仮想デスクトップサービス「Amazon WorkSpaces」への認証に
「PassLogic」のソフトウェアトークン型OTP認証機能を導入

TOKAIグループとして情報通信事業を手掛け、「Amazon WorkSpaces」の導入支援に力を入れているTOKAIコミュニケーションズ社では、社員が社外に持ち出して使用するPC端末で、Amazon WorkSpacesを利用する際の認証にPassLogicのソフトウェアトークン型OTP(ワンタイムパスワード)認証機能を導入しています。
その利用シーンと、システム構成、認証システムとしてPassLogicを採用した理由について、今回の導入製品選定に携わられたTOKAIコミュニケーションズ社 法人営業本部 クラウドソリューション推進室 インテグレーション課 課長 高谷様と、同課 武井様にお話を伺いました。

【お客様プロフィール】
株式会社TOKAIコミュニケーションズ
TOKAI Communications Corporation
設立:1977年3月18日
従業員数:1,140人※2016年4月1日時点
URL:http://www.tokai-com.co.jp/

【導入の背景・課題】

・社外からAmazon WorkSpaces利用時の認証強化
・PassLogicを取扱製品とするための研究

【導入後の改善効果】

・「2要素認証」の実現による認証の強靭化
・インシデント発生時の状況把握が容易になった。

TOKAIコミュニケーションズ社 法人営業本部 クラウドソリューション推進室 インテグレーション課 課長 高谷様

TOKAIコミュニケーションズ社 法人営業本部 クラウドソリューション推進室 インテグレーション課 武井様

■社外からの接続に「Amazon WorkSpaces」を利用

企業のIT化が進んだ現在において、PC端末を社外に持ち出して、打ち合わせやプレゼン、デモンストレーションに使用することは当たり前になっていると思います。当社でも営業部をはじめとした社員たちが、PC端末を持ち出して使用しています。そこでコンプライアンス上の課題となるのが、端末紛失時のデータ漏洩対策です。
当社では、持ち出しPCからの社内ネットワークへの接続には、仮想デスクトップサービス「Amazon WorkSpaces」を導入し、PC端末上にはデータを残さない仕組みを構築しました。
しかし、Amazon WorkSpacesに、通常のアカウントとパスワードだけでログインできてしまう状況は、セキュリティとして十分ではありません。パスワード以外の認証要素による強化が必要だという判断があり、そこでワンタイムパスワード製品の導入を検討しました。

■PassLogic採用の理由

情報サービス事業を展開し、顧客にITシステムの導入支援を行っている当社としては、実際に運用して問題がなければ、取扱製品として販売することも視野に入れて、日本製、海外製を問わず、さまざまなワンタイムパスワード製品を検討しました。
ワンタイムパスワードというと、時間によって切り替わるTOTP(Time based One-Time Password)が一般的で、ハードウェアトークン型とソフトウェアトークン型があります。
当社では、対象の社員にはすでに業務用スマートフォンを配備しており、ソフトウェアトークン型であれば新たなデバイスを用意する必要がありません。顧客企業の間でも社員のスマートフォン利用は進んでいる状況です。ですので、ソフトウェアトークン型OTP製品からの選択となりました。
ワンタイムパスワードというと、ハードウェア型、ソフトウェア型に関わらず、大抵の場合はデバイス上に数字をそのまま表示するタイプになります。その点、PassLogicは独特なパスワード表示方法を採用しています。PassLogicは、パスロジ社が無償配信しているパスワード管理アプリ「パスクリップ」と連携する形で、ソフトウェアトークン型OTP機能を提供しているのですが、このパスクリップのパスワード表示形式は、第3者にパスワード表示画面を盗み見られたとしても、パスワードを知られることがありません。画面を肩越しに見られる「ショルダーハッキング」に強い仕組みです。この独自性を評価しました。
価格においてもPassLogicはリーズナブルで、サーバソフトウェアとライセンスといった導入時の費用において、他の製品の7割程度の価格が算出されました。
また、日本製なので、国内からのメーカーサポートが受けられる点も大きな利点です。実際の導入過程においてもメーカから十分なサポートを受けることができました。インストールプログラムも用意されているため、サーバ準備の手間もかかりませんでした。

【スマートフォン用アプリ「パスクリップ」の特徴】
ひとつの「パターン」を覚えるだけで、複数のパスワードを管理できるパスワード管理アプリです。
パスワードは、ビンゴのような5×5のマス目の中に文字が表示され、ユーザがあらかじめ決めて置いた「パターン(マス目の位置と順番)」に沿って文字を抜き出して、パスワードを判別する仕組みとなっています。
PassLogicサーバと連携し、その認証サーバ用のTOTPを表示することも可能です。

■認証手順:Amazon WorkSpaces連携の場合

1:スマートフォン上の「パスクリップ」を起動し、対象のスロットをタップ
2:5×5のマス目からパターンに沿って数字を抜き出し、OTPを確認

3:Amazon WorkSpacesを起動。サインイン画面が表示される。
4:通常の「ユーザ名」と「パスワード」に加えて、パスクリップで確認したOTPを「MFACode」に入力
5:サインイン成功/失敗

■各システムとの連携方法

PassLogicの認証サーバは、Amazon WorkSpacesのMFA(Multi Factor Authentication)機能で追加可能なRADIUSサーバとして働きます。Amazon WorkSpacesで標準設定されているアカウントとパスワードに加えて、RADIUSプロトコルに則った認証をAmazon WorkSpacesとPassLogic間で行います。この設定は、Amazon WorkSpacesとPassLogic、それぞれの管理画面上で行えばよいので、特に難しいこともなく、手間なく行うことができました。
Amazon WorkSpacesとPassLogicへの認証が完了すると、専用線を経由して当社の社内ネットワーク内にある「ActiveDirectory」にアクセスし、アカウント情報を参照します。そのアカウント情報に応じて、社内ネットワーク上のファイルサーバなどにアクセス可能となります。

■PassLogic導入後の状況と今後の予定

PassLogicの導入により、「アカウント&パスワード」+「ソフトウェアトークン型OTP」という組み合わせの2要素認証が実現し、コンプライアンス上の課題が解決しました。しかも、パスクリップのビンゴ型表示形式も採用しているため、通常の数字を表示するだけのOTPよりも強力です。
トラブル時にログを参照する際にも、PassLogicは当社でも理解が進んでいるオープンソースソフトウェアで構成されているため、分析が容易に行えることも利点です。
今回はPassLogicをAmazon WorkSpacesへの認証として連携しましたが、他の仮想デスクトップサービスやVPNサービス、クラウドサービスなどにも連携可能です。当社では今後、さまざまなサービスとの連携方法を習得し、運用実績を重ねて、顧客の皆様にも安心して利用できるITシステム環境の構築を提案してまいりたいと思います。

—–
以上、高谷様と武井様にPassLogicの導入状況と採用理由をお伺いいたしました。
仮想デスクトップサービスの利用は、テレワーク環境を構築し、「働き方改革」実現のためのひとつの回答となります。しかし、そこには必ず情報漏洩対策のための認証強化がセットとなります。
今後もパスロジでは、テレワーク環境構築を後押しする、強力で使いやすい認証製品を開発してまいります。

PassLogic製品紹介ページ
パスロジ製品に関する資料請求・お問合せ