一般的なWebコンテンツのWebサイトやWordPressでのWebサイトの構築から「生体認証」でのWebアクセス認証＆運用が可能です。

【携帯ユーザー】

携帯端末のユーザーは、自身の保有するスマートフォンやタブレットの生体認証器で指紋認証や顔認証を利用するため、外部接続の生体認証器は必要ありません。

Webサイトへアクセス時の認証としてスマートフォンやタブレットの指紋認証や顔認証などをそのまま、Webサイトへのアクセス認証で利用できます。

アンドロイド / iPad / IPhoneは、生体認証の標準規格 FIDO2 / WebAuthn に対応しており「クライアント・ソフトのインストールは不要」です。

【PCユーザー】

汎用PCのユーザーは、USB接続のFIDO2対応の生体認証器（例　指紋認証器）などを利用します。Windows 10 / 11 は生体認証の標準規格 FIDO2に対応しており「クライアント・ソフトのインストールは不要」です。USBポートへFIDO2対応の生体認証器を接続するだけで利用できます。

【ユーザー側の環境】

iPhone / iPadの場合

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

汎用PCの場合

Windows 10 / 11		FIDO2対応のブラウザ		FIDO2・生体認証器

【システム側の機器 】

idP / 生体認証対応		SAML/OIDC認証対応Web

【生体認証対応のWebシステム構成 】

【生体情報の保護】

FIDO2は、Webサービスで生体認証を行いパスワードレスでの認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

• CTAP（利用者側の認証機器とブラウザ間の規格）
• WebAuthn（ブラウザとRPサーバー間の規格）

FIDO2 / WebAuthnでは

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号方式（公開鍵・秘密鍵）を利用、生体情報は「認証器」外へ漏洩しません

【生体認証の特徴】

FIDO2 / WebAuthn による生体認証は

1. パスワードを覚える必要がない ( パスワードレス認証 )
2. 生体情報はユーザー側の「認証器」内に保護 ( 生体情報の漏洩防止 )
3. 携帯端末やPCおよびブラウザなどはFIDO2に対応済（ 生体認証の標準規格 )
4. 第3者がユーザー側の「認証器」を利用しても、認証されません（なりすまし防止）

【Webサイト】

Webサイトの機能は

• 一般的なWebコンテンツのWebサイト
• WordPerssで作成のWebサイト

などの構築＆運用に対応

Webページの任意のディレクトリに生体認証を設定できます

運用例

• トップページは、ワールドワイドに公開
• 特定のディレクトリは、社員や会員のみに生体認証でのアクセス設定

一般的なWebコンテンツのサイト		WordPressのサイト

【生体認証対応のidP 】

生体認証のidPとしては、　Powered BLUE for idP アプライアンス・システムを利用します。

Webシステムとは、SAMLやOIDC認証で接続します

【Webアクセス時の生体認証のステップ】

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

PC ＋ FIDO2・指紋認証キー のユーザー

例　生体認証を利用したパスワードレス認証

（「認証器の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応のWebへアクセス （IDのみ入力 / パスワードレス ）
② 指紋認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

【多要素認証】

生体認証に加えて

• SSLクライアント認証
• ワンタイムパスワード認証
• AD認証
• LDAP認証

などの組合せによる、多要素認証でのWebアクセスの運用にも対応しています

【こんな用途に適しています】

Webサイトへのアクセスや運用に際して

• 本人確認をきっちりと行いたい
• 生体認証を利用したい
• スマートフォンやタブレットの認証を利用したい
• パスワードレス認証でアクセスしたい
• 自社管理で生体認証のWebサイトを構築運用したい
• VPNは負荷が高いので使いたくない

【運用先】

「Powered BLUE Web for SSO / IDaaS」アプライアンス・システムは、自社管理で任意の場所で運用できます。

生体認証対応Web・アプライアンス・システムの運用先など

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O （富士通） /  VPS / 他

【既存Webへの適用】

既存で運用のWebサイトへのアクセスに生体認証を適用したい場合には、FIDO2 / WebAuthn 生体認証のidPに対応のSAML/OIDC認証のリバースプロキシ　「Powered BLUE Reverse-Proxy with SSO 」アプライアンス・システムを利用します。

生体認証に対応のリバースプロキシを中継することで

• 「既存Webの改修不要で生体認証を導入」

できます。

終わりに

詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

【ターゲットのWebなど】

デスクネッツ		サイボウズ
Active Mail		IIS / Web

【なりすまし防止】

リバースプロキシは、生体認証の「指紋認証」や「顔認証」と認証連携します。複製のしにくい生体認証を利用することで「なりすまし」を防止することが可能です。

【リバースプロキシの特徴】

1. バックエンドのＷebの認証強化（例　リバースプロキシで認証を追加）
2. バックエンドのWebの改修不要で導入できる
3. バックエンドのWebを隠蔽
4. バックエンドのWebのOSに依存せずに導入できる
5. ブラウザのみで利用できる（VPNのような専用ソフトは不要）
6. VPNに比べて負荷が小さい

【生体認証対応リバースプロキシの構成】

生体認証に対応のidPとしては、「Powered BLUE for idP」アプライアンスを利用します。

idPと連携のリバースプロキシとしては、「Powered BLUE ReverseProxy for SSO / IDaaS」アプライアンスを利用します。

【携帯ユーザー】

携帯端末のユーザーは、自身の保有するスマートフォンやタブレット内の生体認証器を利用するため、外部接続の生体認証器は必要ありません。Android / iPad / IPhoneは、生体認証の標準規格 FIDO2 / WebAuthn に対応しており「クライアント・ソフトのインストールは不要」です。

【PCユーザー】

PCのユーザーは、USB接続のFIDO2対応の生体認証器（例　指紋認証器）などを利用します。Windows 10 / 11 は生体認証の標準規格 FIDO2に対応しており「クライアント・ソフトのインストールは不要」です。USBポートへ生体認証器を接続するだけで利用できます。

【ユーザー側の環境】

iPhone / iPadの場合

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

汎用PCの場合

Windows 10 / 11		FIDO2対応のブラウザ		FIDO2・生体認証器

【システム側の機器 】

idP / 生体認証対応		SAML/OIDC認証対応リバースプロキシ

【生体情報の保護】

FIDO2は、Webサービスで生体認証を行いパスワードレスでの認証に対応の統一規格です。

FIDO2 / WebAuthnでは

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号方式（公開鍵・秘密鍵）を利用、生体情報は「認証器」外へ漏洩しません

【生体認証のステップ】

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にリバース先のターゲットWebへリダイレクト

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にリバース先のターゲットWebへリダイレクト

PC ＋ FIDO2・指紋認証キー のユーザー

例　生体認証を利用したパスワードレス認証
（「認証器の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 指紋認証 ( 2要素目の認証 　生体認証 ）
③ 認証後にリバース先のターゲットWebへリダイレクト

【リバースプロキシの設定】

アプライアンスの設定は、すべてGUIから行えます。

リバースプロキシの設定例

例　https://bio-auth.mubit.com/blog/  ⇒  https://sni-1.mubit.jp/blog/

【多要素認証】

生体認証に加えて

• SSLクライアント認証
• ワンタイムパスワード認証
• AD認証
• LDAP認証

などの組合せによる、多要素認証での運用にも対応しています

【こんな用途に適しています】

• 本人確認をきっちりと行いたい
• 既存Webサーバーの改修はせずに認証機能を追加＆強化したい
• ブラウザでアクセスさせたい
• 携帯端末の生体認証を利用したい
• パスワードレスで運用したい
• リモートワークで社内のWebへ安全にアクセスしたい
• VPNは負荷が高いので使いたくない

【運用先】

生体認証対応リバースプロキシ・アプライアンスの運用先など

• VMwareESXi / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O （富士通） /  VPS / 他

終わりに

詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。

ユーザー側の機器としては、スマートフォンやタブレット、パソコンなどのFIDO2 / WebAuthn 生体認証に対応の機器からのアクセスに対応しています。

FIDO2対応のWebサイトとしては、一般的なWebコンテンツの他、WordPressで作成のWebサイトの生体認証の構築・運用にも対応しています。

【FIDO2 / WebAuthnとは】

FIDO2 / WebAuthn は、Webへのアクセス時に「生体認証デバイス」と「ウェブブラウザー」を利用してWeb認証を行う「生体認証の標準規格」です。FIDO2の生体認証を行うことで、パスワードを利用しない認証（パスワードレス認証）が可能です。またFIDO2 / WebAuthn  では、ユーザーの生体情報は「外部に漏洩しない」という特徴を有しています。

FIDO2 / WebAuthn に対応の「生体認証デバイス」としては

• 指紋認証器
• 顔認証器
• 静脈認証器

などがあります。

FIDO2 / WebAuthn のメリットは、PCやスマートフォン、ブラウザが対応済のため、生体認証の導入に際して「ご利用中のPCや携帯端末をそのまま利用できる」環境がすでに整っていることです。

1. 主要なブラウザは、すべてFIDO2に対応済
2. Windows やアンドロイドなどもFIDO2に対応済
3. iPhone / iPad はSafari （ブラウザ）が対応済

【携帯ユーザー】

携帯端末のユーザーは、自身の保有するスマートフォンやタブレットの生体認証器で指紋認証や顔認証を利用するため、外部接続の生体認証器は必要ありません。

Webサイトへアクセス時の認証としてスマートフォンやタブレットの指紋認証や顔認証などをそのまま、Webサイトへのアクセス認証で利用できます。

アンドロイド / iPad / IPhoneは、生体認証の標準規格 FIDO2 / WebAuthn に対応しており「クライアント・ソフトのインストールは不要」です。

【PCユーザー】

汎用PCのユーザーは、USB接続のFIDO2対応の生体認証器（例　指紋認証器）などを利用します。Windows 10 / 11 は生体認証の標準規格 FIDO2に対応しており「クライアント・ソフトのインストールは不要」です。USBポートへFIDO2対応の生体認証器を接続するだけで利用できます。

【ユーザー側の環境】

iPhone / iPadの場合

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

汎用PCの場合

Windows 10 / 11		FIDO2対応のブラウザ		FIDO2・生体認証器

【システム環境】

生体認証対応Webシステム		運用先

【FIDO2規格】

FIDO2は、Webサービスで生体認証を行いパスワードレス認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

• CTAP（利用者側の認証機器とブラウザ間の規格）
• WebAuthn（ブラウザとRPサーバー間の規格）

【生体情報の保護】

FIDO2では生体情報が保護されます

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号化方式（公開鍵・秘密鍵）を利用、生体情報は「認証器」外へ漏洩しません

【FIDO2生体認証のメリット】

FIDO2による生体認証の特徴は

• パスワードを覚える必要がない ( パスワードレス認証 )
• 生体情報はユーザー側の「認証器」内に保護 ( 生体情報の漏洩防止 )
• 第3者がユーザー側の「認証器」を利用しても、認証されません（なりすまし防止）

【今回の構成】

FIDO2生体認証対応のidPと連携のWeb・システムとしては、「Powered BLUE Web for SSO / IDaaS」を利用して「FUJITSU Hybrid IT Service FJcloud-O」上で運用します。

【FUJITSU Hybrid IT Service FJcloud-Oの特徴】

• 回線費用は無償（ベストエフォート）
• オブジェクトストレージからのダウンロードも無償（ベストエフォート）
• Firewall無償
• リモートコンソールでの管理画面へのアクセス
• OpenStack準拠
• API / Ansible / OpenStack Horizon からコントロール可能
• 単一ゾーンでのSLA 99.99%
• アンチ・アフィニティをサポート
• ISMAPに対応

などです。

回線費用が標準費用に含まれているため、通信費用を気にすることなく「予算内」での運用が可能です。

【FUJITSU Hybrid IT Service FJcloud-Oでの構築】

「FUJITSU Hybrid IT Service FJcloud-O」上に「Powered BLUE」をセットアップします

【生体認証対応のWebサーバー】

Webサイトの機能は

• 一般的なWebコンテンツのWebサイト
• WordPerssで作成のWebサイト

などの構築＆運用に対応

Webページの任意のディレクトリに生体認証を設定できます

運用例

• トップページは、ワールドワイドに公開
• 特定のディレクトリは、社員や会員のみに生体認証でのアクセス設定

一般的なWebコンテンツのサイト		WordPressのサイト

一般的なWebデータで構築の場合

生体認証対応のWebサーバーへ、適宜Webコンテンツをアップロードします。

• Web サイトには、ユーザーアカウントは作成不要での運用に対応

WordPressの場合

Powered BLUE のフリープラグイン機能によりWordPressは、管理画面から簡単にインストール＆セットアップが出来ます

フリープラグインを選択

リストアップされた　WordPress の　メガネ　マークをクリック

WordPressをインストール＆セットアップします

• WordPressには、ユーザーアカウントは作成不要での運用に対応
• WordPressは最新版にアップデートできます

【生体認証器　PCユーザー】

生体認証としては、FIDO2対応の「指紋認証器」を利用します。USBタイプの指紋認証器は接続が簡単で便利です。

【指紋認証器の登録手順】

• 利用者はUSBタイプの「指紋認証器」をPCへ接続
• 利用者の指紋を「指紋認証器」へ登録

【Windowsでのセキュリティキー（指紋認証器）への指紋登録】

* Windows10 / 11ユーザーは、「Windowsの標準機能」を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションの「セキュリティキー」の登録機能から「指紋登録」が出来ます

１）アカウントを選択

２）サインインオプション&セキュリティキーを選択

３）セキュリティキー（指紋認証器）にタッチ

４）「セキュリティキーの指紋」のセットアップを選択

５）セキュリティキー（指紋認証器）にpinコードを設定

• 新規使用時や初期化時にpinコードを設定します
• pinコードは、指紋などの登録や再登録時にも使用します（重要）

６）本人の確認（指紋認証器に設定したPINコードの入力）

７）「指紋認証器」へ指紋の登録

８）指紋センサー（指紋認証器）にタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

９）他の指も登録できます（合計10本まで）

【Webへのアクセス手順】

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応Webへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にWebサイトの表示

PC ＋ FIDO2・指紋認証キー のユーザー

パスワードレス認証で運用のケース

（「認証器の所持認証」+「生体認証」の2要素認証 ）

１）生体認証対応Webへアクセス（IDのみ入力 / パスワードレス）

２）セキュリティキーにタッチ（指紋認証）

３）認証後にターゲットのWebサイトが表示されます

3要素認証で運用のケース

（「パスワード認証」＋「認証器の所持認証」+「生体認証」　の3要素認証 ）

１）生体認証対応Webへアクセス（ID & パスワード認証）

２）セキュリティキーにタッチ（指紋認証）

３）認証後にターゲットのWebサイトが表示されます

【こんな場合に】

• Webアクセス時に確実な「本人確認」を行いたい
• パスワードレスでのWeb認証を行いたい
• スマートフォンの生体認証を利用したい
• 海外や出張先のホテルからも安全にアクセスしたい
• VPNは負荷が高いので使いたくない
• 固定予算内での運用を行いたい
• 国内のクラウド基盤で運用したい

【既存のWebへ生体認証でアクセスするには】

すでに既存で運用のWebサイトへ生体認証でアクセスさせるには

　生体認証対応のidPと連携のリバースプロキシ

で対応します。

既存のWebサイトを改修することなく「生体認証システム」の導入が可能です。

【デモサイト】

Powered BLUE のデモサイトを用意しています

操作や動作を確認することが出来ます

　Powered BLUE  のデモサイト

ご不明な点などは、ムービットの  お問い合わせフォーム からお問い合わせください

機器としては、FIDO2の生体認証対応idPと認証連携できるリバースプロキシ機能を有する

「Powered BLUE ReverseProxy for SSO / IDaaS」

アプライアンスを利用します。

【FIDO2規格】

FIDO2は、Webサービスで生体認証を行いパスワードレス認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

• CTAP（利用者側の認証機器とブラウザ間の規格）
• WebAuthn（ブラウザとRPサーバー間の規格）

【生体情報の保護】

FIDO2では生体情報が保護されます

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号化方式（公開鍵・秘密鍵）を利用、生体情報は「認証器」外へ漏洩しません

【FIDO2生体認証のメリット】

FIDO2による生体認証の特徴は

• パスワードを覚える必要がない ( パスワードレス認証 )
• 生体情報はユーザー側の「認証器」内に保護 ( 生体情報の漏洩防止 )
• 第3者がユーザー側の「認証器」を利用しても、認証されません（なりすまし防止）

【FIDO2対応のブラウザ】

現在の主要なブラウザはFIDO2に対応しており、ご利用のブラウザをそのまま利用できます。FIDO2に対応のブラウザは

• Chrome
• Edge
• Firefox
• Safari

【生体認証】

FIDO2対応の生体認証には

• 指紋認証
• 静脈認証
• 顔認証
• 虹彩認証

などがあります。

【指紋認証の特徴】

• 10本の指が登録でき、どの指でも認証ができる
• 認証精度が安定している
• 認証器が豊富
• USBタイプはPCへの接続が簡単
• 汎用のPCで利用できる
• Windows10の標準機能で指紋登録ができる

【生体認証器】

PCから利用の場合には生体認証としては、FIDO2対応の「指紋認証器」を利用します。USBタイプの指紋認証器は接続が簡単で便利です。

【指紋認証器の登録手順】

• 利用者はUSBタイプの「指紋認証器」をPCへ接続
• 利用者の指紋を「指紋認証器」へ登録

【Windowsでのセキュリティキー（指紋認証器）への指紋登録】

* Windows10ユーザーは、「Windowsの標準機能」を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションの「セキュリティキー」の登録機能から「指紋登録」が出来ます

１）アカウントを選択

２）サインインオプション&セキュリティキーを選択

３）セキュリティキー（指紋認証器）にタッチ

４）「セキュリティキーの指紋」のセットアップを選択

５）セキュリティキー（指紋認証器）にpinコードを設定

• 新規使用時や初期化時にpinコードを設定します
• pinコードは、指紋などの登録や再登録時にも使用します（重要）

６）本人の確認（指紋認証器に設定したPINコードの入力）

７）「指紋認証器」へ指紋の登録

８）指紋センサー（指紋認証器）にタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

９）他の指も登録できます（合計10本まで）

【Mattermostへのアクセス手順】

スマートフォン /  タブレット ＋ 顔認証 / 指紋認証  のユーザー

（「スマートフォンの所持認証」+「生体認証」+「パスワード認証」　の3要素認証 ）

１）生体認証対応リバースプロキシへアクセス（IDのみ入力）

２）生体認証（顔認証や指紋認証）

３）認証後にMattermostへリダイレクト

PC ＋ FIDO2・指紋認証キー のユーザー

（「認証器の所持認証」+「生体認証」+「パスワード認証」　の3要素認証 ）

１）生体認証対応リバースプロキシへアクセス（IDのみ入力）

２）セキュリティキーにタッチ（指紋認証）

３）認証後にMattermostへリダイレクト

【こんな場合に】

• MattermostやWebアクセス時に確実な「本人確認」を行いたい
• スマートフォンやタブレットの生体認証を利用したい
• 海外や出張先のホテルからも安全にアクセスしたい
• VPNは負荷が高いので使いたくない

【デモサイト】

Powered BLUE のデモサイトを用意しています

操作や動作を確認することが出来ます

　Powered BLUE  のデモサイト

アンドロイド / iPhone / iPad やPCから生体認証対応のリバースプロキシを経由してアクセスすることで、ターゲットWeb側を改修することなく生体認証を導入できます。

生体認証に対応のリバースプロキシは、 FUJITSU Hybrid IT Service FJcloud-O （富士通の国産クラウド環境 ）に構築＆運用します。

【FIDO2 / WebAuthnとは】

FIDO2 / WebAuthn は、Webへのアクセス時に「生体認証デバイス」と「ウェブブラウザー」を利用してWeb認証を行う「生体認証の標準規格」です。

FIDO2の生体認証を行うことで、パスワードを利用しない認証（パスワードレス認証）が可能です。またFIDO2 / WebAuthn  では、ユーザーの生体情報は「外部に漏洩しない」という特徴を有しています。

FIDO2 / WebAuthn に対応の「生体認証デバイス」としては

• 指紋認証器
• 顔認証器
• 静脈認証器

などがあります。

FIDO2 / WebAuthn のメリットは、PCやスマートフォン、ブラウザが対応済のため、生体認証の導入に際して「ご利用中のPCや携帯端末をそのまま利用できる」環境がすでに整っていることです。

1. 主要なブラウザは、すべてFIDO2に対応済
2. Windows やアンドロイドなどもFIDO2に対応済
3. iPhone / iPad はSafari （ブラウザ）が対応済

【携帯ユーザー】

携帯端末のユーザーは、自身の保有するスマートフォンやタブレットの生体認証器で指紋認証や顔認証を利用するため、外部接続の生体認証器は必要ありません。

Webサイトへアクセス時の認証としてスマートフォンやタブレットの指紋認証や顔認証などをそのまま、Webサイトへのアクセス認証で利用できます。

アンドロイド / iPad / IPhoneは、生体認証の標準規格 FIDO2 / WebAuthn に対応しており「クライアント・ソフトのインストールは不要」です。

【PCユーザー】

汎用PCのユーザーは、USB接続のFIDO2対応の生体認証器（例　指紋認証器）などを利用します。Windows 10 / 11 は生体認証の標準規格 FIDO2に対応しており「クライアント・ソフトのインストールは不要」です。USBポートへFIDO2対応の生体認証器を接続するだけで利用できます。

【ユーザー側の環境】

iPhone / iPadの場合

iOS 14以降		ブラウザ / Safari		Touch ID / Face ID

アンドロイドの場合

Android 7 以降		FIDO2対応のブラウザ		指紋認証 / 顔認証

汎用PCの場合

Windows 10 / 11		FIDO2対応のブラウザ		FIDO2・生体認証器

【システム環境】

生体認証システム		運用先

【FIDO2規格】

FIDO2は、Webサービスで生体認証を行いパスワードレス認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。

• CTAP（利用者側の認証機器とブラウザ間の規格）
• WebAuthn（ブラウザとRPサーバー間の規格）

【生体情報の保護】

FIDO2では生体情報が保護されます

   生体情報は、利用者側が保有する「認証器」内に保存＆保護されます
  公開鍵暗号化方式（公開鍵・秘密鍵）を利用、生体情報は「認証器」外へ漏洩しません

【FIDO2生体認証のメリット】

FIDO2による生体認証の特徴は

• パスワードを覚える必要がない ( パスワードレス認証 )
• 生体情報はユーザー側の「認証器」内に保護 ( 生体情報の漏洩防止 )
• 第3者がユーザー側の「認証器」を利用しても、認証されません（なりすまし防止）

【今回の構成】

FIDO2 / WebAuthn 生体認証対応のリバースプロキシ・システムとしては、「Powered BLUE Reverse Proxy for Biometrics」を利用して「FUJITSU Hybrid IT Service FJcloud-O」上で運用します。

【FUJITSU Hybrid IT Service FJcloud-Oの特徴】

• 回線費用は無償（ベストエフォート）
• オブジェクトストレージからのダウンロードも無償（ベストエフォート）
• Firewall無償
• リモートコンソールでの管理画面へのアクセス
• OpenStack準拠
• API / Ansible / OpenStack Horizon からコントロール可能
• 単一ゾーンでのSLA 99.99%
• アンチ・アフィニティをサポート

などです。

回線費用が標準費用に含まれているため、通信費用を気にすることなく「予算内」での運用が可能です。

【FUJITSU Hybrid IT Service FJcloud-Oでの構築】

「FUJITSU Hybrid IT Service FJcloud-O」上に「Powered BLUE」をセットアップします

【リバースプロキシの設定】

、「Powered BLUE Reverse Proxy for Biometrics」へリバースプロキシ先を登録します

• アプライアンスの設定は、すべてGUIから行えます。リバースプロキシの設定例例　https://bio-auth.mubit.com/blog/  ⇒  https://sni-1.mubit.jp/blog/

【既存のWeb】

既存Webの改修は不要

例　WordPress		例　IIS / Web

【生体認証器 PCユーザー】

生体認証としては、FIDO2対応の「指紋認証器」を利用します。USBタイプの指紋認証器は接続が簡単で便利です。

【指紋認証器の登録手順】

• 利用者はUSBタイプの「指紋認証器」をPCへ接続
• 利用者の指紋を「指紋認証器」へ登録

【Windowsでのセキュリティキー（指紋認証器）への指紋登録】

* Windows10 / 11ユーザーは、「Windowsの標準機能」を利用しての登録に対応しています

Windowsの「アカウント」設定項目のサインイン・オプションの「セキュリティキー」の登録機能から「指紋登録」が出来ます

１）アカウントを選択

２）サインインオプション&セキュリティキーを選択

３）セキュリティキー（指紋認証器）にタッチ

４）「セキュリティキーの指紋」のセットアップを選択

５）セキュリティキー（指紋認証器）にpinコードを設定

• 新規使用時や初期化時にpinコードを設定します
• pinコードは、指紋などの登録や再登録時にも使用します（重要）

６）本人の確認（指紋認証器に設定したPINコードの入力）

７）「指紋認証器」へ指紋の登録

８）指紋センサー（指紋認証器）にタッチ

同じ指でのタッチを、複数回繰り返し指紋を登録します

９）他の指も登録できます（合計10本まで）

【生体認証のステップ】

iPhone / iPad  ＋ Touch ID / Face ID  のユーザー

例　生体認証を利用したパスワードレス認証
（「iPhone / iPad の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にリバース先のターゲットWebへリダイレクト

Android  ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「Android の所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 ）
③ 認証後にリバース先のターゲットWebへリダイレクト

PC ＋ FIDO2・指紋認証キー のユーザー

例　生体認証を利用したパスワードレス認証
（「認証器の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 指紋認証 ( 2要素目の認証 ）
③ 認証後にリバース先のターゲットWebへリダイレクト

3要素認証で運用のケース

（「パスワード認証」＋「認証器の所持認証」+「生体認証」　の3要素認証 ）

１）生体認証対応リバースプロキシへアクセス（ID & パスワード認証）

２）セキュリティキーにタッチ（指紋認証）

３）認証後にターゲットのWebへリダイレクト

【多要素認証】

生体認証に加えて

• SSLクライアント認証
• ワンタイムパスワード認証
• AD認証
• LDAP認証

などの組合せによる、多要素認証でのWebアクセスの運用にも対応しています

【こんな場合に】

• Webアクセス時に確実な「本人確認」を行いたい
• パスワードレスでのWeb認証を行いたい
• 既存のWebサーバー側の変更はしたくない
• スマートフォンの生体認証機能を利用したい
• 海外や出張先のホテルからも安全にアクセスしたい
• VPNは負荷が高いので使いたくない
• 自社管理でパスワードレス生体認証システムを運用したい
• 国内のクラウド基盤で運用したい

【デモサイト】

Powered BLUE のデモサイトを用意しています

操作や動作を確認することが出来ます

　Powered BLUE  のデモサイト

ご不明な点などは、ムービットの  お問い合わせフォーム からお問い合わせください

• Active Directory認証
• OTP認証
• SSLクライアント認証
• SAML認証  ( ゼロトラスト対応 )
• LDAP認証
• 指紋認証や顔認証（ FIDO2 / WebAuthn ）

などが利用できます。社内サーバへのアクセス手段として「VPNの代替」としても利用ができます。複数の認証を組み合わせて多要素認証での運用や冗長構成（HA）での運用にも対応しています。

VPNの場合

VPNでのアクセスはネットワークや機器にかかる負荷が高いため、一斉にアクセスするとVPN速度の低下などが発生

一度VPN経由でネットワーク内に入った場合には、各種のサーバやシステムとアクセスが可能なためにセキュリティ上の懸念があります。

リバースプロキシの場合

リバースプロキシはWebアクセスなのでVPNのような高い負荷はかかりません。利用者はブラウザのみでストレスなくWebアクセスが可能です。VPNのようなネットワーク全体へのアクセスではないため、指定のサーバーのみにアクセスを許可させるセキュアな運用ができます。

ターゲットWebの隠蔽

リバースプロキシ先のWebサイト名を隠蔽することが出来ます。

VPNとリバースプロキシの比較

用意および設定する機器

各種の認証機能に対応のリバースプロキシとしては、「Powered BLUE Reversse Proxy  アプライアンス」　を利用します。

リバースプロキシの運用先

「Powered BLUE Reversse Proxy  アプライアンス」は

仮想アプライアンスのイメージでの提供・仮想環境へインポートするだけですぐに運用できます

• 仮想環境 ( VMware / Hyper-V )

• クラウド環境（ AWS / Azure / VPS 他）

【１】AD認証のリバースプロキシ構成

対応の認証方式

• Active Directory認証

ADサーバーの構築

Windows Serever 上にADサーバーを構築＆設定します

リバースプロキシ側の設定　AD認証

リバースプロキシでActive Directoryの認証方式を選択します

• Basic認証
• LDAP認証
• Kerberos認証

リバースプロキシ設定　リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号）を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーサイトにLet’s Encryptの適用に対応

認証のステップ（AD認証）

１）リバースプロキシへアクセス
２）AD認証（アカウントやパスワードを入力）
３）ADの認証後にリダイレクト先のWebページを表示

【2】AD認証＋SSLクライアント認証

対応の認証方式

• Active Directroy認証
• SSLクライアント認証

ADサーバーの構築

Windows Serever 上にADサーバーを構築＆設定します

リバースプロキシ側の設定　AD認証

リバースプロキシでActive Directoryの認証方式を選択します

• LDAP認証
• Kerberos認証

リバースプロキシ側でのSSLクライアント認証 設定

• Private-CA 機能により、SSLクライアント証明書を発行します
• Public-CAで発行のSSLクライアント証明書でのSSLクライアント認証を行います

リバースプロキシ設定　リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号）を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーサイトにLet’s Encryptの適用に対応

認証のステップ（SSLクライアント認証＋AD認証）
１）リバースプロキシへアクセス（SSLクライアント認証）
２）アカウントやパスワードを入力
３）AD認証
４）ADの認証後にリダイレクト先のWebページを表示

【3】ワンタイムパスワード認証のリバースプロキシ構成

対応の認証方式

• OTP認証
• QRコード対応
• 「OTP＋任意のパスワード」の組み合わせに対応
•  TOTP / HOTP  対応

対応のソフトウエアトークン

Google Authenticatorなどの無償のソフトウエア・トークン＆QRコードに対応

• Google Authenticator
• WinAuth
• Authy
• IIJ SmartKey
• Microsoft Authenticator
• 他

リバースプロキシのワンタイムパスワード設定

リバースプロキシ設定　リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号）を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーのWebサイトにLet’s Encryptの適用に対応

認証のステップ（ワンタイムパスワード認証）

1）ワンタイムパスワードの表示
2）リバースプロキシにアクセス　ID/パスワード/ワンタイムパスワード入力
3）2要素認証の成功後　リダイレクト先のWebサイトの表示

【4】SSLクライアント認証のリバースプロキシ構成

SSLクライアント認証の有効化

• リバースプロキシのSSLクライアント認証を有効にします
• *Private-CA 機能により、SSLクライアント証明書を発行します

SSLクライアント認証のアクセスコントロール

• 時間帯や曜日によるアクセス制限
• 部門によるアクセス制限

例　月曜日から金曜日　9時から18時　までの時間帯のみリバースプロキシへのアクセス許可

リバースプロキシ設定　リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号）を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーサイトにLet’s Encryptの適用に対応

認証のステップ（SSLクライアント認証）

１）リバースプロキシにアクセス
２）SSLクライアント認証
３）認証後にリダイレクト先のWebを表示

SSLクライアント証明書が無効の場合

【5】ワンタイムパスワード認証＋SSLクライアント認証のWeb構成

ワンタイムパスワードの設定

SSLクライアント認証の有効化

• Webサーバー側のSSLクライアント認証を有効にします

• 時間帯や曜日によるアクセスコントロール
• 例　月曜日から金曜日　9時から18時　まで時間帯のみのアクセス許可

リバースプロキシ設定　リダイレクト先の指定

・複数のリバース先/バックエンドの設定に対応
・リバース先のポート(http/https/ポート番号）を指定に対応
・終端までSSL通信での運用に対応
・リバースプロキシーのサイトにLet’s Encryptの適用に対応

認証のステップ（SSLクライアント認証＋ワンタイムパスワード認証）

1）ワンタイムパスワードの表示
2）SSLクライアント認証後にリバースプロキシにアクセス
3）ID/パスワード/ワンタイムパスワード入力
4）ワンタイムパスワード認証の成功後　リダイレクト先のWebサイトの表示

【6】SAML認証のリバースプロキシ構成

• ゼロトラスト対応の「ID認識型リバースプロキシ」として動作します

対応の認証方式

• SAML認証

idPの設定

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します

• idPへアカウントを作成します
• SAML認証を有効にします

リバースプロキシ側でSAML認証の有効化

• リバースプロキシ側でSAML認証を有効にします
• リバースプロキシ側にユーザーアカウントは不要です

認証のステップ（SAML認証）

1）リバースプロキシへアクセス
2）初回のみ idP へアクセス ( シングルサインオン ）
3）idPの認証後にリバースプロキシ先のWebにリダイレクト

* SP initiated SAML および idP initiated SAMLに対応

【７】SAML認証+自社独自SSLクライアント認証のリバースプロキシ構成

idPの認証とは別に、リバースプロキシ側に自社LAN内へのアクセス用にSSLクライアント認証を設定する運用

idPのポリシーとは別に、自社独自のアクセス設定ができるのでセキュアな運用が可能です

対応の認証方式

• SAML認証
• SSLクライアント認証

idP側の設定

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します

• idPへアカウントを作成します
• SAML認証を有効にします

リバースプロキシ側　SAML認証の有効化

• リバースプロキシ側でSAML認証を有効にします
• リバースプロキシ側にユーザーアカウントは不要です

SSLクライアント認証

idP側の認証とは別にリバースプロキシへのアクセス認証に、SP上で自社独自にSSLクライアント認証を設定します

認証のステップ（自社独自のSSLクライアント認証＋SAML認証）

１）リバーススプロキシへアクセス（SSLクライアント認証）
２)   idPへアクセス ( シングルサインオン / 初回のみ ）
３）idPの認証後にリダイレクト先のWebサイトにアクセス

【8】SAML認証+自社独自ワンタイムパスワード認証のWeb構成

idPの認証とは別に、リバースプロキシ側に自社独自にワンタイムパスワード認証を設定する運用

idPのポリシーとは別に、自社独自のアクセス設定ができるのでセキュアな運用が可能です

対応の認証方式

• SAML認証
• ワンタイムパスワード認証

idP側の設定

Azure AD / TrustLogin / OneLogin / Okta / CloudGate Uno / HENNGE ONE / G Suite / Keycloak / OpenAM 他 を利用します

• idPへアカウントを作成します
• SAML認証を有効にします

リバースプロキシ側　SAML認証の有効化

• Webサーバー側でSAML認証を有効にします
• Webサーバー側にユーザーアカウントは不要です

リバースプロキシ側　ワンタイムパスワード認証

idP側の認証とは別にリバースプロキシへのアクセス認証に、SP上で自社独自にワンタイムパスワード認証を設定します

認証のステップ（自社独自のSSLクライアント認証＋SAML認証）

１）OTP表示
２)   リバースプロキシへアクセス ( ワンタイムパスワード認証 ）
３）idPのSAML認証後にWebサイトの表示（シングルサインオン / 初回のみ）

【9】指紋認証や顔認証（FIDO2 / WebAuthn）

FIDO2 / 生体認証を利用したリバースプロキシで社内Webへアクセス

リバースプロキシへのアクセス時の生体認証により「なりすまし」を防止します

 iPhone / iPad  / アンドロイド ＋ 指紋認証 / 顔認証 のユーザー

例　生体認証を利用したパスワードレス認証
（「スマートフォンの所持認証」+「生体認証」の 2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 （ スマートフォンの顔認証や指紋認証の機能を利用 ）
③ 認証後にリバース先のターゲットWebへリダイレクト

PC ＋ FIDO2・指紋認証キー のユーザー

例　生体認証を利用したパスワードレス認証
（「認証器の所持認証」+「生体認証」の2要素認証 ）

① 生体認証対応リバースプロキシへアクセス （IDのみ入力 / パスワードレス ）
② 生体認証 ( 2要素目の認証 　指紋認証 ）
③ 認証後にリバース先のターゲットWebへリダイレクト

【10】冗長構成

ロードバランサー配下での運用構成
複数の認証機能対応＆自動同期のリバースプロキシで処理を行い高負荷にも対応

自社環境とクラウド環境の組み合わせ

ロードバランサーなどはクラウド環境側のリソースを利用する構成

マルチAZ構成

異なるアベイラビリティゾーン（AZ)を利用して認証対応のリバースプロキシにより耐障害性の向上

運用先　例
・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター

idP連携でのロードバランサー配下での運用構成
複数の認証機能対応＆自動同期のリバースプロキシで処理を行い高負荷にも対応

idP連携でのマルチAZでの運用構成
異なるアベイラビリティゾーンでの運用により、回線やデータセンターの耐障害性の向上。GSLBやRoute53などを利用して異なるデータセンター間でのリバースプロキシの同期と負荷分散を行います。

運用先　例
・リージョンA / 東日本データセンター
・リージョンB / 西日本データセンター

【11】WAN側に設置のサーバーへのアクセス

WAN側に設置のWebサーバーへのアクセスについても、認証対応のリバースプロキシ経由でアクセスさせることができます。既存Webの「認証が弱い」もしくは「認証がない」場合にも、認証対応のリバースプロキシ経由でのアクセスに限定することにより、セキュアなWebアクセスができます。

終わりに

詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。