パスロジの認証プラットフォーム「PassLogic」は、F5ネットワークスが提供する認証プロキシミドルウェア「BIG-IP Access Policy Manager(以下、BIG-IP APM)」との連携により、「パスロジック方式+デバイス固有情報」での強固かつ利便性の高い2要素認証を実現することができます。
そこで本記事では、F5ネットワークスジャパン合同会社 グローバルサービスビジネス本部 プロフェッショナルサービス部 コンサルタント/セキュリティスペシャリストの鈴木賢剛氏にインタビューを実施。機能連携に至った経緯や具体的なメリットなどについて伺いました。

F5ネットワークスジャパン 受付

F5ネットワークスジャパン
グローバルサービスビジネス本部
プロフェッショナルサービス部
コンサルタント/セキュリティスペシャリスト
鈴木賢剛氏

安全なリモートアクセス環境を提供する「BIG-IP APM」

F5ネットワークスの「BIG-IP」は、ロードバランサ製品として国内外で高いシェアと知名度を誇っていますが、その追加モジュールとして提供されているのが「BIG-IP APM」です。
鈴木氏はBIG-IP APMについて、このように紹介します。
「PCや各種モバイルデバイスの固有情報を取得、ADやLDAPなど既存の認証サーバで照合し、アクセス時のポリシー管理で安全なリモートアクセス環境を提供する認証プロキシミドルウェアです。
多彩な領域への応用が可能ですが、実際に用途として一番多いのはSSL-VPNリモートアクセス環境の構築ですね。
2番目がVDIゲートウェイとしての役割で、さまざまなVDI製品が混在する環境下でも1台のゲートウェイでまとめて管理することができます。
そして3番目がフェデレーション関連のSSO(シングルサインオン)ですね。SSOの使い方としては、マイクロソフトのForefront TMGやUAGなどサポートが終了したゲートウェイ型製品の置き換えで用いられるケースが増えています」

BIG-IP APMの製品内容をイメージした図。数多くの認証方式と認証先アプリに対応している(クリックで拡大)

グラフィカルなインターフェイス。フローチャート式で、動作の順番が分かりやすい(クリックで拡大)

連携によって固有情報の登録作業を自動化

このようにセキュアなリモート接続環境を提供するBIG-IP APMですが、実はパスロジの認証プラットフォームで、トークンレス・ワンタイムパスワードの機能を持つ「PassLogic」と連携させることで、よりセキュアかつ利便性の高い「2要素認証」が実現できるのをご存知でしょうか。
2要素認証とは、パスワードのような本人の持つ知識によって確認する「知識認証」と、本人の所有物で確認する「所有物認証」、本人の身体的特徴で確認する「生体認証」のうち、2種類を組み合わせてセキュリティ強度を高める手法のこと。
PassLogicのトークンレス・ワンタイムパスワード機能は、「パターンを知っている」という知識情報によって確認を行う「知識認証」のソリューションです。
一方のBIG-IP APMは、ユーザが所有する端末内の固有情報を用いた「所有物認証」を得意分野としています。
こうした双方のメリットを最大限に活かすべく、両社では2016年にAPI連携機能の共同開発を実施。PCやスマートデバイスなどが持つ固有情報の登録作業が自動化できる機能を提供しています。
各端末からBIG-IP APMへの初回のログイン時に、認証データベース内にその端末の固有情報が自動登録されるため、セキュアなだけでなく初期構築工数やコスト、システム管理者の負担などを大幅に低減することが可能になります。

きっかけはシステム管理者にかかる負担軽減

PassLogicとのAPI連携に至った経緯について、鈴木氏は「BIG-IP APMで使用デバイスの認証を行うには、固有情報を事前にRADIUS Attributeなどへ登録しておく必要があります。しかし、企業規模によっては数万台におよぶデバイスの固有情報を収集・登録することになるため、どうしてもシステム管理者やSIerに相当な負担がかかってしまうのが課題でした。個人的にも“ITは人を楽にするべき”という哲学を持っているので、なんとか導入が容易にならないかと思案していたんです」と語ります。
そうした中、BIG-IP APMのIDM(Identity Management)機能が拡張され、収集した端末の固有情報を外部へ渡せるようになりました。この機能拡張を受け、PassLogicとのAPI連携による固有情報の自動登録機能を思いついたそうです。

PassLogicのログインプロセスやパフォーマンスに注目

鈴木氏は、数ある認証プラットフォームの中から、なぜPassLogicを選択したのでしょうか。
「まず一番気に入ったのがログイン時のプロセスです。一般的な認証強化ソリューションでは、ユーザログオンを行うプロセスにおいてハードウェアトークンやスマートフォンなどを用いるため、どうしてもWebブラウザ画面から一度目を離す瞬間があります。あの作業はユーザとしては非常に煩わしいものですよね。そうした意味で、画面から視線を逸らすことなくワンタイムパスワードが実現できるPassLogicのユニークな発想は非常に惹かれました。
もちろん、本人認証でもっとも重要な要素である“破られにくさ”を兼ね備えていたこともポイントです。PassLogicの認証を通過したアクセスであれば、確かに本人であるという前提ができるため、初回のアクセス時に端末固有情報を収集するBIG-IP APMとの親和性も高いといえます。
そしてもうひとつ、認証スピードも魅力のひとつでした。エンタープライズ用途においては最低でも秒間30回の認証が求められますが、PassLogicはその基準を十分にクリアする性能とアーキテクチャを持ち合わせています。
機能以外の面では、パスロジの意思決定の速さも決め手でしたね。私が提案を持ち掛けた際も即断に近いレベルで対応を決定してくれました。こうした対応能力は市場ニーズに対してすぐに製品を提供できる俊敏さの表れともいえます」

現在懸念されている証明書認証の課題も払拭

PassLogicとBIG-IP APMの連携は、認証において現在懸念されている課題払拭にも大きな効果を発揮します。
この点について鈴木氏は「これまで数多くの企業では、端末認証の手段としてクライアント証明書を用いた認証方式が用いられてきました。しかし、最近はSSL可視化という観点からSSL通信を解くタイプのプロキシ製品が登場したことで、接続環境によってはつながらないというトラブルが増え始めています。
一方で、PassLogicとBIG-IP APMを連携した2要素認証なら、こうした証明書も、ハードウェアトークンなどの認証専用端末も用いない、セキュアで利便性の高い環境が構築できるわけです」と語ります。

最後に鈴木氏から「企業を取り巻くインターネット上の脅威が高まっている中、今後の企業ではネットワークファイアウォールやWAF(Web Application Firewall)など一般的なセキュリティ製品と同じように、『認証・認可のファイアウォール』が必要といえます。
認証が得られていないトラフィックをいかに防ぐか、これは企業の重要な情報資産を守る上で、非常に重要なポイントといえるでしょう」とのメッセージをいただきました。

「強固なセキュリティ」、「ユーザの利便性」、「運用管理コストの軽減」の3点において優れたこの連携ソリューションは、認証環境に課題を持つ企業・団体の皆様にとって、有力な解決案のひとつだと言えるでしょう。

【参考リンク】
>BIG-IP APM製品情報
>PassLogic製品情報

>鈴木氏ブログ記事「BIG-IP APMとPassLogicを連携させて端末固有情報の登録を自動化する方法」

>パスロジ製品に関する資料請求・お問合せ

※記事中に記載されている、会社名、製品名、ロゴ等は、各社の登録商標または商標です。