導入が難しく、運用コストも掛かる――。シングルサインオン(SSO)製品が抱えていたこうした課題を、新しい発想で解消したのが「透過型SSO」だ。従来のSSOとどう違うのか?
スマートフォンやタブレットデバイスが爆発的に普及し、多くの企業でもスマートデバイスをビジネスに活用する事例が増えている。しかし、どこからでも柔軟にアクセスできる半面、新たなセキュリティの不安が生まれているのも事実だ。
残念ながら、スマートデバイス向けのセキュリティ対策は、まだ完備されている状況とはいえない。こうした中、スマートデバイスの安全性を高める手法として注目すべき動きが、「シングルサインオン(SSO)」の世界から現れ始めた。
もともとSSOは、業務システムが分散化していた時代にユーザーの利便性を向上させるために登場した技術である。ただ最近になって、スマートデバイスを含めて、マルチデバイスの利便性を高めつつ、安全性を向上させることを目的としたSSO製品が誕生し始めているのである。
「SSO」と聞いて、決して良い印象を抱くユーザー企業ばかりではないかもしれない。というのも、従来のSSOは導入が困難で、運用の負荷・コストが高いという課題があったからだ。
従来のSSOは、Webサーバに認証用のエージェントモジュールをインストールする「エージェント型」、ユーザーのアクセス要求をWebアプリケーションに代わって受け付けるWebサイト(SSOサーバ)をLANに設置する「リバースプロキシ型」が一般的だ。これらには、それぞれ別の課題がある。
エージェント型の最大の難点は、Webサーバへソフトウェアをインストールする必要がある点だ。Webサーバの種類やサーバOSなどの条件によって対応できないケースもあるし、バージョンアップの作業も困難である。リバースプロキシ型については、SSOサーバをスキップして元のWebアプリケーションのURLへ直接アクセスさせないように、アプリケーションサーバやネットワークの構成を変更する必要もある。
これらの他に、システムへのログオンをクライアントにインストールしたアプリケーションが代行する「代行入力型」もあるが、クライアント端末1台ずつにソフトウェアをインストールする必要があるため、台数が増えると導入と管理が困難となる。Windows、Mac OS、Android、iOSと多様化するデバイスへ対応するのも難しい。また「SAML」や「OpenID」などに代表される「フェデレーション(認証連携)」も、既存のシステムに組み込むには、大掛かりなWebサーバの改修が必要となってしまう。
このように、既存のSSO製品にはさまざまな課題があった。こうした課題を解決すべく、従来とは異なるアプローチでSSOを実現し、かつスマートデバイスのセキュリティ対策に役立つ機能を備えた製品がある。その代表例が、ソリトンシステムズが提供するSSO製品「Smart eGate」だ。
Smart eGate最大の特徴は、アプリケーションへの影響を最小限にする「透過型SSO」を実現したことだ。ユーザーがWebアプリケーションへアクセスする際の通信を監視し、ユーザー認証が必要なときのみ認証情報をWebサーバへ送付するのが基本的な仕組みである(図1)。WebアプリケーションのURLといったアクセス方法の変更は必要なく、Webアプリケーションに合わせたコンテンツの変換も不要だ。
従って、どのような端末やWebブラウザでも活用できるのが強みとなる。サーバ側においても、「BASIC認証」「ヘッダ認証」「フォーム認証」といった各種のWeb認証に対応しており、オンプレミスからクラウドサービスまで、幅広い環境へ適用できる。既存環境への影響もごく小さい。
2014年2月に登場した最新版のSmart eGate V1.2にもさまざまな機能が追加された。中でも大きな機能拡張の1つが、「クライアント証明書認証」への対応だ。これは、特にスマートデバイスのセキュリティ強化を目的として追加された。
スマートデバイスはタッチパネルというハードウェアの特性上、ID/パスワードが入力し難いという問題がある。クライアント証明書認証ができれば、この入力ステップを省略することも可能だ。
さらにSmart eGate V1.2は、接続元ネットワークによって認証方式やその組み合わせを変更可能にする機能を搭載した。例えば、LANにある端末からであればクライアント証明書のみで認証を行い、外出先から接続する際には、クライアント証明書認証とID/パスワード認証を組み合わせるといった具合だ。
認証局は、同社の「NetAttest EPS」を初めとする一般的な認証局に対応している。スマートフォン専用オプション「NetAttest EPS-ap」と組み合わせれば、スマートデバイスへの証明書配布も容易かつ安全に行うことができる。また、既に何らかのクライアント証明書を導入している場合、バージョン1.2からは中間CA証明書をインポートすることができるようになったため、そのまま利用し続けることも可能だ。
Smart eGate V1.2では、特にサービス事業者やデータセンター事業者などの、大規模環境向け冗長化機能も強化された。
その1つが、プロキシ機能とデータベース機能を分割し、それぞれ冗長構成を取れるようになったことだ。プロキシ機能のみの「Proxyモード」で稼働する複数のSmart eGateで多数のアクセスを処理し、データベース機能のみの「DBモード」で稼働するバックエンドのSmart eGateにはデータベース情報の参照のみを行うという仕組みである。Proxyモードは無制限に、DBモードは10台まで冗長化できるため、膨大なユーザーからのアクセスを処理する環境であっても安心だ。
SSO製品を運用する際、管理者にとって厄介なのが、ID/パスワードの登録、管理作業である。例えば、オンラインサービスによっては定期的なパスワードの変更を義務付けているところもあるが、Smart eGateならばエンドユーザー自身に運用を任せることもできる。
既に著名なクラウドサービスの情報が登録されており、SSOの有効/無効もエンドユーザーに任せることができる他、個別のメニューを表示するかしないかを管理者側でコントロールすることも可能だ。
新たなWebアプリケーションの追加も容易であるため、最小限の構成・設定で迅速に運用を始めて、徐々にSSO対象のWebアプリケーションを増やしていくこともできる。Smart eGateに直接アクセスすれば、ユーザーグループに応じたメニューが表示され、アプリケーションポータルとして活用することも可能だ(画面1)。
機能強化されたSmart eGateと、ソリトンシステムズのさまざまな関連製品とを組み合わせることにより、クライアント端末からサーバに至るまでのネットワークにおいて、より安全でより利便性の高い環境を構築することができる(図2)。
ただしソリトンシステムズは、自社製品同士の連携だけを想定しているわけではなく、オープンなプロトコルへの準拠による他社製品との連携についても重視している。そのため、既存環境へSmart eGateを初めとする同社製品を適用するのも容易である。
とはいえSSOは、システムの正常稼働に強く関わる仕組みであるため、自社環境での稼働に不安がある読者も少なくないはずだ。そこでソリトンシステムズでは、しっかりと導入前にテストできるように、評価ユニットの貸し出しや技術支援についても注力している。ぜひ問い合わせていただきたい。
近年のITシステムの急激な変化により、従来のシングルサイオン(SSO)という仕組みに対し、よりセキュリティを求める声が高くなってきた。「クラウドサービス」「スマートデバイス」を意識した機能とは、一体何を指し示すのだろうか?
| ホワイトペーパーのダウンロードページへ (TechTargetジャパン) |
提供:株式会社ソリトンシステムズ
アイティメディア営業企画/制作:TechTarget編集部/掲載内容有効期限:2014年3月11日
ITmediaはアイティメディア株式会社の登録商標です。
図1 透過型SSOの仕組み。Smart eGateでは、Webアプリケーションへのアクセスを監視し、必要に応じて認証情報の送信のみを行う
画面1 Smart eGateへアクセスすると、ユーザーグループに応じたメニューが表示される
図2 ソリトンシステムズの製品群で、マルチデバイス環境に適したセキュリティ対策を実現