エキスパートに聞くロードバランサ最前線(4) クラウドアプリの認証。ネットワーク層による境界管理では破たんへ

1997年の創業以来、国内屈指のオープンソーススキルを武器に、常に最先端のソリューションを手がけてきたサイオステクノロジー。もともとはJavaやLinuxを用いたシステム開発・構築案件に強みを持ち、特にRed Hat Linuxに関しては国内の草分けとして知られる。現在はオープンソースにとどまらず、パッケージの開発・販売やビッグデータ関連ソリューションなど、実に幅広いソリューション分野を手がけている。

なかでも特に近年ニーズが高まっているのが、クラウドサービスの導入案件だという。実は、同社は国内でいち早くGoogle Appsの導入支援サービスを始めたベンダーでもある。Google Appsは一般企業の前に、大学において導入が進んだが、サイオステクノロジーはその当初から教育機関（大学、高等専門学校、教育委員会)向けのGoogle Apps導入支援サービスを提供しており、すでに88機関・145万ユーザーにGoogle AppsおよびOffice 365を導入した実績を持つ。

サイオステクノロジーコンサルティングサービス部シニアアーキテクト中田寿穂氏

しかし、同社コンサルティングサービス部シニアアーキテクトの中田寿穂氏によれば、企業や大学でクラウドサービスを導入する際には、個人利用では思いも寄らなかったさまざまな困難に突き当たるのが常だという。

「特に『アカウント管理』と『認証』でつまずくことが多いです。社内（学内）側とクラウドサービス側の双方でIDとパスワードを二重管理していては、アカウント登録・管理・削除の手間がかかるだけでなく、IDの削除漏れによるセキュリティインシデントも招きかねません。加えて、クラウドサービスの認証のためにパスワードをクラウドに預けなければならず、またID/パスワード認証以外の多要素認証を導入しようと思っても、クラウドサービス自体が多要素認証に対応していなければ利用することはできません。」

そもそもパスワードリスト攻撃がこれだけ猛威を振るっている昨今では、パスワード認証だけではもはや十分なセキュリティ強度を確保できないと考えた方がよい。もしコンシューマー向けのWebサービスで使っているパスワードを仕事でも使い回しているとしたら、要注意だ。コンシューマーのサービスからID/パスワードが流出し、勤務先のシステムにパスワードリスト攻撃が仕掛けられた場合、アカウントを乗っ取られる可能性が非常に高い。

ネットワークの境界線を超えるアプリケーション層による「フェデレーション認証」が鍵

では、こうした問題を回避し、組織でクラウドサービスを安全に利用するには、どんな手立てを講じればいいのか。中田氏は、そのための重要なキーワードとして「フェデレーション認証」を挙げる。

図1 一般的なID/パスワード認証とフェデレーション認証

「クラウドサービス（SaaS）の採用が進むことで、社内(学内)のネットワークに配置されるアプリケーションだけでなく、他社が管理しているインターネット上のアプリケーションでの認証が必要とされる時代になりました。従来であれば、認証トラフィックの制御は自ら管理している社内(学内)ネットワークにファイアウォールを配置し、ネットワーク層でのIPフィルタリングによる境界線をベースとした管理を行ってきましたが、クラウドサービスではそもそも社内(学内)のネットワークを超えた場所に存在するので、ネットワーク層での防衛では対応できません。その場合、自社とクラウドにまたがって管理できるアプリケーション層を利用したフェデレーション認証が必要とされます。フェデレーション認証とは、社内(学内)に設置した認証基盤と、クラウドサービスの認証基盤との間で認証連携を取り、シングルサインオン（SSO）を実現するための仕組みを指します。ただし単純なSSOとは異なり、より安全かつ柔軟なユーザー認証を実現するためのさまざまな工夫が盛り込まれています。そのための代表的な規格が『SAML 2.0』で、Google AppsやSalesforce.comなどは早くからこれに対応しています。このSAML 2.0の手順に従うことで、自社内の認証基盤だけで複数のクラウドサービスの認証を一手に集中処理できるようになります」

つまり、SSOとはいっても、各クラウドサービスにIDとパスワードを勝手に渡しているわけではない。認証は基本的にすべて社内（学内）の認証基盤に閉じて行い、各クラウドサービスとはSAML 2.0を通じて連携する。こうした方式によって、パスワードをクラウドサービスに出す必要はなくなり、また認証基盤をすべて社内(学内)で制御できるため、ニーズや要件に応じてさまざまな認証の仕組みをユーザー自身の判断で導入できる。

さらに言えば、実際にこのフェデレーション認証の仕組みを構築するには、ID統合管理システムの導入が不可欠だ。もともとIT統合管理システムは、社内(学内)に散在するさまざまな業務システムのID/パスワードを統合管理するためのものだったが、クラウドサービスの業務利用がこれだけ普及した今日では、社内サービスとクラウドサービスの双方を網羅したID/パスワード集中管理のニーズが持ち上がっている。

しかし中田氏によれば、これを実現するには特有の難しさがあるのだという。

「クラウドサービスの仕様は、前触れなく突然変わることが多い。そのため、ID統合管理システムをクラウドサービスと連携させた場合、ある日突然、予期せぬトラブルに見舞われる可能性もあります。例えば2008年にGoogle AppsのSAMLの仕様にセキュリティフォールが見つかり、SAMLの仕様を予告なく変更し、フェデレーション認証ができなくなったといった事象もありました。そのため、大手ベンダーはこの領域になかなか手を出したがらなかったわけですが、弊社はすでに多くの顧客にクラウドサービスを導入し、その保守も請け負っているので、これらクラウドサービスの動向を日々つぶさにチェックしています。したがって、その仕様が変わっても即座に対応することができます」

こうした実績を生かして、同社では現在も引き続き数多くの企業や大学に対して、大手ベンダーがなかなかサポートできない「クラウドサービスも含めたID統合管理」、そして先に挙げたフェデレーション認証の導入支援を幅広く展開している。

図2 ネットワーク境界の違いによる課題

BIG-IP APMの導入でクラウドサービスの構築・運用をさらにシンプルに

サイオステクノロジーは2014年7月より、F5ネットワークスと共同でOffice 365向けのフェデレーションソリューションを展開している。なお、Office 365がSAML 2.0のフェデレーション認証に対応したのは、つい最近の2014年3月のことで、しかも中田氏によればその仕様には一種の“癖”のようなものがあるのだという。その内容をきちんと把握し、包括的で柔軟なフェデレーション認証とSSOを実現できるノウハウを持ったベンダーは、現時点ではサイオステクノロジー以外にはないと中田氏は断言する。

「マイクロソフトが提供するAD FSを使ってActive Directoryのアカウント情報とOffice 365のアカウント情報の同期を取れば、フェデレーション認証は難なく実現します。しかしオンプレミス側のディレクトリサービスとしてActive DirectoryではなくLDAPを使ってフェデレーションを実現したり、あるいはAD FSを使わずにフェデレーションを実現したりするのは、これまではほぼ不可能でした。弊社ではID統合管理製品『LDAP Manager』とOffice 365のアカウントデータベースとの間で同期を取るコネクタモジュールに、独自に開発したアカウント同期ロジックを開発することで、Active DirectoryやAD FSを利用しないケースでも、Office 365のフェデレーション認証が行えるようにしました。これによりコスト削減が見込めます」

図3 一般的なロードバランサ＋SSOと「BIG-IP APM」の構成の違い

ちなみに、F5ネットワークスが提供する「BIG-IP APM」には、SAML 2.0の認証サーバとしての機能が備わっており、すでにGoogle AppsやSalesforce.comなどのフェデレーション認証は実現できていた。これに加え、今回サイオステクノロジーの知見を得たことで、Office 365とのフェデレーション認証にも対応できるようになったというわけだ。

中田氏によれば、BIG-IP APMは今回のケースに限らず、クラウドシステムのID管理や認証に関して多くの企業や大学が抱える課題を解決する上で極めて有効だという。

「通常、SSOを実現するには、Webアプリケーション用のロードバランサとSSOサーバ用のロードバランサを別々に設置する必要があります。しかも異なるベンダーの製品を異なるインテグレーターにより構築や保守が行われるケースが多いので、運用の現場で複雑さがさらに増します。ユーザーセッション管理の例を紹介しましょう。具体的には、アプリケーションサーバのセッションタイムアウトよりも、ロードバランサやSSOサーバのセッションタイムアウトを少し長めに調整して不測のセッション切れをなくすなどの必要があるのですが、異なるベンダーの製品を異なるインテグレーターが設定するために、調整事やトラブルシューティングへの対応が難しくなります。

その点、BIG-IPはロードバランサとSSOが一体になっており、構成がシンプルになり、セッションタイムアウトを統合されたデバイスで構築や運用管理が行われるため、設定ミスやトラブルが少なくなります。加えて、アンチウイルスのセキュリティ設定状況チェックやWindows アップデートが実施されていないPC、および脱獄(Jail break)したiOSからのアクセス拒否、デバイス特定認証やワンタイムパスワード認証などの多要素認証まで実施できます。クラウドサービスでは提供していない強固なセキュリティチェックを社内（学内）側のBIG-IP APMで実施し、そのチェックをパスしたユーザーのみをクラウドアプリケーションにアクセス許可することができるなど、ここまで広範な機能を1台でカバーする製品は、現時点ではBIG-IPのほかに見当たりません。今後、弊社がクラウドサービスのソリューションをさらに拡大していく上で、極めて頼りになるパートナーだと確信しています」

Company Profile

サイオステクノロジー株式会社
1997年の創業以来、オープンソースソフトウェア（OSS）を軸に、WebアプリケーションやOS（基本ソフトウェア）、ITシステムの開発/基盤構築/運用サポートなどの事業を展開し、現在はこれらにクラウド技術を加え、新たな価値創造とその提供に取り組んでいる。テクノロジー集団として、これからも革命的なソフトウェア技術を追求し、世界のIT産業に影響力のある存在“インフルエンサー”となって価値を創造・提供することで、社会の発展に貢献していく考えだ。