エキスパートに聞くロードバランサ最前線(2) 簡単、厳格。モバイルからのアクセス認証には証明書が効果的

JCCH・セキュリティ・ソリューション・システムズは、プライベートCA製品「プライベートCA Gléas（以下、Gléas）」を開発・提供するベンダー企業。プライベートCAとは企業ユーザー自らが従業員やグループ企業の認証のために運営する認証局であり、Gléasはユーザーの環境に合わせたカスタマイズ性や運用機能に定評があり、大企業を中心に数多くの企業で利用されている。F5ネットワークスが提供するアプリケーションアクセス製品「BIG-IP APM(Access Policy Manager)」をはじめとするADC（Application Delivery Controller）やVPN製品と連携し、モバイルデバイスからのアプリケーションアクセスへの認証強化に活用するケースが急増している。これらの最新事情について、同社技術本部開発部課長の林寛範氏に話を聞いた。

日本企業はBYODが嫌い？求められるのは「より厳格なクライアント認証」

Gléasを使った認証ソリューションの導入支援やコンサルティングに日々携わる林氏によれば、企業が抱える認証関連の課題には近年、大きな変化が見られるという。

JCCH・セキュリティ・ソリューション・システムズ技術本部開発部　課長林寛範氏

「かつてシステムへアクセスするデバイスといえば、『会社支給のPC』と相場は決まっていました。しかし近年のスマートデバイスの普及に伴い、ユーザーが使うデバイスの種類も多様化してきています。そこで、会社支給のデバイスのみアクセスを許すのか、あるいは私物デバイスにもアクセス権を与えるのか、という新たな検討課題も大きくなりました。」

海外では、従業員の私物デバイスの利用を積極的に推進する「BYOD（Bring Your Own Devices）」が徐々に浸透しているが、相対的にセキュリティやコンプライアンスのポリシーが厳しい日本においては、BYODが根付く兆しはあまり見受けられない。背景には、私物デバイスを情報システム部門が管理する事が非常に困難な事がある。例えば、スマートフォンと言っても、端末の種類やOSは何か、どのバージョンなのか、どのキャリアとどんな契約をしているか、インストールされたアプリは何か、それらは自社のセキュリティポリシーとどうすれば整合できるのか、こうした問題を解決しなくてはならない。恐らくほとんどの企業の管理者にとって、会社で支給した端末以外からは社内システムへのアクセスを許可したくないというのが本音のはずだ。

そこで、Gléasを使って自社で発行したクライアント証明書を、従業員に支給するデバイスにインストールし、ネットワークの境界に配置するゲートウェイ（ADC、VPN、無線LANスイッチ等）のエンドポイントセキュリティチェック機能を組み合わせると、アクセスしてくる端末に対して「適切な証明書がインストールされているか否か」の厳格な認証を実施し、証明書を持たない端末からのアクセスを拒否する事で対処できる。しかも、ユーザーの操作という視点ではバックグラウンドで実施されるため、ユーザーはほとんど証明書の存在を意識する必要がないのでユーザビリティが高い事もポイントだ。このような仕組みを作ることで、スマートデバイスを活用した極めてセキュアなモバイルワーク環境を実現できる。

個人所有の端末からアクセスを拒否

プライベートCA運用のポイント1 証明書の配布と安全性の担保

プライベートCAの運用では、発行したクライアント証明書をどのようにユーザーに安全かつ手軽に配布する仕組みを整備できるかが重要なポイントとなる。クライアント証明書の場合、サーバ証明書と異なり一般的なユーザー、つまり中にはITに疎いユーザーも含めて数十～数万と大量に配布することになる。配布方法として、手渡しでは手間がかかるし、メール等では誤送信など機密性の問題も残る。また、証明書ファイルはユーザーが容易にコピーすることができ、複数の端末へのインポートも可能なため、端末を厳密に特定できないというリスクも残ってしまうので注意が必要だ。

そこで、Gléasの証明書配布機能では、管理者が予め設定した証明書格納領域に専用ウェブ画面から証明書を直接インポートすることができ、どのユーザーがいつどの端末にクライアント証明書をインポートしたのかをログとして記録した上で配布する。更に証明書のインポートを一度だけしか許さないインポートワンス機能により、クライアント証明書が複数の端末にインポートされるのを防ぎ、端末を厳密に特定する仕組みを提供している。

モバイルデバイスへの証明書配布のケースでは、Gléas のクライアント証明書を含む構成プロファイルのインポート機能により簡単かつ安全にiPhone/iPadへ配布できるためデバイスのキッティングや配布に伴う作業負荷を大幅に軽減できる。

林氏によると、「ある企業では営業担当者が持ち歩くノートPC の代替として、iPadと端末特定の目的でGléasを導入していただきました。約4,000台のiPadに管理者が証明書をキッティングし配布したのですが、キッティング自体は1 台 1～2 分程度で済むので、管理者に非常に好評でした。決めの問題なのですが、ユーザー企業の現場ではユーザー自身にインポート作業を実施させるのではなく、システム管理者が配布端末に一括でインポート作業を実施し配布する事で、ユーザーに負荷をかけないように気を使っているケースが多いようです。また、ゲートウェイとしてBIG-IP APMにアクセスするケースでは、モバイルデバイスにインストールするソフトウェア(BIG-IP Edge Clientと呼ばれる)の接続設定にはゲートウェアのURLを設定が必要で、通常はユーザーに設定してもらう必要があるのですが、Gléas の構成プロファイル設定にBIG-IP APMのURLを設定して配布すれば、ユーザーがURLを設定する必要がありません。ユーザーに何か設定をしてもらうとQ & A対応などのサポートの負荷があがりますが、そのような負荷を減らすちょっとした工夫が重要です。」

プライベートCA運用のポイント2 既存のID管理システムとのシームレスな情報連携

プライベートCAの運用における重要ポイントの2つめとして、すでに企業内で運用しているActive DirectoryやLDAPなどのID管理システムとのシームレスな情報連携が挙げられる。証明書を発行するには、証明書の情報（ユーザー名、部門名、組織名など)をプライベートCAに保持する必要があるが、そのソースとなる情報が既存のID管理システムだ。

ID管理システムとの連携により業務負荷を軽減

Gléasと既存のID管理システムとの情報連携の方法としては、GléasからID管理システムへ必要な情報を取得しにいく方法とID管理システムからCSVファイルによる管理インターフェースを利用する方法などが用意されている。ID管理システムと情報の同期を実現することで、社員が入社した際のユーザー情報の登録・証明書発行、退社時の証明書の失効などでシームレスな情報連携が可能となる。社員数の多い大企業を中心に管理者の業務効率を目的とした高いニーズだ。

一方、Gléasはユーザー自身が証明書の申請を行えるWebベースのセルフサービス機能も備えている。セルフサービス機能において証明書の申請時には、ユーザーを特定するために認証を必要とするが、その際、認証ディレクトリとして既存のActive DirecoryやLDAPなどのID管理システムを指定することができ、認証後はID管理システムから証明書の発行に必要な情報を収集し証明書が発行される。セルフサービス機能はユーザー数が多く、入れ替わりが激しい大学などの組織の管理者の運用負荷を軽減する場合などに有効な機能だ。

ID管理システムとの連携により業務負荷を軽減

「Gléasの提供だけでなく、その設定やカスタマイズ、周辺ソリューションの連携や開発など、お客さまのニーズに応じた柔軟なサービスを提供してきたことで、当社はこれまで大手企業の信頼を勝ち得てきたのだと思います。今後はこれに加えて、クラウドサービスをよりセキュアに利用したいという中堅・中小企業向けにも、これまでにないリーズナブルなソリューションを提供していきたいと考えています」（林氏）

Company Profile

株式会社JCCH・セキュリティ・ソリューション・システムズ

PKI（公開鍵暗号基盤）を利用した自社開発の「プライベートCA Gléas」を中心に、USB トークンやスマートカードなどの認証デバイスと組み合わせたセキュリティビジネスを展開。Gléasでは、スマートデバイスへの積極的な対応に加え、管理者およびユーザーが安全かつ簡便に電子証明書を利用するための充実した機能を搭載。2010年よりF5ネットワークスジャパン株式会社のソリューションパートナーとして、電子証明書によるBIG-IP認証強化ソリューションを提供。