを防げます。

外部デバイス制御

昨今の個人情報漏洩事件で話題となったスマートデバイスのポータブルデバイス(WPD)規格を含め、外部デバイス(MO、CD/DVD、USBメモリ、プリンタ)の利用をユーザ単位で制御する機能を追加しました。
デバイス種類毎に「読み書き可」「読みのみ可」「使用不可」を細かく設定できるため、運用に合わせてお使いいただけます。

  • スマートデバイスのポータブルデバイス(WPD)規格の制御
  • リムーバブルドライブの制御
  • プリンタの制御
  • CD-ROMドライブの制御
  • フロッピーディスクドライブの制御

ログ収集機能

デバイス認証やシングルサインオン・外部デバイスの利用時、ファイアウォールを開放/閉鎖した際などのログを記録します。
ログオンアカウントが共有アカウントでもICカードや生体などの認証要素に固有に付与できる識別子で個人を特定できます。インシデント発生時に追跡調査も可能です。

各アプリケーションの実際の利用状況が「見える化」できるため、本当に必要なライセンス数などを分析することが可能になります。
ログの内容をCSVファイルへエクスポートすることも可能です。

緊急パスワード

ICカードなどの認証デバイスを自宅に忘れたり、指をケガしてしまって指ハイブリッド認証が通らないなどの緊急時には、管理者が発行した期限付きの緊急パスワードで認証デバイスが無くても一時的に本人認証をすることが可能です。

DaaS(仮想デスクトップサービス)対応

クラウドを利用したデスクトップ仮想化環境でも利用可能です。
※動作確認済み環境はお問い合わせください。

Active Directory上で管理されているドメインユーザの更新情報を取得し、認証サーバにユーザ情報を自動登録することで、管理者の作業負荷を軽減できます。タスクスケジューラによって一定時間ごとに起動してActive Directoryにユーザ更新情報を問い合わせ、あらかじめ用意したひな形(テンプレート)に当てはめることによって認証サーバ登録用のユーザ情報を生成して登録を行います。

Active Directoryと認証サーバでのユーザの二重管理が不要になり、管理者の負担を大幅に軽減することができます。

また、ID管理システム「JINPRO(株式会社クレメンテック)」との連携が可能です。
JINPROの申請ワークフローを用いたシングルサインオンの利用管理が可能になります。

国際化(英語)対応

クライアントは英語OSに対応しています。日本語版/英語版のWindowsが混在する環境やタイムゾーンが異なる地域でもご利用頂けます。

ページの先頭へ