導入事例

クボタシステム開発様:導入事例

クボタシステム開発様

ワールドワイドのエクストラネットをよりセキュアに運用管理
電子証明書とSSL-VPNを利用したネットワークの構築

クボタシステム開発株式会社(以下、KSI )では、自社が運用する業務システムへのセキュアなアクセスサービスを提供するため、JCCH・セキュリティ・ソリューション・システムズの「プライベートCA Gléas」とF5ネットワークス社製の SSL-VPN 製品「 FirePass 」を用いて証明書を発行、国内外の利用者や海外出張社員に配布している。

課題

  • ユーザ ID ・パスワード以外の認証要素の追加
  • 証明書のスピード発行リクエストへの対応
  • 大規模ユーザ規模への対応

解決策

  • FirePass によるログイン前の証明書チェック
  • 自社運営のCA局による迅速な証明書発行
  • 安定性の高いソリューションの実現

クボタシステム開発株式会社
情報開発センター
ネットワークグループ マネージャ
傅 樂銘 氏

クボタシステム開発株式会社
情報開発センター
ネットワークグループ SSL-VPN 担当
神宮寺 浩 氏

ユーザ ID ・パスワードのみの認証からの脱却

KSI では、早い時期より同社グループ社員に対しリモートアクセスのサービスを提供してきた。当初よりリモートアクセスには2系統あり、1つはグループ社員向けの携帯電話キャリアのデータカードを利用した RAS (*1)、もう1つはデータカードを利用することができない海外出張者や海外利用者向けのインターネットを利用した VPN システムである。

傅氏はこう説明する。
「認証方法の検討では、ワンタイムパスワード・トークンの利用も検討しましたが、 過去に RAS の認証で利用していたことがあり、ユーザの評判は決して良いものではありませんでした。その理由は、1. 物理トークンに PIN (暗証番号)を入力し、さらに毎回異なるパスワードを PC に入力するのは相当な手間であること。2. 利用者に物理的なものを配布する仕組みでは郵送時間がかかること。3. 生体認証は PC に別途機器追加が必要になり費用がかかること。等でした。」

また、神宮寺氏はこう補足する。
「インターネット経由で自社のシステムにアクセスしてくるユーザの認証に、ID とパスワードだけの認証では不十分と感じていました。セキュリティ強化のため、端末を限定することができるクライアント証明書の認証手順を追加しました。」

クライアント証明書を管理する CA 局は自社運用という方針となった。
傅氏は、なぜ自社運用かについてこう説明する。
「認証業務をアウトソースした場合では、追加や変更があると作業に時間・費用がかかってしまいます。当社は受理する利用申請が多く、迅速な対応が求められるため、アウトソースではなく、自社運用が最適解なのです。」

FirePassでワールドワイドのネットワークを実現

SSL-VPN 機器は、この分野のリーディング製品である F5 ネットワークス社の FirePass を利用して、同時数百アクセスにも耐えられるリモートアクセス環境を実現している。 FirePass は冗長化され、かつ利用するクライアントの OS バージョン用に複数系統が準備されている。

FirePass では「ログイン前シーケンス」機能により、アクセスする PC に有効なクライアント証明書がインポートされているか否かをチェックする。ブラウザでの証明書選択ダイアログも出現しないので、アクセスユーザはそのチェックを意識はしないが、その裏ではクライアント証明書による厳密な端末確認が行われていることになる。

証明書の大部分は国内外の利用者向けに発行されており、その規模は数千に及ぶ。利用者には、受発注システムや在庫システムを始め 50 以上のシステムへのアクセスが提供されている。

上記以外に海外出張社員にも、FirePass でのリモートアクセスが提供されており、上記同様のクライアント証明書の存在チェックを経て、リバースプロキシ機能を利用したメール閲覧や、シンクライアント経由での業務システムのアクセスが可能となっている。

高い安定性を持つプライベート認証局

クライアント証明書の発行等のライフサイクル管理を行う CA は、JS3 が開発したプライベート認証局によって構築されている。

神宮寺氏はクライアント証明書による認証のメリットとして、展開の容易さを挙げる。
「クライアント PC にエージェントソフトウェア等の事前インストールが不要なので、 利用者が増えても手間はかかりません。このシステムの良かった点だと考えています。」

現在この取引先ネットワークと海外出張社員で合計 5,900 以上のクライアント証明書が発行されており、また今後、海外利用者数や出張者数の増加が見込まれ、証明書の発行が増えることも予測されている。こうした背景もあり、KSIは、2006 年から利用してきた旧モデルから、2011 年にプライベート CA Gléas へのアップグレードを実施した。

神宮寺氏はこう言う。
「これまで利用していた JS3 の製品は、運用開始してから一度も不具合がなく安定性は高いと思います。但し、WEB インターフェースの使い勝手が良くないと感じる時もあり、その結果として作業工数が増加する要因になっていました。新たに導入したプライベート CA Gléas ではそうした点が改善されているので、その効果を今後検証していきたいと考えています。」

プライベート CA Gléas の導入により、これまで利用してきた製品と比較して、ユーザ負荷ひいては管理者負荷の低減が実現されることになりそうだ。さらに将来的にはクライアント証明書の認証をスマートフォンで行なうことも検討することになりそうだという。
世界規模のネットワークを支えるお二人の言葉は、セキュアな運用を全うしているという自信に満ち溢れたものであった。

*1: RAS はリモートアクセスシステムの略称

クボタシステム開発株式会社様 会社概要

本社:〒556-8601
大阪市浪速区敷津東一丁目2番47号
http://www.ksi.co.jp/

クボタシステム開発株式会社は、農業機械に代表される内燃機器、鋼管などの産業インフラ、生活環境用品など、幅広い業務を展開する株式会社クボタ及びそのグループ企業の情報システムの構築・運用管理を行なうと共に、そこで培った豊富な IT 技術と実績をベースとして、製造企業を中心に IT ソリューションを提供している。

製品の詳細

導入事例一覧へ戻る