Safario (サファリオ)

Safario (サファリオ)
(USB型 シンクライアント「Safario V4」「Safario-WX」)
ご紹介資料
ネーミング 「サファリオ SAFARIO」 とは、
SAFE (英) 安全な、無事な、大丈夫
ARIO (伊) 性質、機能、役割
最高レベルのセキュリティを具備し、情報資産を確実
に保護するシステムであることを表現しています。
2013年 3月
Ver_4.0.3
OCS CONFIDENTIAL
© Copyright 2013 Oki Consulting Solutions Co., Ltd.
1.こんなことでお困りではありませんか?
B:boot, V:Virtual, W:Windows
S:Server, P:PC
モバイルPCを持ち歩くのは不安で大変
B/S V/S W/S
B/P V/P W/P
PCの紛失、損傷、盗難などが心配
外出先でのメールのダウンロードに時間がかかる
重くて腰を痛める
でも、PCを持ち歩かないととても不便
緊急時でも、メールも見ることができない。
外出が続くと、メールボックスがあふれてしまう。
1,2時間の資料作成のために出社しなければならない。
資料の確認、承認のためだけに出社しなければならない。
複数の席にそれぞれPCを置いてあるが、あるPCで
ダウンロード・発信したメールは他のPCで見ることができない。
これらの「困った」を
これらの「困った」を
USBシンクライアントSafarioが
USBシンクライアントSafarioが
解決します。
解決します。
【USB型シンクライアントSafarioなら】
PCは会社に置いたまま、持ち歩く必要なし
自宅の私物PCから会社にアクセス(BYOD)
会社のデスクトップがそのまま手元で再現されます
セキュリティは万全、情報漏えい等をしっかりガード
OCS CONFIDENTIAL
© Copyright 2013 Oki Consulting Solutions Co., Ltd.
2
2.Safario(サファリオ)システム構成
B/S V/S W/S
B/P V/P W/P
SafarioトークンをUSBポートに挿入するだけで社内と同じデスクトップを利用可能
自宅/外出先/出張先を問わず同一の作業環境で業務が可能
PCにデータを残さないので情報漏えいのリスク無し
「Safario」トークンを挿入するだけでシンク
ライアントに変身、会社のデスクトップ画
面情報だけが転送され情報漏洩はなし
USBメモリ、CDROM等可搬媒体への書
込み不可
自宅
デスクトップPC
ノートPC
GW/MGでの個人認証/トークン
個体認証でセキュリティ確保
「Safario」 GW/MG
VPN通信により、NWの安全
性を確保
ファイアウォール
インターネット
ノートPC
ネットブック
ファイアウォール
Windowsターミナルサーバ
VDI 環境
「Safario」トークン
外出先
社内
自席PC
Windowsターミナルサーバ、
VDIサーバや自席PCへのリ
モートログオンが可能。
どこからでも自分のデスクトッ
プ上で業務実施
メールシステム
イントラWeb
ファイルサーバ
プリンタ
社内共有システム
「Safario」トークン
OCS CONFIDENTIAL
© Copyright 2013 Oki Consulting Solutions Co., Ltd.
3
3.利用形態(社内・社外からのアクセス形態)
ターミナルサーバ/VDIサーバのほか、自席のデスクトップPCにもログオンできます。
サーバ (WTS/VDI)接続方式
B/S V/S W/S
ユーザはターミナル(WTS)サーバ/VDIサーバにログオンします。
ユーザのAP(MS-Officeなど)は サーバ上で動作します。
ユーザが使用するPCは シンクライアント端末として動作します。
会社PC
(会社T/C**)
ターミナルサーバ
(WTS サーバ*)
VDIサーバ
Safario
Safario
GW/MG
自宅 PC
Safario
社用モバイルPC
会社PCからでも利用可能
(会社PCをT/Cとして使用可)
社内共用システム
Internet/
モバイルNW
VPN接続
メールシステム
Safarioは両接続方式を
同一トークンでサポートしています。
自席PC
イントラWeb
ファイルサーバ
自席 PC 接続方式
ユーザは自席PCにログオンします。
ユーザのAP(MS-Officeなど)は自席PC上で動作します。
ユーザが外部で使用するPCは シンクライアント端末として動作します。
リモートから自席PCの電源ONが可能です。(WOL機能標準装備)
社内では 自席PCを使用
プリンタ
B/P V/P W/P
*WTSサーバ:Microsoft Windows Server Terminal Service
**T/C:Thin Client
OCS CONFIDENTIAL
© Copyright 2013 Oki Consulting Solutions Co., Ltd.
4
4. Safario システムの機能と特長 – 1/10 全般
B/S V/S W/S
B/P V/P W/P
USB シンクライアント
USBトークンにシンクライアントとして利用するために必要な機能、環境を一体化して内臓しました。
既存PC端末でUSBトークンからSafarioを起動すると上記のシンクライアント環境が立ち上がります。
既存PCには事前準備は一切不要、設定変更や事前のソフトインストールなど一切なしにシンクライ
アント専用端末と同様の利用が可能となります。
特長(セキュリティ)
既存PCのHard Disk, 他のUSBポート, プリンタポートおよびSoftware (OS, AP)へのアクセスをガード、情報漏えい等
に繋がる危険を排除しています。(オプションにより利用を許可できます。ご相談ください。)
利用者によるウイルス/ワーム感染拡大の心配なし
利用者によるデータのコピーによる情報漏洩なし
HDDへの保存不可、CD-R等への書込み不可、記憶媒体への書込み不可(オプションで許可可能)
情報が一切PCに残らないため、PCの紛失・盗難にあっても情報資産の漏洩は免れる
導入効果(既存資産の活用)
既存PCの利用や古いPCを廃棄することなくシンクライアントとして活用することが可能です。
PCのライフサイクルを延長でき、低コストで、よりセキュアなServer Based Computing /VDI 環境を実現でき
ます。
既存PC
既存PCのシンクライアント化ソリューション
=
OCS CONFIDENTIAL
Safario トークン
+
© Copyright 2013 Oki Consulting Solutions Co., Ltd.
5
4. Safario システムの機能と特長 – 2/10 モデルと動作モード
従来からの「Safario V4」に、新たに「Safario-WX」が追加されました。
主要機能と特徴
分類
項目
動作モード
シンクライアント
機能
セキュリティ
モデル
Safario V4
VDI 対応
カスタマイズ
ユーザから見た
使い分け視点
記事
Safario-WX
ブートモード
仮想モード
Windowsモード
(トークン内蔵のOS下で動作
します)
(Windows OS上の仮想OS下で
動作します)
(Windows OS下の実行プログラ
ムとして動作します)
対応サービス
• MS RDS(標準)
• Citrix XenApp(カスタマイズ対応)
• MS RDS (標準)
• MS RDS (標準)
• Citrix XenApp, XenDesktop (カスタマイ
ズ対応)
• VMware View (カスタマイズ対応)
画面サイズ
• ∼1920*1080(FHD)
• ∼1680*1050
• Windows機能による
音声
• 下り音声サポート
• 音声サポート無し
• 上り/下り音声サポート
情報漏洩抑止
• 端末側Local資源(HDD, USB,
Printer) 利用不可
• Copy/PasteおよびPrint Screen不
可
• 端末側Local資源(HDD,USB,
Printer)利用不可
• Copy/PasteおよびPrint Screen不可
• 端末側Local資源
(HDD,USB,Printer)利用不可
• Copy/PasteおよびPrint Screen不可
• 仮想Firewall(NAT)
•VPN経路への不正アクセス防止
• ウィルス検疫状態チェック
• トークン個体認証/ユーザ認証
• VPN暗号化
•ウィルス検疫状態チェック
•トークン個体認証/ユーザ認証
•VPN暗号化
不可
対応可能
対応可能(機能制限あり)
対応可能
• PCの設定不要
⇒大規模導入への適用性大
運用/サポート負担軽減
• 動作(体感速度)が他モードより遅い
• PCの設定不要
⇒大規模導入への適用性大
運用/サポート負担軽減
• 端末側Local資源(Printer, Bar code,
SoftPhone等)利用へのカスタマイズ
不正侵入,改竄,なり • トークン個体認証/ユーザ認証
すまし,盗聴防止
• VPN暗号化
不可
PC側デバイス制御な 対応可能(機能制限あり)
どに対するカスタマイズ
• 旧型PCのシンクライアント化によ
る延命活用
• PCのBIOSの設定 (ブートデバイス)
が必要となる
B/S V/S W/S
B/P V/P W/P
OCS CONFIDENTIAL
© Copyright 2013 Oki Consulting Solutions Co., Ltd.
6
4. Safario システムの機能と特長 – 3/10 起動方式-1
B/S V/S W/S
B/P V/P W/P
1.Safario V4
① Safarioのブート(Boot)モード
• パソコンのハードディスクと完全に切り離された起動
• パソコンのUSBポートに Safario を挿入し電源をONすることで、Safario トークンからLinux及びシンクライアント
ソフトが起動します。 パソコンのハードディスク上のWindows OSは起動しません。
• Safarioのブートモードの特長
• PCのハードディスクは一切使用しません。ディスクレスのPCでもシンクライアント端末として利用できます。
• このため、Windowsのウィルスやセキュリティパッチの未対応などからの脅威から保護されています。
• 更に、USBトークンへの書込み禁止、カスタマイズされたLinux OSなど、安全性を高める工夫がなされており、
ウィルスなどの感染の心配がありません。
• 組み込みソフトを必要最低限に絞り込むことで起動時間を短縮、全般的に「軽快な動作」を実現しています。
•Safarioをブートモードで利用する際の注意点
• はじめてSafario を利用する際は、PCのBIOS設定(起動順位)変更が必要となる場合があります。
• 古い型のパソコンでもバーチャルモードがご利用になれます。
ブート(Boot)モード
Desktop転送
Client
VPN Client
PC内蔵のHDD不使用
PDF Viewer
Web Browser
認証機構
Fire Wall
Drivers
Linux OS
Windows OS
OCS CONFIDENTIAL
© Copyright 2013 Oki Consulting Solutions Co., Ltd.
7
4. Safario システムの機能と特長 – 4/10 起動方式-2
B/S V/S W/S
B/P V/P W/P
1.Safario V4(続き)
② Safarioの仮想(バーチャル)モード (VM)
• Windows 上で仮想OS(Linux)を起動
• Windows起動中に、パソコンのUSBポートに Safario を挿入することで、Safario トークンから仮想OS(Linux)及
びシンクライアントソフトが起動します。 パソコンのWindows OSと仮想OSは隔離されています。
• Safarioの仮想(バーチャル)モードの特長
• Safarioには、VPNクライアント機能や認証機能があらかじめ組み込まれています。
• Windows内に、別のバーチャルマシンを構成し、内蔵されたNAT機能で守られるため、Windows上のウィルス
などには影響されません。
• 更に対策を厳重にするため、Windowsに搭載されているアンチウィルスソフトの正常性、有効性をチェックし、
安全な場合のみSafarioが起動するようになっています。
• USBトークンへの書込み禁止、仮想OS(Linux)の適用など、ブートモードと同様にセキュリティが確保されてい
ます。
Desktop転送Client
バーチャルモード(VM)
VPN Client
認証機構
Fire Wall
Safario
Launcher
Linux OS
Windows上に独立
したバーチャルマ
シンを生成
Windows
Applications
QEMU (仮想化)
ウイルス対策
ソフトウェア
Drivers
Windows OS
Windows OS
OCS CONFIDENTIAL
© Copyright 2013 Oki Consulting Solutions Co., Ltd.
8
4. Safario システムの機能と特長 – 5/10 起動方式-3
B/S V/S W/S
B/P V/P W/P
2. Safario-WXのWindowsモード
• Windows 上のアプリケーションとしてSafarioを起動
• Windows起動中にパソコンのUSBポートに Safario を挿入することで、Windows上でシンクライアントソフトが起
動します。 Safarioのセキュリティ制御により、Windows上の他のソフトからの影響は受けません。
• SafarioのWindowsモードの特長
• VPNクライアント機能や認証機能、各種セキュリティ機能はあらかじめSafarioトークンに組み込まれています。
• 更に対策を厳重にするため、Windowsに搭載されているアンチウィルスソフトの正常性、有効性をチェックし、
安全な場合のみSafarioが起動するようになっています。
• USBトークンへの書込み禁止など、セキュリティに関しては、Safarioと同等の機能が確保されています。
• Linuxによる制限をなくすことにより、PC上の操作性がスムーズになりました。また、様々なVDI 環境との接続
を可能としました。(オプション)
• 同様に、様々な周辺デバイスの制御を組み込むことが可能です。音声デバイスの組み込みによるソフトフォン
連携、またバーコードリーダとの連携による作業現場での活用など、シンクライアントでありながら活用のシー
ンを大幅に広げることが可能となりました。(オプション)
Desktop転送Client
Windowsモード
VPN Client
VPN保護
認証機構
Safario
Launcher
Windows
Applications
ウイルス対策
ソフトウェア
Drivers
Windows OS
Windows OS
OCS CONFIDENTIAL
© Copyright 2013 Oki Consulting Solutions Co., Ltd.
9
4. Safario システムの機能と特長 – 6/10 認証機能
B/S V/S W/S
B/P V/P W/P
豊富な認証機能、RSA認証(SecurID)にも対応
・ USBデバイスの固有IDなどで認証し、更にPINによる所有者の認証を標準で装備
・ 独自のVPN接続によりネットワーク上での情報漏洩等の防止
・ ユーザごとに利用するアプリケーション(サーバ)を指定(制限)が可能
Safario
Gateway/Manager
Safario トークンを装着&立上げ
パスコード 要求
装置 ID 認証
認証機能でのセキュリティ確保
は、操作性とのトレードオフとな
ります。
Safarioではお客様の状況に合わ
せて取捨選択できます。
① デバイス認証 (トークン)
パスコード
VPN 接続
RSA認証(SecurID)
・リモートデスクトップ
・Webブラウザ 等
アプリケーションの起動
ログイン画面
ID
PASS
② 所有者認証(PIN)
VPN 接続
③ VPN接続 (ネットワーク)
オプションでRSAの追加が可能
+ OTP
ID+PIN
SSH - VPN
アプリケーション選択画面
PIN 認証
アプリケーション一覧
(接続先制限)
④ AP選択 (サーバ)
⑤ Windowsログオン認証 (TS)
アプリケーションサーバへ
接続
WTSサーバ
Xen Appサーバ
認証
サーバ
(既設)
クライアント利用
クライアント利用
OCS CONFIDENTIAL
© Copyright 2013 Oki Consulting Solutions Co., Ltd.
10
4. Safario システムの機能と特長 – 7/10 USBトークン
B/S V/S W/S
B/P V/P W/P
USB トークン 本体の 特長
・洗濯してしまっても利用可能な防水機能、落ちても、落としても損傷が無ければ使用可能
・USBコネクタの、PCなどへの挿抜は3倍以上(一般品は1500回程度)
・隣接するUSBコネクタなどの邪魔にならないコンパクト&スリムな形状
- USBトークンの基本仕様
① ロングライフです
USBコネクタの、PCなどへの挿抜回数5,000回保証。1日4回挿抜して、5年間持ちます。(通常は1,500回
程度です。)
② 防水仕様です
コーヒーをこぼしても、ポケットにいれたまま洗濯機で洗濯してしまっても、トイレに落としても大丈夫。水
道水でよく洗い、 水気を拭き取って乾かせば、通常元どおり使えます。
③ 強固なデータ保護機能
落としても、ひろった人がパソコンに挿してもデータは見えません。MacやLinuxでも見えません。
メモリーチップを取り出し、データを読み出しても暗号化されているためデータは見えません。
OCS CONFIDENTIAL
© Copyright 2013 Oki Consulting Solutions Co., Ltd.
11
4. Safario システムの機能と特長 – 8/10 ゲートウェイ/マネージャ
B/S V/S W/S
B/P V/P W/P
Safario GW/MG(ゲートウェイ・マネージャ)の機能
・SafarioとSafario GW/MGとの間で、SSH-VPNによるセキュリティの高い通信路を確立
・Safario GW/MGにはサーバ用ソフトウェアタイプと、アプライアンスタイプがあり、小規
模から大規模まで柔軟に対応可能なゲートウェイ機能
・使いやすいユーザ管理機能を提供(マネージャ機能)
Safario GW/MG
RSA認証サーバ
IP Network
(社内/社外
ネットワーク)
ターミナルサーバ
F/W
単一サーバ
F/W
トークン側で複数のGWへの順次
接続、ランダム選択接続可能
負荷分散、異常時対策
社 内 システム
メールシステム
二重化/複数設置
/機能分散
アプライアンス
イントラWeb
ファイルサーバ
プリンタ
使い易い操作性及
び、管理者へのメー
ル通知機能など保
守性重視
F/W: ファイアウォール
OCS CONFIDENTIAL
© Copyright 2013 Oki Consulting Solutions Co., Ltd.
12
4. Safario システムの機能と特長 – 9/10 WOL
B/S V/S W/S
B/P V/P W/P
自席PC接続における遠隔電源投入機能: WOL(Wakeup on LAN)
• 社内の自席PCの電源が切断されている場合にはリモートログオンできません。このとき、外部から自席
PCの電源を投入するWOL機能をGW/MG機能として標準搭載しています。
• またSafario GW/MGとは異なるセグメントのPCの電源を投入する場合にWOL機能を中継するSafario
WOL Boxもご用意しています。
自宅、外出先、出張先
GW/MGと異なるセグメントの場合
Safarioトークン
自席PC (対象とPC)
①
②
④
Router
③
Internet
Internet
MagicPacket
Safario
WOL
Box
社内セグメント m
③
Safario GW/MG
④
操作手順
GW/MGと同一セグメントの場合
社内セグメント n
① VPN接続
② アプリケーションリストから対象PCの電源投入を選択して
接続ボタンクリック
③ (対象PCが立ち上がるまで数分待つ)
④ 通常のアプリケーション接続操作を行う
OCS CONFIDENTIAL
© Copyright 2013 Oki Consulting Solutions Co., Ltd.
13
4. Safario システムの機能と特長 – 10/10 秘匿データ領域
B/S V/S W/S
B/P V/P W/P
秘匿データ領域 (本機能は管理者によりユーザへの適用可否が選択できます)
・Safarioトークンの内部に、クライアントPC(Windows)から切り離された秘匿データ領域を保有
・秘匿データ領域の利用者・使用可否をお客様のシステム管理者様で設定可能
・許容されたサーバからPDF形式ファイルをSafarioトークンにダウンロードし、閲覧、プレゼンテーション可能
・Safarioトークンに格納したデータは取出し不可(二次流出防止)
①会社又は、外出先からサーバーへ接続し、必要な
PDF資料をSafarioの秘匿領域へ格納
オフラインでもPDF資
料によるプレゼンテー
ションが可能
②秘匿領域へは
パスワードにより
接続
③Safarioクライアントで
アプリケーションマネージャを
開いた後、PDF資料を表示
④PDF資料名およびPDF資料の表示(プレゼンテーショ
ン)のみ可能。
※PCでUSBとして使用しても、秘匿領域は見えない。
OCS CONFIDENTIAL
© Copyright 2013 Oki Consulting Solutions Co., Ltd.
14
5.製品構成
使いやすさと可搬性に優れたUSBシンクライアントと
安全・安心・堅牢なサーバソリューション
B/S V/S W/S
B/P V/P W/P
Safario / Safario-WX トークン(USB型シンクライアント)
可搬性に優れ、いつでもどこでもパーソナライズされたシンクライアント環境が実現できるUSBスティックタイプのシンクライアントです。
専用のシンクライアント端末やソフトウェアは必要ありません。既存PCがそのままシンクライアント端末として活用できます。
Safario GW/MG ソフトウェア (サーバ搭載用版)
IPネットワーク/Internet 経由で利用した場合にも安全安心に使うための Safario Gateway/Manager とアプリケーション利用のための
サーバーソリューション(ソフトウェア)をご提供いたします。
サーバベース方式(Microsoft Terminal Service)、仮想PC方式(VMware)、ブレードサーバ方式等に対応し、堅牢なサーバと監視
を組み合わせた構成で利用者にアベイラビリティを提供します。
Safario GW/MG アプライアンス(小規模ユーザ向け)
Safario Gateway/Manager搭載に必要なサーバハードウェアを、ご要望に応じてご提供が可能です。
アプライアンスとして、動作確認、性能評価等を実施、安心してご利用いただけます。
(Safario 10∼50ユーザの小規模構成に向いています。)
Safario WOL Box(自席PCへのWake On LAN中継機構)
Safario Gateway/Managerからの自席PC電源投入指示を中継します。
自席PCがGateway/Managerとは異なるLAN Segmentに所属する場合、既存ネットワークのポリシー変更なしにWake On LANが可
能となります。(自席PCの所属するSegment毎に設置が必要です。)
OCS CONFIDENTIAL
© Copyright 2013 Oki Consulting Solutions Co., Ltd.
15
6.既存システムとの相互接続性と新システムへの移行
GW/MG V3.2
Safario V3.2 以前
V3.2からV3.3へ バージョンアップする場合
・ GW/MGのアップデート(アップデーターを使用)
・ DB内のユーザデータのキー長変換(変換ツールを使用)
・ 変換後は、PIN再設定が必要
Safario V3.3
GW/MG V3.3
V3.3からV4へ バージョンアップする場合
・ GW/MGのアップデート(アップデーターを使用)
Safario V4.1
GW/MG V4
Safario-WX
(V4.1)
★ 旧バージョン(V3.2)のGW/MGを最新版にアップデートすることにより、すべてのバージョンのトークンが使用可能となります。(有償)
OCS CONFIDENTIAL
© Copyright 2013 Oki Consulting Solutions Co., Ltd.
16
ありがとうございました。
OCS CONFIDENTIAL
© Copyright 2013 Oki Consulting Solutions Co., Ltd.
17