端末自体の認証ではなく、業務システムやクラウドサービスなどネットワーク経由で提供されるサービスを認証強化することを目的とした製品です。業務システムやクラウドサービスなどをアプリケーションの修正なしで多要素認証化することが可能です。

Multi Factor Authentication（多要素認証）の略称です。

複数の認証方式の組み合わせや、個々のシステムごとに異なる認証方式の組み合わせを導入可能です。FIDO認証機能、ブラウザートークン機能を持つほか、「プラグインアーキテクチャ」によりさまざまな認証方式との連携が可能で、要件に合致した認証方式を柔軟に選択いただくことができます。

• IceWall MFA 機能（リンク先準備中）
• 技術レポート IceWall MFA 認証プラグインによる各種認証方式との連携（リンク先準備中）

リバースプロキシ方式のシングルサインオンで実現しています。Webアプリのログイン画面にリバースプロキシサーバーが自動でIDとパスワードを入力します（自動フォーム認証機能）

アプライアンス製品ではなく、ソフトウェア製品です。別途サーバーやクラウドサービスでOS環境をご用意いただく必要があります。

別製品です。IceWall MFAとIceWall SSOのバージョンは別々にリリースされます。

基本的にはすべての機能が使えます。

IceWall MFA は、IceWall SSO のWebシングルサインオンの技術をベースとして、特にそのログイン認証機能を多要素認証プラットフォームに進化させた製品です。

それにより、適用範囲がWebシングルサインオンからあらゆるシステムに対する認証強化にまで大幅に広がります。

新規のお客様へのご提案としては、基本的に機能が豊富かつ柔軟で適用範囲の広いIceWall MFA をおすすめいたします。 お客様の関連システム環境やご導入時期等によってはIceWall SSOの方が適している場合もありますので、ご相談ください。

業種、規模問わず、イントラネット、BtoC、BtoB向けの業務システムを運営する企業様向けに幅広く導入していただけます。特にリモートワークの推進に向けた認証強化をしたい、またアプリケーションを改修せずに認証強化したいお客様に特におすすめします。

なりすましリスク軽減

労働環境の変化に伴うなりすましリスクを利便性を損なわずに軽減し、場所を問わずアクセスできるITシステム環境を実現します。

広範囲・柔軟な保護

Webアプリケーションやクラウドサービスの改修は不要。改変が難しいSaaSを含む、幅広いWebアプリケーションの認証を強靭化します。

パスワード管理負荷軽減

パスワード管理からユーザーを解放し、パスワードの使い回しなど情報漏えいのリスクを軽減します。パスワード忘れによる問い合わせを減らし、管理コストと負荷を抑えます。

その他、以下のようなお悩みを解決するために導入いただくケースも多数あります。

オンプレミスの業務アプリが多数あり、認証方式が複数存在、多要素認証への移行が困難

クラウドサービスへの認証を集約できておらずセキュリティ面が不安

外出先や自宅など、社外からの業務アプリへのアクセスに対応したい

スマホやタブレットからのアクセスの際のユーザビリティを向上したい（ID・パスワード入力負担軽減）

• ユーザー観点
  システム毎にユーザーID・パスワードがある場合、普段利用していないシステムのパスワードが漏洩したことに気づくのが遅れる可能性があります。また多数のユーザーID・パスワードを覚えきれずメモに書いてしまうことにより情報漏洩のリスクが高まります。管理するユーザーID・パスワードを減らすことでこのようなセキュリティリスクが軽減されます。
• 管理者観点
  ログインやアクセスが集中管理できるようになると、ユーザーID・パスワードの漏洩等で不正アクセスの可能性があった場合、アカウントの即時停止といった迅速な対処が可能になります。多数の認証システムが分散して存在する場合、そのすべてにわたって迅速な対処をとるのは困難となります。シングルサインオンの導入により、ログインログやアクセスログを一ヶ所で管理することができるため追跡性が著しく向上します。
  さらにIDが一元管理されることにより、退職者のユーザーIDの消し忘れのような対策が取りやすくなります。

さらに多要素認証などで認証強化することにより、より強固なシングルサインオンシステムを構築することができます。

IceWall参考価格（リンク先準備中）をご覧ください。

はい、可能です。IceWall SSO をご利用のユーザ様向けにはマイグレーション用ライセンスをご用意しております。

使用可能です。IceWall MFA のライセンスに含まれています。

IceWall製品は日本ヒューレット・パッカードまたは再販パートナーからご購入いただけます。

構築サービスについては、日本ヒューレット・パッカードまたはインテグレーションパートナー、および構築パートナーよりご提供可能です。

• IceWall パートナー一覧

• 製品資料、デモ・製品紹介、お見積りのご希望、製品ご購入のご相談
  • 弊社営業担当もしくはお問い合わせ窓口にご相談ください。その他ご要望やご質問がおありの場合もお気軽にご相談ください。
  • 製品紹介資料につきましては、以下「お問い合わせ」の「Webフォーム」よりご要望を送信いただきますと、自動返信メールにてダウンロードページをご案内いたします。

評価版をご用意しています。詳しくはお問い合わせください。

対応しています。詳細は HPE IceWall FIDO2オプション（リンク先準備中）をご覧ください。

最新の対応状況はIceWall MFA FIDO2オプション 動作確認済認証器一覧をご覧ください。

可能です。

IceWallでは様々の条件によりアカウントロックすることが可能です。

例えば

• パスワードをあらかじめ設定された回数だけ連続で誤った際に、アカウントをロックします。
• 管理者から任意のユーザーに対してアカウントロックを行います。

同一アカウントによる同時ログインを禁止することは可能です。

禁止した場合、後からログインを行うユーザーの動作 を下記のように設定することができます。

• すでにログインしているユーザーを強制的にログアウトして、後からログインしてきたユーザーを有効にする。
• すでにログインしているユーザーを有効とし、あとからログインしてきたユーザーをログインさせない。

基本的にはCookieを利用したセッションIDを用いてセッション管理を行います。

ユーザーが正しいユーザーID/パスワードでアクセスすればIceWallはユーザーに対してセッションID　Cookieを発行します。セッションIDにより認証の確認を行うとともにユーザーのアクセス制御を行っています。

ユーザーがログアウトを行えばセッションIDは消去されます。

ユーザーID として英数字以外に使用可能な特殊文字は以下の通りです。

! % $ & @ _ - .

空白文字はサポートされません。また、「.」（ピリオド）はユーザーID の末尾には使用できません。

これら以外の特殊文字を使用した場合の動作については保証されません。

パスワード変更に関して、以下の設定が可能です。

• パスワード有効期限を設定することにより強制的にパスワード変更を行う
• パスワード有効期限長を設定
• 過去に使用したパスワード使用可否の設定
• 過去に使用したパスワード履歴の保存数設定
• パスワードに使用禁止にできる文字列の設定
• ユーザーIDと一致するパスワードの使用可否の設定
• パスワード長の設定
• パスワード使用可能な文字組み合わせの設定

ユーザーがパスワードを忘れた場合に、秘密の質問などを使用して安全にユーザー自身がパスワードをリセットすることが可能です。

IceWallの標準機能ではパスワードが非可逆のハッシュ化(MD5、SHA、SHA256)形式もしくはプレーンテキストによりDBに保存されます。またお客様が独自に開発した暗号化アルゴリズムを組み込むこともできます。

IceWallサーバーがバックエンドWebサーバーの認証方式にあわせて自動代行ログインを行います。

例1：バックエンドWebサーバーの認証ID/パスワードを認証DBに登録し、IceWallサーバーでその情報をHTTPヘッダに埋め込みバックエンドWebサーバーへ送信します。

例2：CGIやServletなどで作成された認証については、HTMLフォームを使用して、これに認証DBに登録されているバックエンドWebサーバーの認証ID/パスワードをセットして、IceWallサーバーがバックエンドWebサーバーへ送信します。

ユーザーから各バックエンドWebサーバーへのアクセス権の設定は認証サーバーの設定ファイルで行います。認証DB内の様々な情報を基にアクセスを制御するような設定が可能です。

例：あるバックエンドWebサーバーには「役職」カラムの内容が「部長」であるユーザがアクセス可能であるように、認証サーバーの設定を記述する。

オリジナルURL機能を使用すれば可能です。詳細は以下の技術レポートをご覧ください。

IceWallサーバーの設定ファイル内でキーワード変換を行うコンテンツのMIMEタイプを指定することで、HTML以外のコンテンツに対してもキーワード変換を行うことができます。

日本語がURLの一部に含まれる場合でもURL変換は行われます。日本語に対するキーワード変換を行う場合は、コンテンツの文字コードに合わせて設定ファイルを記述してください。

そのまま中継します。バックエンドWebサーバーのCookieは、Set-Cookieのpath属性及びdomain属性を使用している場合でもIceWall経由での設定となるように変更されるため、動作的に問題はありません。

IceWall自体に負荷分散の機能はありませんが、ロードバランサと併用してご使用していただくことが可能です。

特別な設定は必要なく、フォワーダーはサイズの小さなコンテンツも大きなコンテンツも特に区別なく処理します。ただしトラフィック上大きいサイズのデータが多い場合は、ネットワークの回線やIceWallサーバーのサイジングに影響します。また、以下の値を調整することによりパフォーマンスの改善が可能です。

• フォワーダーのバッファサイズの調整
• 大きいサイズのファイルに対してバッファリングを実施しない

IceWallのセッション中にバックエンドWebサーバーでタイムアウトが発生する場合があります。タイムアウトが起こった場合、HTTPヘッダでの情報継承機能やフォーム認証機能を利用して再度ログインすることが可能です。

IceWallサーバー側は変更された設定の内容は即時反映されます。

認証サーバー側も設定変更コマンドを発行することにより、再起動しなくても設定の変更が可能です。しかし一部コマンドによる変更が適用できない設定もありますので、その場合は再起動が必要です。

可能です。

IceWall MFA の認証により既存IceWall SSO に認証連携ログインするような構成を取ることで、既存IceWall SSO 環境を多要素認証対応することが可能です。

可能です。ID探索機能(C2C分散)（リンク先準備中）を使用することにより実現します。

可能です。

IceWallでは複数のレポジトリへの対応が可能です。またADログオン情報を引き継いでシングルサインオンを実現することも可能です。

以下の関連技術レポートもあわせてご覧ください。

• 発売から20年を迎えた国内シェアNo.1 IceWall（リンク先準備中）
• 技術レポート：Active Directory環境でのIceWallへのアクセス（信頼関係を結んでいない複数ドメイン編）
• 技術レポート：Active Directory環境でのIceWallへのアクセス（信頼関係を結んでいる複数ドメイン編）

「システム構成（リンク先準備中）」をご覧ください。

• IceWallサーバーの冗長化
  IceWallサーバーを複数台設置しロードバランサーを使用することで冗長化、負荷分散を実現します。
• 認証サーバーの冗長化
  認証サーバーは主系と待機系を置くことができます。この機能を使用するには別途FailOverオプションをご購入頂く必要があります。
• バックエンドWebサーバーの冗長化
  FailOverオプションにより可能です。またロードバランサーを使用することも可能です。
• 認証DBの冗長化
  データベース自身の持つレプリケーション機能やDBサーバーのクラスタ化により実現します。

可能です。

可能です。アマゾン ウェブ サービス（AWS）などをご利用いただくことが可能です。

お問い合わせください。

サポートしています。IceWall 動作確認済スマートフォン一覧をご覧ください。

最新の推奨動作環境はIceWall 動作環境をご覧ください。

最新の推奨動作環境はIceWall 動作環境をご覧ください。

バックエンドWebアプリケーション接続条件をご覧ください。

技術レポート（リンク先準備中）に連携検証に関するレポートを多数掲載しておりますのでご覧ください。

リバースプロキシ・SAML・Agentいずれの方法でも移行が可能です。認証データベースは基本的には既存のままの形で運用可能です。認可情報を統合したい場合は、IceWallの認証サーバーのACLへ変換することになります。

業務アプリ側をHTTPヘッダ方式など一定の認証方式に統一し、リバースプロキシに収容する事例が多数あります。またIceWall Agentを使用することで、サーバーAgent方式を維持したまま移行する事例もあります。

IceWall自体についての知識と共に、Webシステム、UNIX OS、ネットワーク、データベースなどの基礎知識が必要です。

以下のような注意点があります。

IceWallの管理ツールとして以下を提供しています。

• IceWall Management Suite（リンク先準備中）
  IceWall環境、およびその周辺サーバーをグラフィカルな管理画面から容易な管理/設定/変更を可能にするソフトウェア製品です。
• IceWall Identity Manager(有償オプション)（リンク先準備中）
  IceWallのID情報を、Webベースで手軽かつ安全に管理することができます。

IceWallが提供するログファイルには以下のものがあります。

• アクセスログ：各アクセスごとにその内容が記述されます。
• エラーログ：システム的に問題があった場合などに出力されます。
• セキュリティログ：ログイン、ログアウトなどの監査目的に利用できるログが出力されます。

24時間、および標準時間保守を提供します。HPE IceWall製品サポート（リンク先準備中）もあわせてご覧ください。

サポート期間は以下のとおりです。

• IceWall SSO 8.0
  既にサポートを終了しています。
• IceWall SSO 10.0
  既にサポートを終了しています。
• IceWall SSO 11.0、IceWall MFA 4.0
  サポート終了日は IceWall 製品を使用しているプラットフォームの OS 毎に異なります。

今後新たにリリースされる OS のバージョンについては、IceWall 製品が該当バージョンのサポートを開始する際に各サポートフェーズの終了日を設定します。

上記以外のIceWall製品のサポート期間につきましては、各製品の「最初にお読みください」マニュアルを参照してください。サポートサービスご契約を締結いただいているお客様は、「最初にお読みください」マニュアルの最新版を「IceWallサポートページ」からダウンロードすることができます。「IceWallサポートページ」についてはサポートメニュー（リンク先準備中）をご覧ください。

フルサポート期間に提供されるサポートの内容についてはHPE IceWall製品サポート（リンク先準備中）をご覧ください。

• IceWall SSO 11.0、IceWall MFA 4.0
  フルサポート期間と制限付きサポート期間で提供されるサポート内容は同じです。
  サポート期間のうち、IceWall製品を使用しているプラットフォームのOSのサポート期間中を「フルサポート」、IceWall製品を使用しているプラットフォームのOSのサポート期限後を「制限付きサポート」として区別しています。

いいえ、日本で開発しています。