一般的なオンラインストレージは、Web GUIからのアクセスをサポートしており、ID/Passwd認証でログインが出来ます。

NAS	認証

【リバースプロキシ&多要素認証】

リモートワークなどで社外から、社内のNASへアクセスさせる場合にはリバースプロキシを利用します。その際に、リバースプロキシの認証機能を利用して多要素認証や2段階認証などを追加でNASへのアクセスを行います。認証対応のリバースプロキシを経由することでNAS側の変更をすることなく認証機能を強化する運用が可能です。

• 社内からは 「ID/Passwd認証」 でNASへアクセス
• 社外からは 「認証機能の追加のリバースプロキシ」 経由でNASへアクセス

【認証機能に対応のリバースプロキシ】

認証機能に対応のリバースプロキシとしては、各種の認証機能を有する　 Powered BLUE アプライアンスが利用できます。

リバースプロキシでの認証機能としては

• ワンタイムパスワード認証
• SSLクライアント認証
• SAML認証
• OIDC認証
• AD認証
• FIDO2生体認証

などに対応しており、自社のポリシーに適した認証を追加して運用ができます。

【SSLクライアント認証時のアクセス】

SSLクライアント証明書　　有効

SSLクライアント証明書　　無効

【SSLクライアント認証時のアクセスコントロール】

有効なSSLクライアント証明書を有している場合でも、アクセスコントロールを設定可能です。

1. 　組織や部門でのアクセス制限
2. 　曜日や時間帯でのアクセス制限
3. 　特定ユーザーでのアクセス制限
4. 　端末を紛失したＡさんのアクセス禁止

【ワンタイムパスワード認証】

Google Authenticatorなどの無償のソフトウエア・トークン＆QRコードに対応

【idP連携の代理認証でのSSOアクセス】

OIDCやSAML認証に対応していない社内のWebやレガーシーなWebシステムでも、idP / iDaaS と連携を行いシングルサインオンを行う方法として

• OIDC認証やSAML認証に対応のID認識型リバースプロキシ

を利用して、ユーザーの「代理入力」を行い「代理認証」でWebシステムへシングルサインオンをします。構成に際してWebの改修は不要です。またWebシステムのOSにも依存しません。

【SSOリバースプロキシ・アプライアンス製品】

リバースプロキシは、SAML / OIDC認証に対応のSSOリバースプロキシ・アプライアンス

「Powered BLUE ReverseProxy for SSO / IDaaS」

で構築運用します。

【idP連携でのOIDC/SAML認証のリバースプロキシからWebへ代理入力＆SSO】

「Webシステム」は WAN / DMZ / LAN の任意の場所の設置に対応しています

【代理認証】

OIDC / SAML認証に対応のリバースプロキシからターゲットWebへ「ID / パスワード」の代理入力を行います。

1. ユーザーから「ID / パスワード」の入力不要
2. ターゲットWebを「SSOのメンバー」として構成

【代理入力のSSO利用ステップ】

1. SAML / OIDC認証対応のリバースプロキシへアクセス
2. 初回のみ  idP へアクセス
3. idP の認証後にリバースプロキシからバックエンドのWebへユーザー情報を代理入力
4. バックエンドのWebへ自動ログイン

【Powered BLUE アプライアンスの構成】

• OS  RedHat 8.x / RockyLinux 8.x 対応
• Web / DNS / SMTP / IMAP / POP
• DKIM / DMARC / SPF（送信元ドメイン認証）
• 各種の認証に対応のリバースプロキシ
• Let’s  Encrypt  対応

【Powered BLUE アプライアンスの簡単運用】

ひとり情シスでの運用にも対応

• サーバーの自己監視機能やサービスの自動再起動機能
• パッチのスケジュールアップデート機能
• 管理者への通知機能
• GUIでのサーバーやアプリの設定

【Powered BLUE アプライアンスの運用先】

• VMware / Hyper-V
• AWS / Azure / FUJITSU Hybrid IT Service FJcloud-O (富士通) / WebARENA / VPSなど

【WAN側に設置のサーバーへのアクセス】

WAN側に設置のNASへのアクセスについても、認証対応のリバースプロキシ経由でアクセスさせることができます。既存の社内NASサーバーをWAN側に移設する場合でも、認証対応のリバースプロキシ経由でのアクセスに限定することにより、セキュアなWebアクセスができます。

【ログの長期保存＆ローテーション】

任意期間のログ保存

ログは毎日ローテーション（365日ｘ5年=1825回）を行い、保存期間は5年間での運用の例

受信ログの指定キーワードでのトラップ＆メール通知

• 　アラートには任意のキーワードでトラップを設定
• 　トラップが連続した場合でも、送信メールの間隔を設定
  （例　xxx のキーワードを検知の場合、900秒間隔でのメール送信通知）

【デモサーバー】

Powered BLUEの　　デモサーバー

１）ZIP暗号化でのメール送信を行わない
２）ZIP暗号化のメールファイルを受信しない
３）ファイル送信はオンラインストレージを利用

の企業も増えております。

ZIPファイルを受信をしない相手先の事例

ZIPファイル受信不可　/ 外部ストレージ利用不可　/  自社専用ストレージの利用を指定

SaaS オンラインストレージ利用禁止

企業で利用の場合、PマークやISMS認証（ISO27001 ）などの取得や社内の情報管理のトレースなどの関係上、SaaSなどの第3者が運用する共有ストレージを利用して相手先とのファイル送受信を禁止しているケースがあります。

自社で運用できるオンラインストレージ

添付ファイルの分離ダウンロード機能を有した、自社で運用できるオンラインストレージ機能を有した製品としては、「Powered BLUE Mailplus」があります。

製品の機能

・メール添付ファイル分離してURLダウンロード形式で送信
・メール添付ファイルの保管
・URLダウンロード時のWeb認証
・大容量ファイルの送受信（双方向・オンラインストレージ機能）
・受信メールの2重配送＆htmlメールのtextメール化

の機能をもつ「自社管理の元での運用」に対応のアプラアイアンスです。任意の場所での運用が出来ます。

脱PPAP対応　添付ファイルの自動ダウンロード送信

• 送信者は、従来同様にメール添付ファイルを送信する操作のみ
• 添付ファイルの自動分離＆保管
• システムからのURLの自動送信
• 誤送信時のURLの送信キャンセル機能
• 添付ファイルは指定時間後に自動削除されます（任意での削除にも対応）

各種のWeb認証対応

受信先のユーザーがWebダウンロードする際には

• ランダムURL ( 認証無し ）
• Basic認証 / ワンタイムパスワード認証 / AD認証 / SAML認証 / SSLクライアント認証

などの多彩な認証での運用に対応しています。

アカウントの作成なしでWeb認証に対応

ユーザーアカウントを作成することなくWeb認証を設定する場合には、

• ランダムURL　＋　SSLクライアント認証

構成ので運用が可能です。

大容量ファイルの送受信

電子メールで送信できない大容量ファイルに関しては、メールプラスのアップローダー機能を利用して

• 　双方向でファイルのやり取りをする

ことができます。

アカウントを作成することなく相手先からのファイルも受信できます。またアカウントを作成することなくWebの認証をすることも可能です。

構成例

既存のメールサーバー環境に簡単に導入が出来ます

• 中継メールサーバーとして追加

• GsuiteやOffice365、クラウドのメールなどを利用の場合でも導入が出来ます

既存のメール環境はそのままで、大容量ファイル送受信機能での利用が出来ます

• メール環境は既存のシステムを利用
• 大容量ファイルの送受信機能を利用

運用先

仮想アプライアンスでの提供

VMware ESXi / Hyper-Vに対応
仮想基盤にインポートするだけで、すぐに運用が開始できます。

クラウド対応

AWSやAzure、VPSなどの環境での運用に対応しています。

デモサイト

Powered BLUE のデモサイトを用意しています

各種操作や認証設定などの動作を確認することが出来ます

デモサイト

終わりに

デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの  お問い合わせフォーム からご連絡ください。