サイバートラストとF5ネットワークスジャパンは3月22日、横河電機ライフサイクルサービス事業部が、「サイバートラスト デバイスID」(デバイスID)と「F5 BIG-IP Access Policy Manager(APM)」(BIG-IP APM)を利用した端末認証をAmazon Web Services(AWS)に実装し、クラウド化した顧客向けサービスの2要素認証を実現したと発表した。
|
デバイスIDとBIG-IP APMによる端末認証の仕組み |
同事業部は、横河電機及びYOKOGAWAグループ企業が納入した計装設備の保全課題を解決する、多岐にわたるライフサイクル・ソリューションを提供している部門。同事業部では、近年ユーザー企業のグローバル化が進み、サービス提供に使用するデータセンターをどのように配置するかが大きな課題になっていたという。
サービスのレスポンス速度を維持するには、ユーザー・サイトに近い地域へのデータセンターの設置が望ましく、さらには地域のユーザー・ニーズに迅速に対応することも可能なため、世界の主要エリアにデータセンターを設置する「マルチセンター化」が求められていたとしている。
これまで同事業部のサービスは、主に自社運営のデータセンターで提供していたというが、自社運営データセンターのみの機能拡張は投資金額が大きくなり、運用も難しくなるとしている。そこで同事業部では、グローバル化への要求が高まっている一部のサービスのAWSへの移行を決めた。
また、モビリティを向上してほしいとの利用者の要望があり、その実現にはセキュリティ・レベルをより強化することが求められるという。
これまでも、ユーザーIDとワンタイム・パスワードを組み合わせた認証に加え、利用者のIPアドレスを制限することで不正アクセスを防いできたが、ユーザー企業からの要望やモビリティ向上を考慮した結果、端末認証も加えた「2要素認証」をサービス移行時に実現することにしたとのこと。
2要素認証の実現方法としては、ハードウェア・トークンやスマートフォンを利用する方法も考えられるが、前者はハードウェアを物理的に配布する必要があり、後者はスマートフォンを所持していないユーザーには対応できないという問題があるという。
これらに対してデバイスIDは、ネットワーク経由で証明書を配布し、対象端末にインストールすれば利用可能。しかし、デバイスIDを適切に利用するには、証明書の有効性をリアルタイムで確認するOnline Certificate Status Protocol(OCSP)サーバと連携した認証システムを構築する必要があり、AWSの標準機能だけでは実現が困難だったという。
そこで、OCSPサーバ連携の実績があるという、BIG-IP APMのVirtual Edition(VE)を同時に導入することになった。
今回のシステム構築では、既に存在していたユーザー認証システムやIPアドレス制限機能との連携が必要だったが、その調査期間を含めても1カ月でシステム構築を完了したとのことだ。
AWSによるサービス運用は2016年4月に開始し、その後半年間で9割のユーザー企業がAWSへ移行したという。
