CLOSE UP コラム - ThemiStruct(テミストラクト) | OpenAMと連携する、発行枚数に依存せず定額な電子証明書とは?(第3回)

OpenAMと連携する、発行枚数に依存せず定額な電子証明書とは?(第3回)

CLOSE UP コラム - ThemiStruct(テミストラクト)

2014年04月17日
株式会社オージス総研 千野修平・諸橋純也

(連載)

(第1回)OpenAMとは
(第2回)OpenAMを拡張した、「ThemiStruct-WAM(テミストラクト-ワム)」
(第4回)OpenAMを活用し、事前に許可したスマートフォンやタブレットにのみ、アクセスを許可するには?
(第5回)OpenAMを活用した、BYODにおけるセキュリティ強化の手法は?
(第6回)OpenAMによる、Office 365の認証統合
(第7回)OpenAMを活用して、Office 365のセキュリティを強化するには?

(第3回)発行枚数に依存せず定額な電子証明書

オープンソースを活用したソリューション提供に積極的に取り組んでいる株式会社オージス総研。今回は、オープンソースの「OpenAM」を活用した統合認証ソリューションで、今業界から注目を集めている「ThemiStruct-WAM(テミストラクト-ワム)」について、開発元である株式会社オージス総研 サービス事業本部 テミストラクトソリューション部の千野様、諸橋様にお話しをお伺いました。

第3回は、OpenAMを拡張し、ユーザID、パスワードの認証に、さらにもうひとつ要素を加える「二要素認証」の代表格、電子証明書(クライアント証明書)についてお話しを伺いました。(インタビューア:オープンソース活用研究所 寺田)

電子証明書の概要

寺田
これまで、OpenAMや、OpenAMを拡張したオージス総研の統合認証ソリューション「ThemiStruct-WAM(テミストラクト-ワム)」についてお話しを伺ってきました。今回は、「ThemiStruct-WAM(テミストラクト-ワム)」の特徴の1つである、電子証明書についてお話しを伺いたいと思います。まずは電子証明書について、簡単にご説明頂けますでしょうか。

諸橋
まず、二要素認証についてご説明します。 昨今のセキュリティ強化の時流の中で、ユーザIDとパスワードだけでの認証では十分とはいえず、より堅牢で信頼性の高い認証方法が求められています。従来のユーザID、パスワードによる認証は、「ユーザが知っているもの」による認証でした。二要素認証では「ユーザが知っているもの」に「ユーザが持っているもの」を加えて、この2つの要素で認証を行います。

株式会社オージス総研
サービス事業本部 テミストラクトソリューション部 諸橋様

電子証明書は「ユーザが持っているもの」の1つで、ユーザID、パスワードの他に、端末からサーバに送信される電子証明書が正しいことを確認して、初めて認証が完了します。

ワンタイムパスワードなど、他の二要素認証との違いは?

寺田
なるほど。二要素認証では、他にもワンタイムパスワードなどの方法もあると思いますが、電子証明書の特徴はどんなところでしょうか。

諸橋
電子証明書は、ユーザが利用する端末やデバイスが正しいものであることを証明します。情報システムにアクセスする端末やデバイスを限定させたいとき、例えば会社が許可した端末以外の利用を制限したいときなどは、電子証明書が適しています。

寺田
お客様から見て、どのような課題を解決できるものなのでしょうか。

電子証明書は、社外から社内ネットワークへのアクセス時に使う

諸橋
最近では、ワークスタイルが多様化しており、自宅やコワーキングスペース、外出先など、社外からインターネット経由で情報システムにアクセスするニーズが高まっています。しかし、インターネットからのアクセスをユーザIDとパスワードだけで認証するのは大変危険です。そこで、事前に電子証明書をインストールしてある端末からしかアクセスを受け付けない、という仕組みを導入し、セキュリティを確保するケースが増えています。

千野
従来は、社外から社内ネットワークに接続する場合には、VPN接続をすることが一般的でした。しかし、諸橋が言ったように社外からアクセスするユーザ数が増えてきたため、VPNにかかるコストが高額になってきています。このようは背景もあり、電子証明書に対するニーズが高まっています。

寺田
わかりました。では次に、オージス総研の電子証明書ソリューションについて、概要を教えて頂けますでしょうか。

「ThemiStruct-CM(テミストラクト-シーエム)」とは?

千野
オージス総研では、「ThemiStruct-CM(テミストラクト-シーエム)」という名称で、電子証明書発行ソリューションを提供しています。「ThemiStruct-CM(テミストラクト-シーエム)」は、EJBCAという電子証明書の発行を行うオープンソースをベースに、独自の機能を追加したり、シングルサインオンの「ThemiStruct-WAM(テミストラクト-ワム)」との連携を行いながら、ソリューションを提供しています。オージス総研では以前からEJBCAのコミュニティに参加しており、国内での電子証明書に対するニーズの高まりを受けて、ソリューション化しました。

寺田
どのような機能があるのでしょうか。

千野
電子証明書の発行、証明書の端末への導入、証明書の有効期限の管理、証明書の更新、といった機能があります。 特に管理系の機能は充実しています。例えば、認証局を複数構築することが可能で、さらに認証局毎に別の管理者を指定したり、それぞれの管理者の権限を詳細に制御することが可能です。

図1:「ThemiStruct-CM(テミストラクト-シーエム)」の概要

電子証明書の発行、インストールも簡単に

寺田
電子証明書の場合、よく「運用が大変だ」という声を聞きます。一昔前は、いちいち証明書をCDに焼いてユーザに送付するといった運用を行っているケースもありました。「ThemiStruct-CM(テミストラクト-シーエム)」の場合、電子証明書をインストールする手順というのはどのようなイメージになるのでしょうか?

諸橋
まず、管理者が「ThemiStruct-CM(テミストラクト-シーエム)」の画面から各ユーザの電子証明書を作成します。そうすると各ユーザにその旨が通知されます。ユーザは「ThemiStruct-CM(テミストラクト-シーエム)」のWebサイトにアクセスし、ユーザID、パスワードで本人確認すると、電子証明書のインストールが行われます。ブラウザだけの操作で簡単に行うことが可能です。

寺田
先ほど、電子証明書は利用する端末(デバイス)を制限する、というお話しでしたが、実際にどの端末に証明書をインストールするかは、ユーザが決められてしまうのではないでしょうか?

千野
そのとおりです。 厳密に端末を限定したい場合には、ユーザに端末を配布する前に、管理者が端末に証明書のインストールまでを実施し、既に証明書がインストールされている状態でユーザに端末を配布する、という運用を行っているケースが多いです。

株式会社オージス総研
サービス事業本部 テミストラクトソリューション部 千野様

寺田
証明書の有効期限切れについて、事前にユーザに通知する機能はありますでしょうか。

千野
はい、あります。証明書の有効期限が切れる一定期間前に、ユーザに対して自動的にメールで通知し、更新を促すようになっています。

寺田
ありがとうございます。電子証明書と「ThemiStruct-CM(テミストラクト-シーエム)」について、よく分かりました。次回は、スマートフォンやタブレットで、電子証明書を利用するケースについてお伺いしたいと思います。

(連載)

(第1回)OpenAMとは
(第2回)OpenAMを拡張した、「ThemiStruct-WAM(テミストラクト-ワム)」
(第4回)OpenAMを活用し、事前に許可したスマートフォンやタブレットにのみ、アクセスを許可するには?
(第5回)OpenAMを活用した、BYODにおけるセキュリティ強化の手法は?
(第6回)OpenAMによる、Office 365の認証統合
(第7回)OpenAMを活用して、Office 365のセキュリティを強化するには?


OSSNEWSに広告を掲載しませんか?

著者プロフィール

株式会社オージス総研 千野修平・諸橋純也

株式会社オージス総研で、オープンソースを活用したIT基盤ソリューションであるThemiStruct(テミストラクト)の開発に従事。 サービス事業本部 テミストラクトソリューション部 プロフェッショナルサービス第二チーム 千野修平 サービス事業本部 テミストラクトソリューション部 プロフェッショナルサービス第一チーム 諸橋純也

最新TOPICS

【講演資料を公開】12/05「クラウドサービス利用時のID/パスワード管理 運用実務 勉強会(中堅・中小企業のシステム担当者向け)」(2017年01月11日 09:15)

2016/12/05(月)14:30~16:45 GMOグローバルサイン株式会社 セミナーRoom にて「クラウドサービス利用時のID/パスワード管理 運用実務 勉強会(中堅・中小企業のシステム担当者向け)」が開催されました。当日は、冷たい北風が吹く中、熱心な方々にご来場頂き盛況のうちに終了する事ができました。当日の講演資料を開催報告ページに公開しましたので、ご興味のある方は、是非ご覧くださいませ...

関連オープンソース

WSO2 Identity Server(ダブルエスオーツー アイデンティティ サーバ)

  • シングルサインオン

WSO2 Identity Server(ダブルエスオーツー アイデンティティ サーバ)とは、シングルサインオンソリューションです。アプリケーション/API/クラウド/モバイル間で統合ID管理を行います。

LibreSSL(リブレ エスエスエル)

  • ネットワーク

LibreSSL(リブレ エスエスエル)とは、SSL/TLSプロトコルのオープンソース実装(通信用ソフトウェア)で、「OpenSSL」の派生改良版です。圧倒的シェアを持つが問題が多い「OpenSSL」を代替できるものとして期待されています。

Vuls(バルス)

  • セキュリティ

Vuls(バルス)とは、脆弱性スキャンツールです。Linux(FreeBSD)系OS/各種ミドルウェア/各種フレームワークなどに対する脆弱性存在を検査し、詳細情報をレポーティングします。

OpenSSH(オープンエスエスエイチ)

  • ネットワーク

OpenSSH(オープンエスエスエイチ)。ネットワーク経由通信を暗号化する「SSH」のオープンソース実装です。おもにUNIX/Linuxサーバに対するネットワーク経由でのリモートログインに使用します。

FreeRADIUS(フリーラディウス)

  • 認証サーバ

FreeRADIUS(フリーラディウス)。オープンソースの高機能RADIUSサーバです。認証用プロトコル「RADIUS」機能を実現するデファクトスタンダードとして広く使われています。

OpenSSL(オープンエスエスエル)

  • ネットワーク

OpenSSL(オープンエスエスエル)。オープンソースSSL/TLS暗号化ライブラリです。世界中のWebサイトで圧倒的シェアを持っており、事実上の業界標準となっています。

Apache DS(アパッチディーエス)

  • 認証サーバ

Apache DS(アパッチディーエス)。オープンソースのLDAP(ディレクトリ)サーバです。「Apache Directory」プロジェクトで開発されています。

389 Directory Server(389ディレクトリサーバ)

  • 認証サーバ

389 Directory Server(389ディレクトリサーバ)。オープンソースディレクトリサーバです。「Fedora Directory Server」の後継で、商用製品の流れを受けており、ユーザフレンドリーなGUIツールの充実などが特徴です。

OpenIDM(オープンアイディーエム)

  • ID管理

OpenIDM(オープンアイディーエム)。高い柔軟性と拡張性を備え、エンタープライズ/クラウド/モバイル/ソーシャル/レガシーなど多様な環境において、ユーザアカウントのプロビジョニングとライフサイクルの一元管理を実現するID管理製品です。

LISM(リズム)

  • ID管理

LISM(リズム)。シンプルな使いやすさが特徴のID統合管理ソリューションです。

OpenAM(オープンエーエム)

  • シングルサインオン

OpenAM(オープンエーエム)。「OpenSSO」の後継製品として、認証、アクセス認可、フェデレーションなどの機能を備えた、Webアプリケーションやクラウドサービスに対してのシングルサインオンを実現するオープンソース高機能認証ソリューションです。

OpenLDAP(オープンエルダップ)

  • 認証サーバ

OpenLDAP(オープンエルダップ)。最も多くの導入実績があり、ディレクトリサービスを提供するオープンソースLDAPサーバです。

OpenDJ(オープンディージェー)

  • 認証サーバ

OpenDJ(オープンディージェー)。OpenAMに内蔵されており、先進的なレプリケーションアーキテクチャや「REST API」を搭載したLDAP準拠の高機能オープンソースディレクトリサーバです。

バックナンバー

関連記事

11

  • オープソース書籍(サイド)

OSS×Cloud ACCESS RANKING

facebook

twitter