既存のWebサイトへアクセスする際に、FIDO2/WebAuthn対応のリバースプロキシの生体認証(指紋認証)で「本人確認」を行った後に、既存のWebへアクセスさせる構成です。
生体認証に対応のリバースプロキシは、NTTPCコミュニケーションズが提供する10Gbpsの広帯域VPSサーバーの 「WebArena IndigoPro 」環境に構築&運用します。
リモートワーク時にWebサイトへアクセスする場合に「なりすまし」を防止するために、生体認証機能のリバースプロキシを利用します。リバースプロキシを利用することでターゲットWeb側を改修することなく導入できます。生体認証を利用することでパスワードレス認証でターゲットWebへアクセスが出来ます。
【必要な機器や環境】
ユーザー側 |
PC(汎用) |  |
 |
| ブラウザ | |
||
| 生体認証器 | |
|
|
システム |
生体認証対応リバースプロキシ | |
|
運用先 |
WebArena IndigoPro |  |
【FIDO2規格】
FIDO2は、Webサービスで生体認証を行いパスワードレス認証に対応の統一規格です。FIDO2は、CTAPとWebAuthnの2つの規格から構成されています。
- CTAP(利用者側の認証機器とブラウザ間の規格)
- WebAuthn(ブラウザとRPサーバー間の規格)
FIDO2では、
認証器(セキュリティ・キー)を利用することにより「なりすましを防止」してパスワードレス認証を行います。
【生体情報の保護】
FIDO2では生体情報が保護されます
生体情報は、利用者側が保有する「認証器」内に保存&保護されます
公開鍵暗号化方式(公開鍵・秘密鍵)を利用、生体情報は「認証器」外へ漏洩しません
【FIDO2生体認証のメリット】
FIDO2による生体認証の特徴は
- パスワードを覚える必要がない ( パスワードレス認証 )
- 生体情報はユーザー側の「認証器」内に保護 ( 生体情報の漏洩防止 )
- 第3者がユーザー側の「認証器」を利用しても、認証されません(なりすまし防止)
【FIDO2対応のブラウザ】
現在の主要なブラウザはFIDO2に対応しており、ご利用のブラウザをそのまま利用できます。FIDO2に対応のブラウザは
- Chrome
- Edge
- Firefox
- Safari
【生体認証】
FIDO2対応の生体認証には
- 指紋認証
- 静脈認証
- 顔認証
- 虹彩認証
などがあります。これらの認証方式から、使いやすい「指紋認証」を選択して利用します。
【指紋認証の特徴】
- 10本の指が登録でき、どの指でも認証ができる
- 認証精度が安定している
- 認証器が豊富
- USBタイプはPCへの接続が簡単
- 汎用のPCで利用できる
- Windows10の標準機能で指紋登録ができる
【今回の構成】
生体認証対応のリバースプロキシ・システムとしては、「Powered BLUE Reverse Proxy for Biometrics」を利用して「WebArena IndigoPro」上で運用します。
【WebArena IndigoProの特徴】
- 10Gbpsの高速回線(ベストエフォート)
- 固定IP=1個
- セルフ監視機能
- フェイルオーバー機能(HA)- 標準装備
- SLA
- 簡易Firewall
- リモートコンソールでのサーバーへのアクセス
- VPSのスペック変更可能
- リージョン(東日本・西日本)
- 自動バックアップ
- 大容量ストレージ
- UTM
- ヘルプデスク
などです。
VPS費用や自動バックアップなど月額上限費用が決まっているため、予算内でのVPSの運用が可能です。またセルフ監視機能により「ひとり情シス環境」での運用にも対応しています。
ロードバランサー機能を使いたい場合には、UTMの利用が可能です。
【WebArena IndigoProでの構築】
「WebArena IndigoPro」上にインスタンスを作成します
- サーバータイプ選択
- HDD サイズ選択
インストールするOSなどを選択します
- 任意のISOからのインストールも選択できます
Powered BLUE のセットアップ
「Powered BLUE Reverse Proxy for Biometrics」の設定
セットアップウィザードから「Powered BLUE サーバー」の設定を行ないます。
Networkなど
- IP/Gateway/DNSなどは、IndigoPro基盤側から自動でアサインされます
【リバースプロキシの設定】
「Powered BLUE Reverse Proxy for Biometrics」へリバースプロキシ先を登録します
- 複数のリバース先 / バックエンドの設定に対応
- リバース先のポート( http / https / 任意のポート番号)に対応
- 終端までSSL通信での運用に対応
- リバースプロキシーのWebサイトに「 Let’s Encrypt 」 の利用が可能
- TLSレベルの選択が可能
【生体認証器】
生体認証としては、FIDO2対応の「指紋認証器」を利用します。USBタイプの指紋認証器は接続が簡単で便利です。
 |
|
 |
【指紋認証器の登録手順】
- 利用者はUSBタイプの「指紋認証器」をPCへ接続
- 利用者の指紋を「指紋認証器」へ登録
 |
 |
【Windowsでのセキュリティキー(指紋認証器)への指紋登録】
* Windows10/11ユーザーは、「Windowsの標準機能」を利用しての登録に対応しています
Windowsの「アカウント」設定項目のサインイン・オプションの「セキュリティキー」の登録機能から「指紋登録」が出来ます
1)アカウントを選択
2)サインインオプション&セキュリティキーを選択
3)セキュリティキー(指紋認証器)にタッチ
4)「セキュリティキーの指紋」のセットアップを選択
5)セキュリティキー(指紋認証器)にpinコードを設定
- 新規使用時や初期化時にpinコードを設定します
- pinコードは、指紋などの登録や再登録時にも使用します(重要)
6)本人の確認(指紋認証器に設定したPINコードの入力)
7)「指紋認証器」へ指紋の登録
8)指紋センサー(指紋認証器)にタッチ
同じ指でのタッチを、複数回繰り返し指紋を登録します
9)他の指も登録できます(合計10本まで)
【Webへのアクセス手順】
パスワードレス認証で運用のケース
(「認証器の所持認証」+「生体認証」の2要素認証 )
1)生体認証対応リバースプロキシへアクセス(IDのみ入力 / パスワードレス)
2)セキュリティキーにタッチ(指紋認証)
3)認証後にターゲットのWebへリダイレクト
3要素認証で運用のケース
(「パスワード認証」+「認証器の所持認証」+「生体認証」 の3要素認証 )
1)生体認証対応リバースプロキシへアクセス(ID & パスワード認証)
2)セキュリティキーにタッチ(指紋認証)
3)認証後にターゲットのWebへリダイレクト
【こんな場合に】
- Webアクセス時に確実な「本人確認」を行いたい
- パスワードレスでのWeb認証を行いたい
- 既存のWebサーバー側の変更はしたくない
- アプライアンスで運用したい
- ブラウザから利用したい
- 海外や出張先のホテルからも安全にアクセスしたい
- VPNは負荷が高いので使いたくない
- ひとり情シスで運用したい
- HAに費用はかけられないが、HA機能は必要
- 国内法が適用されるクラウド基盤で運用したい
【デモサイト】
Powered BLUE のデモサイトを用意しています
操作や動作を確認することが出来ます
ご不明な点などは、ムービットの お問い合わせフォーム からお問い合わせください