CLOSE UP コラム - ThemiStruct(テミストラクト) | OpenAMを活用し、事前に許可したスマートフォンやタブレットにのみ、アクセスを許可するには?(第4回)

OpenAMを活用し、事前に許可したスマートフォンやタブレットにのみ、アクセスを許可するには?(第4回)

CLOSE UP コラム - ThemiStruct(テミストラクト)

2014年04月24日
株式会社オージス総研 千野修平・諸橋純也

(連載)

(第1回)OpenAMとは
(第2回)OpenAMを拡張した、「ThemiStruct-WAM(テミストラクト-ワム)」
(第3回)OpenAMと連携する、発行枚数に依存せず定額な電子証明書とは?
(第5回)OpenAMを活用した、BYODにおけるセキュリティ強化の手法は?
(第6回)OpenAMによる、Office 365の認証統合
(第7回)OpenAMを活用して、Office 365のセキュリティを強化するには?

(第4回)事前に許可したスマートフォンやタブレットにのみ、アクセスを許可するには?

オープンソースを活用したソリューション提供に積極的に取り組んでいる株式会社オージス総研。今回は、オープンソースの「OpenAM」を活用した統合認証ソリューションで、今業界から注目を集めている「ThemiStruct-WAM(テミストラクト-ワム)」について、開発元である株式会社オージス総研 サービス事業本部 テミストラクトソリューション部の千野様、諸橋様にお話しをお伺いました。

第4回は、前回に聞き続き、電子証明書発行ソリューション「ThemiStruct-CM(テミストラクト-シーエム)」について伺っていきます。スマートフォンやタブレットに電子証明書をインストールし、事前に許可したデバイスのみアクセスを許可する方法などについて聞きました。(インタビューア:オープンソース活用研究所 寺田)

寺田
前回に引き続き、オージス総研の電子証明書発行ソリューション「ThemiStruct-CM(テミストラクト-シーエム)」についてお聞きしたいと思います。

「ThemiStruct-CM(テミストラクト-シーエム)」は、スマートフォンやタブレットにも対応しているのでしょうか?スマートフォンやタブレットにも、電子証明書をインストールすることができるでしょうか。

千野
はい、もちろん対応しています。iPhone、Android、どちらでも大丈夫です。

実は、EJBCA(公開鍵基盤を用いた高度なセキュリティを誇る電子証明書発行を可能にするオープンソースソフトウェア)だけでは電子証明書のインストール画面がスマートフォンに最適化されていないのですが、当社で最適化し、使いやすくなっています。

寺田
数年前までは、スマートフォンのブラウザは電子証明書に対応していない、という状況だったと思いますが、現在は大丈夫なのですね?

古い端末には問題がある

千野
はい。ただ、やはり古いブラウザだと問題があります。

具体的には、ユーザが証明書をスマートフォンから抜き出したり、他のスマートフォンにコピーしたりすることができる端末があります。これでは電子証明書の意味がなくなってしまいます。 「ThemiStruct-CM(テミストラクト-シーエム)」ではこの問題に対応するために、株式会社ジェーエムエーシステムズが提供する「KAITO」というセキュリティブラウザと連携し、この問題を解決しています。既に、導入事例もあります。

寺田
ありがとうございます。導入事例とはは、先日オージス総研で公開された、Office365との認証連携も行った事例ですね?

Office 365セキュアアクセスソリューションイメージ

http://www.ogis-ri.co.jp/news/1214593_6734.html

Office 365セキュアアクセスソリューション事例

http://www.ogis-ri.co.jp/casestudy/1211509_7541.html

Office365にアクセス可能なスマートフォンを、電子証明書で限定した、ということですね。この事例は第6回、第7回で詳しくお伺いしたいと思います。

「ThemiStruct-CM(テミストラクト-シーエム)」ですが、競合となる製品、ソリューションは、どのようなところになりますでしょうか。

電子証明書を販売するのではなく、電子証明書発行システムを提供する

諸橋
大手のセキュリティ企業が発行する電子証明書と競合します。

ただこの場合、証明書1枚あたり◯◯円、という価格体系です。大手企業などユーザ数が多い場合、非常に高額になってしまい、導入を諦めるケースも多いくらいです。

「ThemiStruct-CM(テミストラクト-シーエム)」は、証明書を販売するのではなく、証明書を発行するシステムをご提供しています。その為、証明書は何枚発行していただいても金額は変わりません。このことから、ユーザ数が多い企業などで多く導入して頂いています。

寺田
過去、私が関わった案件で、確か1,000名程度の従業員全員にスマートフォンを配ることを計画されていた会社がありました。社外からのアクセスは、やはり会社が支給した端末からのアクセスに限定したい、個人の端末からのアクセスは禁止したい、というニーズがありまして、全てのスマートフォンに電子証明書を導入する案を検討したのですが、証明書を購入した場合の金額を試算するととても高すぎで導入を断念したケースがありました。

「ThemiStruct-CM(テミストラクト-シーエム)」のように、何枚でも証明書が発行できるのは魅力ですね!

その案件では、独自に証明書を発行することが可能だということを誰も知らず、そういった案は検討に入ってこなかったのですが、「ThemiStruct-CM(テミストラクト-シーエム)」のように、証明書を販売するのではなく、証明書発行システムを提供するソリューションは、他にもあるのでしょうか。

諸橋
あまり無いと思います。

「ThemiStruct-CM(テミストラクト-シーエム)」は、もっと多くのお客様のお役にたてるソリューションなので、もっと多くの方に知って頂きたいです。

「ThemiStruct-CM(テミストラクト-シーエム)」の導入事例

寺田
「ThemiStruct-CM(テミストラクト-シーエム)」について、導入事例はございますか?

千野
はい。まず某県庁様に導入した事例があります。 県が提供するシステムで、県内の学校の教職員が利用するシステムがあるのですが、機密情報を扱うため高度な認証が必要でした。 そこで「ThemiStruct-CM(テミストラクト-シーエム)」を導入させて頂き、約5,000枚の証明書を発行致しました。お客様が所有していたVPN装置で証明書を認証しています。

寺田
なぜ、オージス総研に決まったのでしょうか。

諸橋
まずはコストです。非常に安いコストで高度な認証システムを構築することができました。 あとは、お客様の課題や、現状などを考慮し、最適な提案ができたということだと思います。当初、MACアドレス等を使って端末を制限するといったことも検討していたのですが、システム構築や運用の負担を考え、また既存のVPN装置を活用することもできるということから、電子証明書の方式をご提案させて頂きました。

あとは、第2回でもご紹介した、電鉄会社様の事例があります。こちらは「ThemiStruct-WAM(テミストラクト-ワム)」との連携です。 「社外からのアクセス」に、SSL VPNリモートアクセス製品を使っていたのですが、より情報システムの活用を推進するために、ユーザにとって利便性の高い電子証明書の方式を採用することとなりました。

さらに、住宅設備機器メーカー様の事例があります。こちらも「ThemiStruct-WAM(テミストラクト-ワム)」との連携です。代理店が利用するWebEDI操作端末に電子証明書をインストールするのですが、以前は証明書が高価だったということもあり、WebEDI操作端末の利用台数は伸び悩んでいました。これが「ThemiStruct-CM(テミストラクト-シーエム)」を導入することで、利用台数が大幅に増加しました。WebEDIは在庫や納期の問合せ業務を直接処理するシステムであるため、利用台数の増加はエンドユーザーへのサービス品質の向上につながると期待されます。

「ThemiStruct-CM(テミストラクト-シーエム)」の導入効果

住宅設備機器メーカー様ご導入システムの概要

寺田
ありがとうございます。

これから益々スマートフォンやタブレットで、しかも社外からインターネット経由で情報システムにアクセスしたい、というニーズは確実に増えてきますから、「電子証明書を何枚でも無制限に発行できる」という「ThemiStruct-CM(テミストラクト-シーエム)」の活躍の場は広がりそうですね!

千野
はい。我々は、ユーザ認証以外でも電子証明書が使える分野があるのではないか、と考えています。例えばM2Mなどの分野です。 昨今、様々な業務処理がコンピュータによってオートメーション化されるなか、機器を認証するというニーズは非常に高まっています。この機器同士の認証に「ThemiStruct-CM(テミストラクト-シーエム)」で発行した証明書を使えないかと考えています。お客様と一緒に検討していけたらと思います。

寺田
ありがとうございました。

次回は、二要素認証のもう一つの代表格である、「ワンタイムパスワード」についてお話しを伺いたいと思います。

(連載)

(第1回)OpenAMとは
(第2回)OpenAMを拡張した、「ThemiStruct-WAM(テミストラクト-ワム)」
(第3回)OpenAMと連携する、発行枚数に依存せず定額な電子証明書とは?
(第5回)OpenAMを活用した、BYODにおけるセキュリティ強化の手法は?
(第6回)OpenAMによる、Office 365の認証統合
(第7回)OpenAMを活用して、Office 365のセキュリティを強化するには?


OSSNEWSに広告を掲載しませんか?

著者プロフィール

株式会社オージス総研 千野修平・諸橋純也

株式会社オージス総研で、オープンソースを活用したIT基盤ソリューションであるThemiStruct(テミストラクト)の開発に従事。 サービス事業本部 テミストラクトソリューション部 プロフェッショナルサービス第二チーム 千野修平 サービス事業本部 テミストラクトソリューション部 プロフェッショナルサービス第一チーム 諸橋純也

最新TOPICS

【講演資料を公開】4/25「OpenAMによるシングルサインオンの概要」(2017年05月25日 09:15)

2017年04月25日(火)16:30 ~ 18:45 牛込箪笥地域センター にて「OpenAMによるシングルサインオンの概要」と題したセミナーを開催しました。当日は、お陰さまで満席となり、大盛況のうちに終了する事ができました。 講演後の質疑応答の際には、多くのご質問を頂戴し活発な議論が行われました。 来場者アンケートでも、 「リバースプロキシ方式と代理認証方式の違いが、理解できた点が大きか...

関連オープンソース

Snort(スノート)

  • セキュリティソフト

Snort(スノート)とは、ネットワーク型IDS(不正侵入検知システム)です。ネットワーク上を流れるパケットをキャプチャーして、不審なパケットの検出を行います。

WSO2 Identity Server(ダブルエスオーツー アイデンティティ サーバ)

  • シングルサインオン

WSO2 Identity Server(ダブルエスオーツー アイデンティティ サーバ)とは、シングルサインオンソリューションです。アプリケーション/API/クラウド/モバイル間で統合ID管理を行います。

LibreSSL(リブレ エスエスエル)

  • ネットワーク系ツール

LibreSSL(リブレ エスエスエル)とは、SSL/TLSプロトコルのオープンソース実装(通信用ソフトウェア)で、「OpenSSL」の派生改良版です。圧倒的シェアを持つが問題が多い「OpenSSL」を代替できるものとして期待されています。

Vuls(バルス)

  • セキュリティソフト

Vuls(バルス)とは、脆弱性スキャンツールです。Linux(FreeBSD)系OS/各種ミドルウェア/各種フレームワークなどに対する脆弱性存在を検査し、詳細情報をレポーティングします。

OpenSSH(オープンエスエスエイチ)

  • ネットワーク系ツール

OpenSSH(オープンエスエスエイチ)。ネットワーク経由通信を暗号化する「SSH」のオープンソース実装です。おもにUNIX/Linuxサーバに対するネットワーク経由でのリモートログインに使用します。

FreeRADIUS(フリーラディウス)

  • 認証サーバ

FreeRADIUS(フリーラディウス)。オープンソースの高機能RADIUSサーバです。認証用プロトコル「RADIUS」機能を実現するデファクトスタンダードとして広く使われています。

OpenSSL(オープンエスエスエル)

  • ネットワーク系ツール

OpenSSL(オープンエスエスエル)。オープンソースSSL/TLS暗号化ライブラリです。世界中のWebサイトで圧倒的シェアを持っており、事実上の業界標準となっています。

Apache DS(アパッチディーエス)

  • 認証サーバ

Apache DS(アパッチディーエス)。オープンソースのLDAP(ディレクトリ)サーバです。「Apache Directory」プロジェクトで開発されています。

389 Directory Server(389ディレクトリサーバ)

  • 認証サーバ

389 Directory Server(389ディレクトリサーバ)。オープンソースディレクトリサーバです。「Fedora Directory Server」の後継で、商用製品の流れを受けており、ユーザフレンドリーなGUIツールの充実などが特徴です。

OpenIDM(オープンアイディーエム)

  • ID管理

OpenIDM(オープンアイディーエム)。高い柔軟性と拡張性を備え、エンタープライズ/クラウド/モバイル/ソーシャル/レガシーなど多様な環境において、ユーザアカウントのプロビジョニングとライフサイクルの一元管理を実現するID管理製品です。

LISM(リズム)

  • ID管理

LISM(リズム)。シンプルな使いやすさが特徴のID統合管理ソリューションです。

OpenAM(オープンエーエム)

  • シングルサインオン

OpenAM(オープンエーエム)。「OpenSSO」の後継製品として、認証、アクセス認可、フェデレーションなどの機能を備えた、Webアプリケーションやクラウドサービスに対してのシングルサインオンを実現するオープンソース高機能認証ソリューションです。

OpenLDAP(オープンエルダップ)

  • 認証サーバ

OpenLDAP(オープンエルダップ)。最も多くの導入実績があり、ディレクトリサービスを提供するオープンソースLDAPサーバです。

OpenDJ(オープンディージェー)

  • 認証サーバ

OpenDJ(オープンディージェー)。OpenAMに内蔵されており、先進的なレプリケーションアーキテクチャや「REST API」を搭載したLDAP準拠の高機能オープンソースディレクトリサーバです。

バックナンバー

関連記事

  • オープソース書籍(サイド)

OSS×Cloud ACCESS RANKING

facebook

twitter