ver.1サポートサイト

クライアント認証利用ガイド

最終更新日:2020年06月25日

概要

「クライアント認証」オプションをご利用いただくと、スパイラル操作画面にログインできる端末を特定することができます。

1.クライアント認証の仕組み

1-1 SSL クライアント認証とは

WebサーバにSSLで接続する際、クライアント (ブラウザ )に電子証明書を提示させ、接続元を認証する方法を一般に SSL クライアント認証と言います。

通常の SSL 接続の場合、クライアントがサーバーの電子証明書を承認することで SSL 通信を開始しますが、クライアント認証を行う SSL 接続の場合、クライアントがサーバーの電子証明書を承認するだけでなく、サーバーがクライアントの電子証明書を承認して初めて SSL 通信を開始します。

このとき、クライアントが提示する電子証明書は、サーバーが信用する認証局が署名している必要があります。

つまり、一般の SSL 経由の http 接続ではクライアントが一方的にサーバーを認証しますが、SSL クライアント認証ではクライアントとサーバーが相互に認証し合う必要があります。

本ページでは、クライアントが提示する電子証明書を「クライアント証明書」と呼ぶことにします。

この認証方法を利用することによって、たとえ第三者が不正にログイン ID とパスワードを入手したとしても、クライアント証明書が提示されない限り管理画面を閲覧することはできません。

1-2 クライアント認証で接続端末を特定する

本サービスでクライアント認証機能を利用する最大のメリットは、利用端末を特定することにあります。

なぜ利用端末を特定する必要があるのか

クライアント認証は、SSL の技術を応用して本サービスの利用端末を特定する機能です。
従来の認証方法では
(1)ユーザーを特定する「ID」
(2)ユーザーしか知り得ない「パスワード」
をもとにユーザーの特定を行っていました。

しかしながら、本サービスのような業務支援ソフトウェアの場合、例えば機能を操作するオペレーターの方の異動や、操作の外部委託などによって、本来操作すべきでない方が ID とパスワードを知っている状況が発生する可能性があります。
このような場合に、たとえ ID とパスワードを知っていても、本来操作すべきでない方が操作できないように、また、本来操作すべきでない場所から操作できないような環境を用意すればより安全であると言えるでしょう。

ユーザーの皆様がプライバシーマークを取得する動きが活発になっております。

個人情報保護法の施行後、情報リスクに対する厳格な取り扱いが求められる今、本サービスは、大切な情報を安全に保管する「データベースの銀行」としての役割を担うことになります。

クライアント認証は、1)ユーザーを特定する「ID」、2)ユーザーしか知り得ない「パスワード」に並ぶ第3の柱として、本サービスの利用環境の安全性の向上に寄与するものと考えています。

クライアント認証機能を有効にご活用ください。

※さらに IP アドレスによるアクセス制限を加えることも可能です。
※アクセス環境の特定は、情報リスクの管理規定を作成する際に必ず含まれる項目です。
※本サービスは、今後もユーザーの皆様の情報管理の基盤を支えるべく改善を進めて参ります。

2.クライアント認証を利用するには

クライアント認証を利用するまでの手続きは下記のとおりです。

2-1 クライアント認証オプションを注文する

クライアント認証はスパイラルのオプション機能のため、アカウント契約とは別にオプション契約が必要です。
操作画面のアカウント情報管理より、オプション契約を行ってください。

2-2 パイプドビッツルート認証局証明書をブラウザにインポートする

クライアント認証を利用するブラウザには、 パイプドビッツルート認証局証明書がインポートされている必要があります。
パイプドビッツルート認証局証明書をインポートしていない場合はこちらより証明書をダウンロードして、
ブラウザにインポートするようお願いいたします。
パイプドビッツルート認証局証明書のブラウザへのインポートに関する詳細はこちらを参照ください。

2-3 クライアント証明書をブラウザにインポートする

お手元に届いたクライアント証明書を、お使いのブラウザにインポートします。
証明書のダウンロードページでパスワード入力を求められた場合には、問い合わせ窓口までご連絡ください。

※Internet Explorer 11 の場合
ブラウザの【ツール】メニューの【インターネットオプション】を開き、証明書ボタンをクリックします。

証明書ダイアログのインポートボタンをクリックします。

証明書のインポートウィザードダイアログの次へボタンをクリックします。

お手元のクライアント証明書ファイルを指定します。
証明書ファイルは PKCS#12 形式です。拡張子を指定する場合は「.p12」をお選びください。

秘密キーのパスワードを入力します。(後半部分はサポートデスクまでお尋ねください)
もし、お使いの端末が本サービス以外の目的にも使用されている場合は、「秘密キーの保護を強力にする」にチェックすることをお奨めします。
「このキーをエクスポート可能にする」にはチェックしないようにしてください。

証明書は以下の図のとおり、「個人」ストアに配置します。
次へをクリックします。

「正しくインポートされました」というダイアログを確認し OK ボタンをクリックします。

以上で証明書のインポートは完了です。

2-4 クライアント認証管理画面にログインする

ブラウザにクライアント証明書がインポートされていることを確認します。
ブラウザの【ツール】メニューの【インターネットオプション】を開き、証明書ボタンをクリックします。
「個人」ストアに「PIPED BITS Primary CA」が署名(発行)した証明書が保存されていることを確認します。
また、有効期限を過ぎていないことを確認します。

※クライアント認証の有効期限は1年間です。有効期限を過ぎた証明書はご利用いただけません。
更新用の証明書がお手元にない場合は、お手数ですが、パイプドビッツまでお問い合わせください。

クライアント証明書をインポートしていることを確認した後に、パイプドビッツに利用開始のご通知をお願いします。

利用開始のご通知は大切な手続きです。
サポートデスクでは、ご通知を受けてログイン方式の切替を行います。
この切替を行ってはじめてクライアント認証用のログイン認証を受けることができます。

※クライアント認証の利用を開始したユーザーは、通常のログインページからログインしていただくことが出来ませんのでご注意ください。

クライアント認証用のログインページにアクセスします。
クライアント認証用のログインページはクライアント証明書とともにご案内しますのでご確認ください。

※クライアント認証用のログインページは、通常のログインページと異なりますのでご注意ください。

クライアント認証用のログインページにアクセスすると、クライアント認証の提示を求めるダイアログが開きます。
先ほどインポートしたクライアント証明書を選択し、OKボタンをクリックします。

2-5 マルチアカウントユーザーでクライアント認証を利用する

マルチアカウントユーザーに対してクライアント認証を利用したい場合は、2-2と同様の手順にてお手続き頂くことができます。

※マルチアカウントユーザーがクライアント認証の利用を開始する場合は、担当者IDでマルチアカウントのログイン方式を
切替える必要があります。(パイプドビッツに利用開始のご通知は不要です)
担当者IDでログインした操作画面の アカウント情報管理>マルチアカウント管理>利用開始したいマルチアカウントの基本設定より
クライアント認証「する」にチェックを入れ変更ボタンをクリックしてください。

※クライアント認証の利用を開始したユーザーは、通常のログインページからログインして頂くことが出来ませんのでご注意ください。
ログインページの URL は担当者IDでログインした操作画面の アカウント情報管理>マルチアカウント管理よりご確認ください。

2-6 注意事項

3.クライアント認証を停止するには

クライアント認証を停止するまでの手続きは下記のとおりです。

3-1 クライアント認証を停止する

通常、クライアント認証を停止する理由は以下のいずれかであると考えられます。
Case1)クライアント認証の必要が無くなったので、クライアント認証を完全に停止したい。
Case2)1つの ID に対して複数のクライアント証明書を使用していたが、一部の証明書だけを無効にしたい。

クライアント証明書を無効にしたい場合

クライアント証明書の有効期間は通常1年間です。
有効期限を経過した証明書を用いて認証を受けることはできません。
したがって、有効期限を経過した証明書を敢えて無効にする手続は必要ありません。

一方で、以下のような場合は、いずれも本来使用すべきでない第三者がクライアント証明書を使用し得る可能性がありますので、セキュリティを維持する為に有効期間内であっても利用していた証明書を無効にする必要があります。
例1)クライアント証明書を管理していたディスクを紛失した。
例2)クライアント証明書をインポートし、使用していた端末を紛失した。
例3)操作を委託していた業者用にクライアント証明書を発行していたが、当該委託契約が終了した

クライアント認証を停止する又は一部の証明書を無効にするには

クライアント認証を停止する又は一部の証明書を無効にしたい場合、操作画面のアカウント情報管理より、オプション解約を行ってください。
弊社から停止の確認をさせて頂いた後に、停止の手続きを行います。
停止手続き完了後、弊社から停止手続きの完了をご案内致しますので、しばらくお待ちください。

4.クライアント証明書の管理

本サービスのクライアント認証機能で使用するクライアント証明書を保管する際にご注意頂く事項について案内します。

4-1 クライアント証明書の保管について

クライアント証明書は厳重に取り扱う必要があります。
第三者がクライアント証明書を手にすると、クライアント認証は端末を特定するという大切な役割を果たせなくなります。
クライアント証明書は以下の点に注意して保管するようご注意願います。
1)証明書を記録した媒体は施錠可能な保管庫に保管し、インポートが必要な時以外には触れないこと。
2)証明書を管理する管理者を特定し、当該管理者以外の者が証明書を取り扱わないこと。
3)ブラウザにインポートする際に入力する秘密キーのパスワードは、証明書の管理者以外が知ることの無いよう管理すること。
4)ブラウザにインポートする際に「このキーをエクスポート可能にする」オプションを無効にすること。
5)証明書の管理者が証明書の取り扱いの重要性を深く認識し、必要な場面以外の目的で証明書を使用しないよう指導、監督すること。
6)その他、証明書の管理者以外が取り扱う又は管理者が目的に外れた取り扱いを行わないよう必要な措置を講じること。

4-2 クライアント証明書の有効期限

クライアント証明書の有効期限は、基本的に証明書の発行後1年間です。
有効期限を経過した証明書はクライアント認証に用いることができません。
クライアント認証を用いるには、更新作業が必要です。

4-3 クライアント証明書を更新する

一度クライアント認証の利用を開始すると、停止の申請を行わない限り、クライアント証明書の有効期限を経過する前に自動的に更新手続きを行います。
更新時に新しいクライアント証明書を発行しますので、先に示したインポート手順に従って証明のインポートを行ってください。

※クライアント証明書の更新を行わない場合は、 クライアント認証停止の手順に従って手続きをお願いします。

サポートについて

ご不明な点等ございましたら、お気軽に下記までお問い合わせください。
お問い合わせ先

緊急時の連絡先について

システム不具合等、緊急を要する場合は、以下のフォームよりご登録ください。
緊急時連絡登録フォーム:https://www.pi-pe.co.jp/trouble/