ネットワークセキュリティー
本製品はネットワークセキュリティーを強化することで、データの流出や改ざんなどを回避し、安全性と機密性を高めることができます。
SSO-H運用時は、セキュリティー対策の観点からネットワークアドミニストレーター(NetworkAdmin)を設定することをおすすめします。
本製品のネットワーク上でのセキュリティーは、次の機能を中心に成り立っています。
TLS暗号化通信
ユーザーがブラウザーを通して本製品にアクセスする際に、本製品にサーバー証明書を導入することで、TLSによる安全な暗号化通信を実現できます。TLS通信ではサーバー証明書と公開鍵を利用して、ユーザーと本製品の双方のみで使用できる共通鍵を互いに生成します。それにより、外部からのデータの盗聴やなりすましを防ぐことができます。
「TLS暗号化通信に必要な鍵ペアとサーバー証明書の設定」および
「TLS暗号化通信で使用する鍵ペアの設定」を参照してください。
TLS通信の仕組みは次のとおりです。
1. | ユーザーのコンピューターから本製品へアクセスするとき、TLSのサーバー証明書とサーバーの公開鍵を要求します。 |
2. | 本製品からユーザーのコンピューターへ、証明書と公開鍵が送られます。 |
3. | サーバーから受け取った公開鍵を使用して、コンピューター内で独自に生成した共通鍵を暗号化します。 |
4. | 暗号化した共通鍵を本製品に送ります。 |
5. | 本製品で秘密鍵を使用し、暗号化された共通鍵を復号します。 |
6. | これによりユーザーのコンピューターと本製品の双方で共通鍵を所有することになり、互いに共通鍵を使用してデータのやり取りができるようになります。 |
ファイアウォール
ファイアウォールとは、外部ネットワークからの不正アクセスを防止し、組織内のネットワークへの攻撃や侵入を防ぐシステムです。本製品ではこのファイアウォールを利用して、特定の外部IPアドレスからの通信を制限することで、危険と思われる外部からのアクセスをあらかじめ遮断できます。
(→プロトコルの設定)SNMP
SNMPとは、ネットワークの一括管理を行なうプロトコルです。本製品では、SNMPv1とSNMPv3をサポートしています。SNMPは本製品に接続された通信機器をネットワーク経由で監視、制御します。
(→通信環境を設定する)IEEE 802.1X認証
認証サーバー(RADIUS:Remote Authentication Dial In User Service)で認証情報を一括管理して、サプリカントを認証します。RADIUSサーバーに認証されたサプリカントのみがオーセンティケーターに通信を許可されてネットワークへ接続できるため、不正なアクセスを防ぐことができます。
RADIUSサーバーに認証されていないサプリカントは、オーセンティケーターが通信をブロックします。
(→IEEE 802.1X認証とは)IPSec通信とFIPS 140-2
IPSecは、セキュリティーポリシーを作成してIPネットワーク上で送受信されるデータを盗聴、改ざん、なりすましなどの脅威から保護してセキュリティーを確保するためのプロトコルです。
(→IPSecの設定)また、IPSec通信の暗号化方式を、米国政府のFIPS(Federal Information Processing Standards)140-2に準拠させることができます。
(→FIPS 140-2に準拠した暗号方式を使用する)MEAP設定
Webブラウザーから本製品にアクセスしてMEAP機能を利用する場合、TLS通信を使用できます。
(→MEAPの設定をする)