リモートアクセスVPN(IPsec) 2要素認証機能の設定手順

UTXのリモートアクセスVPN(IPsec)機能で2要素認証機能を利用するための手順になります。

「ユーザー名/パスワード」のみの認証と比較して、リモートアクセスVPN接続時のセキュリティーを強化することができます。

1. 動作環境
2. 2要素認証機能の設定
3. 2要素認証を利用する

※ UTX100、UTX200で同じ手順になります。以下の説明では「UTX」と称します。
※ GUIの画面は、ファームウェアバージョンR81.10.08 (996001750) のキャプチャーになります。
※ リモートアクセスVPN(IPsec)の設定手順は「リモートアクセスVPN(IPsec)の設定手順」をご確認ください。

1. 動作環境

1-1. 対応ファームウェアバージョン

対応している認証方式とファームウェアバージョンは以下になります。

1-2. 対応VPNクライアント

2要素認証機能を使用するためには、Check Point社製のVPNクライアントソフトを使用する必要があります。対応OSとVPNクライアントソフトは以下になります。

1-3. 制限事項

2要素認証機能には以下の制限事項があります。

• L2TP接続には対応していません
• 2要素認証を特定のユーザーのみで利用することはできません （有効にすると、すべてのVPNユーザーが2要素認証の対象となります）
• SMSで送信されるメールやメッセージは英語表記のみに対応しています
  

  例）SMSで届く認証コードのサンプル
  

• 認証コードは海外のサーバーから送信されるため、携帯キャリアの設定では国際SMSを許可する必要があります
• デフォルト設定以外の外部のSMSサービスプロバイダとの動作は未サポートとなります

2. 2要素認証機能の設定

2-1. 利用方式を選ぶ

2要素認証では、次の認証方式から選択することができます。それぞれ必要なものが異なるため、運用に応じて選定してください。

1. SMS認証
   • SMSを受信できる電話番号がユーザーごとに必要です
   • E-mail認証と併用することが可能です
     
2. E-mail認証
   • ユーザーごとにEメールアドレスが必要です
   • SMS認証と併用することが可能です
     
3. Google Authenticator認証
   • 利用登録時にEメールアドレスが必要です
   • 他の認証と併用することはできません
     

2-2. リモートアクセスユーザーの設定

1. Webブラウザーを起動します
   ※推奨：Google Chrome, Mozilla Firefox
2. URL欄に次のアドレスを入力します
   https://(UTXのIPアドレス):4434
3. 【詳細設定】をクリックします
4. 「*.*.*.*にアクセスする（安全ではありません）」をクリックします

   ※実際の画面ではUTXのIPアドレスが表示されます

   
5. 【ユーザ名】と【パスワード】を入力してログインします
6. Web GUIの左のメニューから【VPN】タブ > 【リモートアクセス】 > 【リモートアクセスユーザ】とメニューを開きます
   
7. 【新規】をクリックし、「新規ローカルユーザ」画面に情報を入力します

   ユーザ名	任意 ※必須
   パスワード	任意（4〜100文字） ※必須
   確認	パスワードを再入力 ※必須
   Eメール	認証コード受信、またはGoogle Authenticator登録用のEメールアドレス
   電話番号	認証コード受信用の電話番号 ※ハイフン無し（例：09012345678）
   コメント	任意（空欄でも可）

   

   ※ Eメール、電話番号のどちらか1つは必須項目です（利用方式による）

8. 「リモートアクセス権限」にチェックが入っていることを確認します
9. 完了後、【適用】をクリックします
10. 入力したユーザーが一覧に追加されたことを確認します

2-3. 2要素認証の設定

リモートアクセスVPN機能の設定全般に関しては「リモートアクセスVPN(IPsec)の設定手順」をご確認ください

1. 「VPN」タブ > 「リモートアクセス」-【ブレードコントロール】メニューを開きます
2. 【2ファクタ認証を使用したID確認をユーザに求める】の右にある【設定】をクリックし、「2ファクタ認証の設定」を開きます
   

2-3-1. SMS認証を利用する

1. 「SMS/Eメールを使用」をクリックします
2. 「SMS」にチェックを入れます
3. 「ベンダーSMSプロバイダサービスを使用する」を選択します

   ※ 外部SMSプロバイダは日本では利用できません
   ※「メッセージ」欄を編集すると受信メッセージの本文が変更できます（英語のみ）

   
4. 「詳細」タブに移動します
5. 『デフォルトの国コード』に日本の国コードである「81」を入力します

   ※ 正しい国コードが入力されていない場合、SMSの発信ができません

   
6. 変更が必要な場合、『動的 ID 設定』を編集します

   ワンタイムパスワードの長さ	SMSで届くワンタイムパスワードの長さを指定できます （デフォルト: 6文字, 最少: 1文字, 上限数: なし）
   ワンタイムパスワードの有効期限	ワンタイムパスワード発行後の認証有効期限 （デフォルト: 5分）
   最大パスワード入力試行回数	ワンタイムパスワードを入力可能な回数 （デフォルト: 3回） ※ 入力試行回数の上限に達すると、再度VPNユーザのID/パスワードを使ったログインが必要となります

7. 設定完了後、【適用】をクリックして設定を反映します

2-3-2. E-mail認証を利用する

1. 「SMS/Eメールを使用」をクリックします
2. 「Eメール - ベンダーEメールプロバイダサービスを使用する」にチェックを入れます

   ※ 「メッセージ」欄を編集すると受信メッセージの本文が変更できます（英語のみ）

3. 【適用】をクリックします
   

2-3-3. Google Authenticator認証を利用する

1. 「Google Authenticatorの使用」をクリックします
2. 【適用】をクリックします
   

2-4. 2要素認証機能の有効化

1. Web GUIの左のメニューから【VPN】タブ > 【リモートアクセス】 >【ブレードコントロール】とメニューを開きます
2. 「2ファクタ認証を使用したID確認をユーザに求める」にチェックを入れます
3. 警告ダイアログが表示されるため、確認後【OK】をクリックします
4. 画面下部の【適用】ボタンをクリックし、設定を反映します
   

2-5. SMS / E-mail認証をユーザー選択できるようにする

SMS認証とE-mail認証を併用すると両方に同じコードが届きます。この設定を変更し、認証コードをSMSとEメールのどちらで受け取るか、ユーザーが選択できるようにすることも可能です。
※ VPN接続のたびに受け取る方法を選択することになります

1. 「デバイス」タブ > 【詳細設定】メニューを開きます
2. 検索欄に「2ファクタ」と入力します
3. 「2ファクタ認証 - パスコードの送信先 (SMS/Eメール) の選択を有効にする」を選択し、【編集】をクリックします
4. 『パスコードの送信先 (SMS/Eメール) の選択を有効にする』にチェックを入れます
5. 【適用】をクリックします
   

3. 2要素認証を利用する

3-1. SMS / E-mail

2要素認証を利用する場合も、VPN接続設定は通常と変わりません。
リモートアクセスVPN機能の設定全般に関しては「リモートアクセスVPN(IPsec)の設定手順」をご確認ください

1. ユーザー名とパスワードを入力し【接続】をクリックします
   
2. 追加の認証画面が表示されます
   
3. 「2-5. SMS / E-mail認証をユーザー選択できるようにする」で「パスコードの送信先 (SMS/Eメール) の選択」を有効にしている場合は、VPNのID/パスワード認証を行うと、以下の画像のようなメッセージが表示されます。
   ワンタイムパスワードを受け取る方法を数字で「応答」の欄に入力後、【接続】をクリックします。
   • SMSで受け取る : 1
   • E-mailで受け取る : 2
   
4. SMS、またはEメールで受信したコードを「応答」の欄に入力します

   ※ 利用方式によっては入力欄に「DynamicID password」と表示されます

5. 【接続】をクリックします
6. 「接続成功」と表示されれば VPN トンネルが確立されます
   

3-2. Google Authenticator

3-2-1. Google Authenticatorを利用する前に

Google Authenticatorで2要素認証を利用する場合、登録用の QR コードは「リモートアクセスユーザ」に設定したメールアドレスに届きます。メールが届くタイミングは以下の通りです。

• 2要素認証を有効化する前にユーザー登録していた： 2要素認証を有効化したとき
• 2要素認証を有効化した後にユーザー登録を行った： ユーザー登録が完了したとき

3-2-2. よくある質問

Q. 登録用のメールを再送したいです。
A. 再送したい「リモートアクセスユーザ」を削除して、再度登録し直してください。

Q. 同じメールアドレスを複数のユーザーで使うことはできますか。
A. 可能です。メール本文の一行目に、「Dear [ユーザー名],」と書かれているため、どのユーザーのQRコードかを見分けてご利用ください。

Q. Google Authenticator以外のツールで利用することはできますか。
A. 一般的なTOTP対応ツールであれば利用できる可能性があります。しかし、Google Authenticator以外はすべて非サポートであるため、利用される場合は自己責任でご利用ください。

3-2-3. Google Authenticatorの設定

1. Google Authenticatorを起動し、アカウントの追加メニューを開きます
   • 1つ目のアカウントの場合：【QRコードをスキャン】をタップ
   • 2つ目以降のアカウントの場合：右下の【＋】>【QRコードをスキャン】をタップ
   
2. 登録メールに記載されているQRコードを読み取ります
   
3. Google Authenticatorの画面にコードが表示されれば設定完了です
   

3.2-4. VPN接続をする

2要素認証を利用する場合も、VPN接続設定は通常と変わりません。
リモートアクセスVPN機能の設定全般に関しては「リモートアクセスVPN(IPsec)の設定手順」をご確認ください

1. ユーザー名とパスワードを入力し【接続】をクリックします
   
2. 追加の認証画面が表示されます
   
3. Google Authenticatorに表示されているコードを認証画面に入力します

   ※ 利用方式によっては入力欄に「DynamicID password」と表示されます

4. 【接続】をクリックします
5. 「接続成功」と表示されれば VPN トンネルが確立されます