Trusted Gateway サービス概要

Trusted Gateway(以下、TG)は、様々なテレワークの利用シーンに共通したセキュリティ基盤をオールインワンで提供します。企業規模、テレワーク形態、対象とする利用者の業務特性などに柔軟に対応し、効率的なセキュリティ対策を実現します。
F5 Networks 社の Access Policy Manager に弊社独自開発の機能を追加し、テレワーク利用に適した機能を提供します。

全体構成と用語

① 端末登録

セキュアで簡単な端末登録を実現します。

• 端末登録用ポータルサイトの提供
  端末登録は利用者毎に用意される専用ポータルサイトから簡単に登録可能です。
• セキュアな環境からの端末登録
  • PC端末
    社内LANからのみ接続可能なユーザ用ポータルサイトから登録し、不正な端末の登録を防ぎます。
  • モバイル端末
    社内LANからのみ接続可能なユーザ用ポータルサイトから発行されるワンタイムパスワードにより登録します。不正な端末の登録を防ぐとともに、外出先からの登録も可能です。
• 登録デバイスの制御
  登録可能なデバイスは、クライアントOSの種別・バージョン、TG Browserバージョン等で制御することが出来ます。
• 管理者の運用コスト低下
  端末登録は利用者自身での実施を前提とし、管理者様による登録作業の手間を省きます。
  万が一端末を紛失した場合にも、利用者自身でポータルサイトから該当端末をアクセス不可とすることも可能です。

■ スマートデバイスの登録は簡単5STEP！

■ PCの登録は簡単! 最短4STEP！

② ポリシー制御

• アクセス経路の一本化
  各種リソースへの入り口として、ユーザと端末のアクセス制御が可能です。
• ポリシーによるアクセス制限
  アクセス可能なデバイスをクライアントOSの種別、OSバージョン、アプリケーションバージョン等で制御することが出来ます。
  • ゲートウェイポリシー
    クライアントOSの種別、OSバージョン、TG Browser バージョン
  • VPNポリシー
    クライアントOSの種別、OSバージョン
• ユーザのアクセス制限
  管理者はユーザ単位でアクセス制御することが可能です。
• 端末のアクセス制限
  管理者およびユーザは登録済みデバイスからのアクセスを制御することが可能です。
  これにより、登録済みデバイスを紛失した場合でも、不正アクセスを防ぐことが出来ます。

③ 二要素認証

■PC端末詳細アクセスフロー

■スマートデバイス詳細アクセスフロー

• 二要素認証
  クライアント認証は全てのリソースアクセスにおいてニ要素認証を行い、強固なセキュリティをもってアクセス可能です。
• クライアント端末毎の適切な認証
  クライアント端末の種類や接続元により、適切な二要素認証を行います。
• 端末認証
  • PC端末
    機器内の固有情報（マザーボードS/N（Windows）、MACアドレス（Mac））を利用します。
  • モバイル端末
    デバイスID（トークン）を利用し、アプリケーションに付与されたユニークな値を利用します。

④ SSO

Saasで多く利用されている SAML2.0 に対応し、シングルサインオンによるアクセスを提供します。

■PCによるSSOアクセスイメージ

■スマートデバイスによるSSOアクセスイメージ

⑤ Trusted Gateway Browser

• 専用ブラウザ 「Trusted Gateway Browser」 (以降、TGB)
  マルチデバイス対応、高度なセキュリティ、高い利便性を併せ持ち、テレワークを支援します。
  シンクライアントのように端末にデータを残さず、安全にwebシステムを利用できます。
  アプリケーションは「App Store」、「Google Play」から入手が可能です。

• 情報漏洩とデータ持ち出しの禁止
  指定したファイル形式（.pdf、.txt、xlsx、ppt、doc等）のダウンロードを禁止することが可能です。（ダウンロード禁止でも、pdf ファイルは参照のみ可能です）
  コピー&ペーストの禁止
  URL入力の禁止
• スクリーンショットの制御（iOSは対象外）
  ブラウザ画面のスクリーンショット撮影を制御可能です。
• デバイスの登録と管理
  TGBのインストール端末は、QRコードとワンタイムパスワードの入力によってサーバへ登録可能です。
  ユーザはTGB上で自身の登録デバイスの一覧確認や、指定デバイスの登録を削除することが出来ます。
• シングルサインオン
  管理者が予め許可したクラウドサービスのみアクセスが可能です。
  Trusted Gateway へのアクセス以降、各サービスで「ユーザID/パスワード」を入力する必要はありません。
• 複数サーバの登録
  複数台(例：DR構成)の Trusted Gateway サービスを登録することが可能です。

⑥ SSL-VPN

SSL-VPN 機能単体のみご利用も可能です。
SSL-VPN 機能にポリシー機能と端末認証機能を組み合わせてご利用いただけます。

⑦ ポータルサイト

管理者および各ユーザに対してそれぞれポータルサイトをご提供致します。

• 管理ポータル
  管理者用のポータルサイト

• MyPortal
  ユーザ専用のポータルサイト

⑧ Trusted Gateway Controller

iApps^※を使用した弊社開発アプリケーション「Trusted Gateway controller」により、必要最小限の設定項目で容易に本サービスの構築作業を行うことができます。
※ iAppsとは BIG-IP APMの多岐にわたる設定項目を、用途・環境に応じた 「テンプレート」にまとめ、設定にかかる負荷を軽減する機能です。