DoCANの技術仕様
DoCANは弊社独自のゼロトラスト技術を組み込んだ「セキュアブラウザとゲートウェイ」から構成されるセキュリティサービスです。
01 DoCANのゼロトラスト技術
1. ID統制
- DoCANは複数のサービスやシステムのIDを統合します。
- DoCAN認証後、ユーザは各サービスへのパスワードをいちいち入力する必要はありません。
- DoCANはシステム管理者が許可した端末以外からのアクセスは禁止します
2. デバイス統制・保護
- DoCANは「適正なアンチウイルス対策」や「端末不正改造などのないこと」など安全と確認された端末からのみの接続を許可します。
- 端末紛失や盗難時は管理者が遠隔でDoCANブラウザの設定を初期化しDoCANへの接続出来ないようにすることが出来ます。
- DoCAN接続のセキュリティポリシーは管理者が一元的に管理運用することが出来ます。
3. ネットワークセキュリティ
- DoCANは通信をDoCAN IP経由とすることで、(SaaS含む)業務システムに対し接続元IP許可という簡単な設定で、かつ強固なネットワークセキュリティを実現します。
- ファイアーウォールの接続元IPアドレス制限とNAT変換を組み合わせることによって、DoCANはVPNを使用することなく社内サーバへのアクセスを実現します。
- DoCANはシステム管理者が許可するドメインのサイトだけの接続に制限することが出来ます。
- DoCANゲートウェイはSSLをほどき通信内容を確認することが出来ます。(デフォルトは無効となっています。別途オプションとなります。)
- システム管理者が許可した端末上のDoCANブラウザ以外の接続は禁止されるため、シャドーITの使用を制限します。
4. データ漏洩防止
- DoCANはデータを端末に保存しません。紛失盗難だけでなく内部不正による情報漏洩も防ぎます。
- DoCANはデータの印刷やUSBメモリなどへのコピーも禁止します。
02 DoCANの構成例
1. 基本構成
- DoCANブラウザの通信は基本的にDoCANゲートウェイを経由します。
- このため接続許可IPをDoCAN IPを指定すれば、許可されたDoCANブラウザからのみの接続に制限することが出来ます。
2. SAML認証構成
- DoCANブラウザは、特定の宛先ドメインに対してはDoCANゲートウェイを経由しない通信として設定することも可能です。
- これによりSaaSサービス場合、接続元IP制御が必要な認証サーバのみDoCANゲートウェイを経由し、認証後はDoCANブラウザから直接SaaSに接続させることも可能です。(ローカルアウトブレイク)
3. 外部非公開構成(NAT変換)
- F/WのNAT変換機能を利用することにより、サーバに直接ブローバルIPを付与しなくてもDoCANから社内にリモートアクセスさせることが可能です。
- 同時にF/WはDoCAN IPを接続許可IPアドレスに設定することにより外部攻撃者からの社内アクセスを防止出来ます。
- サーバにグローバルIPを付与したりVPNルータを外部に晒す必要がないため、外部からの攻撃耐性が強化できます。
4. RDP外部非公開構成(NAT変換)
- DoCANゲートウェイにはRDPをhtmlに変換するオプションがあります。
- これにより社内のパソコンをリモートデスクトップとしてDoCANブラウザから安全に操作することが可能となります。
03 DoCANブラウザ仕様
対応OS
・Windows/ iOS/ iPadOS/ Android
(対応OSバージョンは公式サイトを参照ください)
入手方法
・Windows:DoCAN公式サイトから
・iOS/ iPadOS:AppStoreから
・Android:Google Playから
(その他配布方法は個別相談)
データ保存禁止機能
・ダウンロードファイル保存禁止(DoCANブラウザ終了時に消去)
・キャッシュ/クッキー保存禁止(DoCANブラウザ終了時に消去)
・クリップボード保存禁止
・スクリーンショット保存禁止
(各OS毎に実装方法が異なるため詳細はお問い合わせください)
・Airdropによるファイル共有禁止(iOS/ iPadOS)
・USBケーブルによるファイル転送禁止(Android)
・印刷禁止
起動時端末セキュリティ確認
・マルウェア感染確認(Windows/Android OS毎に実装方法が異なるため詳細はお問い合わせください)
・不正改造防止(iOS/ Android)
不正アクセス防止
・一定回数ログイン失敗で設定情報を初期化
ユーティリティ
・共通ブックマーク(システム管理者がグループ毎に設定可)
・相乗り認証(起動時接続先ログイン画面でのID記憶機能)
・パスワードマネージャー
(各ブックマークのログイン画面でのIDとパスワードの記憶機能)
Office文書閲覧
・ブラウザ内閲覧(iOS/ iPadOS)
・別途DoCANオフィスアプリにて閲覧(Android)
・別途DoCANオフィスアプリにて閲覧および編集(Windows)
・Windows/ iOS/ iPadOS/ Android
(対応OSバージョンは公式サイトを参照ください)
入手方法
・Windows:DoCAN公式サイトから
・iOS/ iPadOS:AppStoreから
・Android:Google Playから
(その他配布方法は個別相談)
データ保存禁止機能
・ダウンロードファイル保存禁止(DoCANブラウザ終了時に消去)
・キャッシュ/クッキー保存禁止(DoCANブラウザ終了時に消去)
・クリップボード保存禁止
・スクリーンショット保存禁止
(各OS毎に実装方法が異なるため詳細はお問い合わせください)
・Airdropによるファイル共有禁止(iOS/ iPadOS)
・USBケーブルによるファイル転送禁止(Android)
・印刷禁止
起動時端末セキュリティ確認
・マルウェア感染確認(Windows/Android OS毎に実装方法が異なるため詳細はお問い合わせください)
・不正改造防止(iOS/ Android)
不正アクセス防止
・一定回数ログイン失敗で設定情報を初期化
ユーティリティ
・共通ブックマーク(システム管理者がグループ毎に設定可)
・相乗り認証(起動時接続先ログイン画面でのID記憶機能)
・パスワードマネージャー
(各ブックマークのログイン画面でのIDとパスワードの記憶機能)
Office文書閲覧
・ブラウザ内閲覧(iOS/ iPadOS)
・別途DoCANオフィスアプリにて閲覧(Android)
・別途DoCANオフィスアプリにて閲覧および編集(Windows)
04 DoCANゲートウェイ仕様
クラウド構成
・クラウド基盤:AWS
・インスタンス:個社毎
・冗長化/負荷分散:2台以上契約の場合適用
ネットワーク機能
・接続制限:ホワイトリスト方式によるドメイン毎制御
・経路制御:指定したドメインの迂回制御設定可能
DoCAN認証
・DoCANブラウザ起動後、規定のDoCANゲートウェイと通信を開始する時の行われるDoCAN専用の認証シーケンス。
・DoCAN認証によりDoCANブラウザ以外のアプリケーションはDoCANゲートウェイとの接続を確立することは出来ない。
端末ID認証
・DoCANブラウザがインストール時自動生成するユニーク値(端末ID)とアクティベーションコードが紐付けられ、登録以外の端末からは指定のアクティベーションコードでは認証出来ない機能。
・この機能によりシステム管理者が許可しない端末からのDoCAN接続を禁止することが出来る。
・多要素認証を実装していないシステムに対して、DoCAN構成とすることで、多要素認証を実現することが出来る。
アクティベーションコード
・ユーザごとのユニークなコード。システム管理者が生成し、DoCANゲートウェイとへの登録と利用ユーザへの配布を行う。
・ユーザはDoCANブラウザインストール時にDoCANコードと共にこのアクティベーションコードを登録する。
・DoCANシステムではこのアクティベーションコードがユーザを識別するコードとなる。
・DoCANゲートウェイに登録されるのは、システム管理者が生成配布するこのアクティベーションコードと、DoCANブラウザが自動生成する端末IDだけである。ユーザのメールアドレスやパスワードなどの認証情報や個人情報は一切DoCANゲートウェイには保存されないため、万が一のハッキングインシデントが発生しても、DoCANゲートウェイから認証情報や個人情報が漏洩するリスクはない。
・管理者が各ユーザごとに指定し、管理画面からCSVファイルで登録することが出来る。抹消や停止も管理画面から可能。
DoCANコード
・そのDoCANブラウザが接続するDoCANゲートウェイとシステム管理者によって指定されたセキュリティポリシーに紐づくコード
・DoCANコードはアクティベーションと共にユーザがDoCANブラウザをインストールした時に最初に設定する情報となる。
セキュリティポリシー
・システム管理者が設定する。セキュリティポリシーはグループ毎に設定することが可能で、セキュリティポリシーグループはDoCANコードに紐付けられる。
・セキュリティポリシーでは下記項目を設定できる。
・接続を許可する端末のOSおよびバージョンの指定
・接続を許可する宛先ドメインの指定
・グループ毎共通ブックマーク設定
・ブラウザキャッシュの消去タイミング
・Windowsアンチウイルス設定監視機能設定
・WindowsDoCANオフィス利用許可
・Windows同時起動禁止プロセス設定
・iOS/iPadOS端末のスクリーンショット禁止機能
・Androidアンチウイルス機能
DoCANオフィス(Windows版)
・WindowsはDoCAN専用のオフィスアプリ(LibreOfficeベース)を利用できる。
・Officeファイルは編集時に一時的にPC内に暗号化して保存が可能。
・暗号化保存されたOfficeファイルはDoCANブラウザ終了時に消去される。
コンテンツ変換機能
・予め設定された変換ルールに基づき、HTMLソースコードを変換する機能。PC専用画面をスマホ画面対応などに利用される。)
SSL復号化
・DoCANゲートウェイで一旦SSLを終端させて再度SSL化する機能。
・主に上記のコンテンツ変換機能利用時に使われる。
・クラウド基盤:AWS
・インスタンス:個社毎
・冗長化/負荷分散:2台以上契約の場合適用
ネットワーク機能
・接続制限:ホワイトリスト方式によるドメイン毎制御
・経路制御:指定したドメインの迂回制御設定可能
DoCAN認証
・DoCANブラウザ起動後、規定のDoCANゲートウェイと通信を開始する時の行われるDoCAN専用の認証シーケンス。
・DoCAN認証によりDoCANブラウザ以外のアプリケーションはDoCANゲートウェイとの接続を確立することは出来ない。
端末ID認証
・DoCANブラウザがインストール時自動生成するユニーク値(端末ID)とアクティベーションコードが紐付けられ、登録以外の端末からは指定のアクティベーションコードでは認証出来ない機能。
・この機能によりシステム管理者が許可しない端末からのDoCAN接続を禁止することが出来る。
・多要素認証を実装していないシステムに対して、DoCAN構成とすることで、多要素認証を実現することが出来る。
アクティベーションコード
・ユーザごとのユニークなコード。システム管理者が生成し、DoCANゲートウェイとへの登録と利用ユーザへの配布を行う。
・ユーザはDoCANブラウザインストール時にDoCANコードと共にこのアクティベーションコードを登録する。
・DoCANシステムではこのアクティベーションコードがユーザを識別するコードとなる。
・DoCANゲートウェイに登録されるのは、システム管理者が生成配布するこのアクティベーションコードと、DoCANブラウザが自動生成する端末IDだけである。ユーザのメールアドレスやパスワードなどの認証情報や個人情報は一切DoCANゲートウェイには保存されないため、万が一のハッキングインシデントが発生しても、DoCANゲートウェイから認証情報や個人情報が漏洩するリスクはない。
・管理者が各ユーザごとに指定し、管理画面からCSVファイルで登録することが出来る。抹消や停止も管理画面から可能。
DoCANコード
・そのDoCANブラウザが接続するDoCANゲートウェイとシステム管理者によって指定されたセキュリティポリシーに紐づくコード
・DoCANコードはアクティベーションと共にユーザがDoCANブラウザをインストールした時に最初に設定する情報となる。
セキュリティポリシー
・システム管理者が設定する。セキュリティポリシーはグループ毎に設定することが可能で、セキュリティポリシーグループはDoCANコードに紐付けられる。
・セキュリティポリシーでは下記項目を設定できる。
・接続を許可する端末のOSおよびバージョンの指定
・接続を許可する宛先ドメインの指定
・グループ毎共通ブックマーク設定
・ブラウザキャッシュの消去タイミング
・Windowsアンチウイルス設定監視機能設定
・WindowsDoCANオフィス利用許可
・Windows同時起動禁止プロセス設定
・iOS/iPadOS端末のスクリーンショット禁止機能
・Androidアンチウイルス機能
DoCANオフィス(Windows版)
・WindowsはDoCAN専用のオフィスアプリ(LibreOfficeベース)を利用できる。
・Officeファイルは編集時に一時的にPC内に暗号化して保存が可能。
・暗号化保存されたOfficeファイルはDoCANブラウザ終了時に消去される。
コンテンツ変換機能
・予め設定された変換ルールに基づき、HTMLソースコードを変換する機能。PC専用画面をスマホ画面対応などに利用される。)
SSL復号化
・DoCANゲートウェイで一旦SSLを終端させて再度SSL化する機能。
・主に上記のコンテンツ変換機能利用時に使われる。