オージス総研のエンジニアに聞いた！OSSのOpenAMを活用した統合認証ソリューション「ThemiStruct-WAM（テミストラクト-ワム）」とは？

商用製品と比較して、OpenAMのメリットは？

（寺田）
OpenAMはオープンソースということですが、従来の商用製品と比較してどのようなメリットがあるのでしょうか。

（諸橋）
一つはコストメリットです。商用製品はライセンス費用がユーザ数による課金になっているものがほとんどです。この場合、大企業などユーザ数が多いケースではライセンス費用が高額になります。オープンソースの場合、こういったライセンス費用を大幅に節約することが可能です。

また、導入する情報システム部門やSIerにとっては、仕様がオープンである、というメリットがあります。

（寺田）
「仕様がオープンである」ということは、具体的にはどのようなメリットがあるのでしょうか？

（千野）
事例をベースにご説明したほうがよいですね。 例えばあるお客様は、商用のシングルサインオン製品を使っていました。構築するまではよかったのですが、システムを運用していく中で、シングルサインオンの対象のアプリケーションには、どんどん修正が入っていきます。そして修正によってはシングルサインオン・システム側にも対応が必要になってきます。 ところが、シングルサインオン製品がブラックボックスになっているので、この対応が製品ベンダーしかできないのです。お客様は、仕方なく製品ベンダーに作業を依頼せざるを得ない。製品ベンダーはこれに対してお客様に高額な費用を要求してくるのです。 オープンソースであれば、このような状況を回避することが可能です。仕様がオープンであるため、製品ベンダーに作業を依頼せずとも、お客様やSIerが対応することができるのです。

（諸橋）
商用製品に対するOpenAMのメリットとして、最新技術や標準仕様への対応が早い、ということも挙げられます。OpenAMはSAML、OAuthなどの標準仕様に既に対応しています。これらを利用して、クラウドサービスとの認証連携が可能となります。商用製品では未対応であったり、対応していたとしてもオプション扱いで別途ライセンス費用がかかるものが多いです。

OpenAMによる、クラウドサービスとの連携

（寺田）
OpenAMを使うと、クラウドサービスとの連携は簡単にできるのでしょうか。

（諸橋）
GoogleApps、SalesforceCRMなどとの連携は比較的簡単です。しかし、Office365との連携の設定は、かなり複雑で難しいものとなります。Office365の認証を強化するために認証を委譲する設定を行うのですが、ADFS連携の設定や、Office365との信頼関係構築など、複雑な作業があります。

「ThemiStruct-WAM(テミストラクト-ワム)」では、Office365との接続のためのテンプレートを提供しますので、それを使っていただければ簡単に設定することができます。

図２：Office365との連携

（寺田）
Office365との連携について、導入事例はありますか？

（千野）
大学や、流通業などで実績があります。また、先日公開させていただいた事例で、電子部品専門商社の岡本無線電機様の事例があります。Office365と認証連携するだけでなく、セキュリティを強化するために会社から貸与されたスマートフォンに限ってシステムの利用を許可する「デバイス認証」を実現しました。また、テミストラクトを活用することによって、これらの作業をわずか２週間で完了することができました。

事例野詳細についてはこちらをご参照ください。

http://www.ogis-ri.co.jp/casestudy/1211509_7541.html

（寺田）
たった２週間で？それはすごいですね。テミストラクトのテンプレートのおかげ、ということですね。

いま、デバイス認証の話しがありましたが、OpenAMでは多要素認証やリスクベース認証に対応しているというお話しがありました。これらの利用シーンを少し具体的に教えていただけますでしょうか。

（諸橋）
例えばあるお客様では、社内からの利用の場合はID、パスワードだけで認証できます。これは会社で許可されたPCやネットワークからアクセスしているためです。 昨今、BYODの流れもあり、社外からインターネット経由で社内の情報システムにアクセスするケースも増えています。このお客様もそのようなニーズがあったのですが、社外からのアクセスに対してはID、パスワードだけで認証させるのは大変危険です。そのようなときに、多要素認証やリスクベース認証を使います。 このお客様では、社外からのアクセス時には、ID、パスワードに加えて、クライアント証明書を必須にしました。これによって、会社で事前に許可された端末からでしかアクセスできないようにしました。

（寺田）
なるほど。しかし、クライアント証明書を使う場合、証明書発行の運用がかなり大変だと聞いていますが。。。

（千野）
テミストラクトでは、「ThemiStruct-CM」というクライアント証明書の発行基盤も提供しています。これはEJBCAというオープンソースをベースにしています。このソリューションは、管理者画面が充実しており、証明書発行の運用をサポートします。 また、オージス総研では、大手エネルギー企業などに対して大量の証明書発行業務を提供しており、運用実績が豊富にあります。これらのノウハウを製品やマニュアルに反映することで、お客様やSIerに対して提供しています。これで実際の運用を行われるオペレータの作業をだいぶ軽減することができます。

図３：クライアント証明書の発行

（寺田）
自社で証明書を発行できれば、証明書の費用もだいぶ削減できますね。 証明書ではなく、ワンタイムパスワードを使うようなケースもありますか？

（諸橋）
はい、いくつかのお客様に導入しています。ワンタイムパスワードはスマートフォンなどで発行できる、ソフトウェアトークンを採用しています。スマートフォン側は、「Google Authenticator」を採用しています。これとOpenAMとの連携は当社で独自に開発致しました。

図４：ワンタイムパスワードの発行

（寺田）
なるほど。ワンタイムパスワードへの対応や、証明書発行基盤の提供、Office365との連携といったあたりが、テミストラクトがOpenAMをベースに独自に拡張しているところなのですね。よくわかりました。

次回（第２回）では、テミストラクトについてより詳しく教えて下さい。

（連載）

（第２回）OpenAMを拡張した、「ThemiStruct-WAM(テミストラクト-ワム)」
（第３回）OpenAMと連携する、発行枚数に依存せず定額な電子証明書とは？
（第４回）OpenAMを活用し、事前に許可したスマートフォンやタブレットにのみ、アクセスを許可するには？
（第５回）OpenAMを活用した、BYODにおけるセキュリティ強化の手法は？
（第６回）OpenAMによる、Office 365の認証統合
（第７回）OpenAMを活用して、Office 365のセキュリティを強化するには？