ワールドワイドのエクストラネットをセキュアに運用管理
課題と解決
-
ID・パスワード以外の認証追加
FirePassによる電子証明書チェック
-
認証管理業務の迅速化
Gléasを自社運用することで対応
-
大規模ユーザ規模への対応
安定性の高いソリューションの実現
クボタシステム開発株式会社(以下、KSI)では、自社が運用する業務システムへのセキュアなアクセスサービスを提供するため、GléasとF5ネットワークス社のSSL-VPN製品FirePassを用いて証明書を発行、国内外の利用者や海外出張社員に配布している。
ユーザ ID・パスワードのみの認証からの脱却
KSIでは、早い時期より同社グループ社員に対しリモートアクセスのサービスを提供してきた。当初よりリモートアクセスには2系統あり、1つはグループ社員向けの携帯電話キャリアのデータカードを利用したリモートアクセスシステム、もう1つはデータカードを利用することができない海外出張者や海外利用者向けのインターネットを利用したVPNシステムである。
傅氏はこう説明する。
「認証方法の検討では、ワンタイムパスワードトークンの利用も検討しましたが、過去にリモートアクセスシステムの認証で利用していたことがあり、ユーザの評判は決して良いものではありませんでした。その理由は、物理トークンにPIN(暗証番号)を入力し、さらに毎回異なるパスワードをPCに入力するのは相当な手間であること、利用者に物理的なものを配布する仕組みでは郵送時間がかかること、生体認証はPCに別途機器追加が必要になり費用がかかることなどでした。」
また、神宮寺氏はこう補足する。
「インターネット経由で自社のシステムにアクセスしてくるユーザの認証に、IDとパスワードだけの認証では不十分と感じていました。セキュリティ強化のため、端末を限定することができるクライアント証明書の認証手順を追加しました。」
クライアント証明書を管理するCA局は自社運用という方針となった。傅氏は、なぜ自社運用かについてこう説明する。
「認証業務をアウトソースした場合では、追加や変更があると作業に時間・費用がかかってしまいます。当社は受理する利用申請が多く、迅速な対応が求められるため、アウトソースではなく、自社運用が最適解なのです。」
FirePassでワールドワイドのネットワークを実現
SSL-VPN機器は、この分野のリーディング製品であるF5ネットワークス社のFirePassを利用して、同時数百アクセスにも耐えられるリモートアクセス環境を実現している。FirePassは冗長化され、かつ利用するクライアントのOSバージョン用に複数系統が準備されている。
FirePassでは「ログイン前シーケンス」機能により、アクセスするPCに有効なクライアント証明書がインポートされているか否かをチェックする。ブラウザでの証明書選択ダイアログも出現しないので、アクセスユーザはそのチェックを意識はしないが、その裏ではクライアント証明書による厳密な端末確認が行われていることになる。
証明書の大部分は国内外の利用者向けに発行されており、その規模は数千に及ぶ。利用者には、受発注システムや在庫システムを始め50以上のシステムへのアクセスが提供されている。
上記以外に海外出張社員にも、FirePassでのリモートアクセスが提供されており、クライアント証明書の存在チェックを経て、リバースプロキシ機能を利用したメール閲覧や、シンクライアント経由での業務システムのアクセスが可能となっている。
高い安定性を持つプライベート認証局
神宮寺氏はクライアント証明書による認証のメリットとして、展開の容易さを挙げる。
「クライアントPCにエージェントソフトウェア等の事前インストールが不要なので、利用者が増えても手間はかかりません。このシステムの良かった点だと考えています。」
現在この取引先ネットワークと海外出張社員で合計5900以上のクライアント証明書が発行されており、また今後、海外利用者数や出張者数の増加が見込まれ、証明書の発行が増えることも予測されている。こうした背景もあり、KSIは、2006年から利用してきた旧モデルから、2011年にGléasへのアップグレードを実施した。神宮寺氏はこう言う。
「これまで利用していたJS3の製品は、運用開始してから一度も不具合がなく安定性は高いと思います。但し、WEBインターフェースの使い勝手が良くないと感じる時もあり、その結果として作業工数が増加する要因になっていました。新たに導入したGléasではそうした点が改善されているので、その効果を今後検証していきたいと考えています。」
Gléasの導入により、これまで利用してきた製品と比較して、ユーザ負荷ひいては管理者負荷の低減が実現されることになりそうだ。さらに将来的にはクライアント証明書の認証をスマートフォンで行なうことも検討することになりそうだという。世界規模のネットワークを支えるお二人の言葉は、セキュアな運用を全うしているという自信に満ち溢れたものであった。