お客様のグローバル化に対し AWS 活用で対応。デバイス ID と BIG-IP APM でセキュアな認証を実現
事例企業: 横河電機株式会社
事例カテゴリ:ネットワークセキュリティ業務効率化
目的: クラウド上の業務システムへのアクセス認証
導入前の課題
グローバル化する顧客へのレスポンス速度を維持するためオンプレミスから Amazon Web Services へ移行。モビリティを向上してほしいという利用者の要望がある反面、運用側としても強固なユーザー認証を実現する必要があった。
導入の目的・解決手段
サイバートラストの 「デバイス ID」と、「BIG-IP Access Policy Manager(APM)」の組み合わせによるデバイス認証を導入。既存のユーザー認証を組み合わせた二要素認証を実現。
導入効果
二要素認証によるセキュアな認証に加え、顧客サイトの IP アドレス制限緩和も可能になり、端末利用場所の制約がなくなるため、モバイルでの活用等ユーザーの利便性が向上した。
顧客に納品したシステムのリモート保守サービス等を提供する、横河電機株式会社 ライフサイクルサービス事業部。ここでは提供サービスの最適化のために Amazon Web Services(AWS)が活用されている。ここで大きな課題になったのがモビリティ向上に対応しうるよりセキュアなユーザー認証の実現だった。そのために導入されたのが、サイバートラストのデバイス ID と BIG-IP APM を連携させた端末認証だ。これと既存のユーザー認証を組み合わせた二要素認証は、極めて完成度の高い認証システムであると評価されている。
2016 年 12 月 取材
ビジネス上の課題
顧客のビジネスがグローバル化することで、情報サービスを提供する企業も、新たな課題が突きつけられるようになってきた。それはサービス提供に使うデータセンタを、どのように配置するかである。レスポンス速度を維持するには、顧客サイトに近い地域にデータセンタを設置することが望ましい。また地域の顧客により求められるニーズは様々であり、その要求に迅速に対応することも求められる。グローバル化する顧客のニーズに対応するには、世界の主要エリアにデータセンタを設置する「マルチセンタ化」が求められるようになるのだ。
この要求に対応するため、Amazon WebServices(AWS)の活用を開始したのが、横河電機 ライフサイクルサービス事業部である。同事業部では、横河電機が納入した計装設備の保全課題を解決する多岐にわたるライフサイクルソリューションを提供。その多くは自社運営のデータセンタで提供しているが、一部のサービスを AWS へと移行しつつあるのだ。その対象となったのは、顧客システムをリモート監視し、問題発生時の迅速な復旧や予防保守、操業支援強化等を行うサービス。これによって収集されたデータは、顧客自身もアクセスすることが可能だ。
このようなクラウド化の背景について「マルチセンタ化を自社運営のデータセンタで進めていくのは、データセンタ構築の投資が大きく、マネジメントも難しくなるからです」と説明するのは、同事業部 ソリューション企画開発部 部長の諸岡 勲氏。横河電機の情報システム部にはクラウドの知見が蓄積されていたこともあり、2015 年 5 月からクラウド化に向けた検討に着手したと振り返る。「AWS なら、少ない初期投資で世界の主要地域にサーバを立ち上げることができ、マネジメントも圧倒的に楽になります」。
一方、このタイミングでより強固なユーザー認証を実現する必要があったと指摘するのは、同事業部 ソリューション企画開発部 開発運用課課長の野田 孝司氏だ。「これまでもユーザー ID とワンタイムパスワードを組み合わせたユーザー認証に加え、お客様側の IP アドレスを制限することで、不正アクセスを防いできました。これに加え、モビリティを向上してほしいという利用者の要望があり、その実現の準備としてハードウェア認証も加えた『二要素認証』を導入することにしたのです」。
ソリューション
そこで導入されたのがサイバートラストの 「デバイス ID」と、BIG-IP Access Policy Manager(APM)の組み合わせだった。「当初はハードウェアトークンやスマートフォンを利用した二要素認証も検討しましたが、トークンには物理的な配布をどうするかという問題があり、スマートフォンを所持していないお客様がいらっしゃることも考えなければなりません。これに対してデバイス ID なら、ネットワーク経由で証明書を配布し対象端末にインストールするだけで、簡単に使い始めることができます」(野田氏)。
その一方で「デバイス ID による認証を適切に行うには、証明書の有効性をリアルタイムで確認する Online Certificate Status Protocol(OCSP)サーバと連携した認証システムを構築する必要があり、AWS の標準機能だけでは実現が困難です」と語るのは、サイバートラストの田上 利博氏。そこで、すでに実績のある BIG-IP APM の Virtual Edition(VE)を、一緒に導入することを提案。これを受け、2015 年 10 月の採用決定に至るのである。
メリット
■経験豊富なパートナーが短期間構築を実現
BIG-IP APM の導入・設定を含むシステム構築は、日立システムズが担当。これは、同社が AWS における F5 製品の導入経験を豊富に持っていることを知っていた、サイバートラスト側から提案した。「今回のシステム構築では、すでに存在していたユーザー認証システムや IP アドレス制限機能との連携が必要だったため、その調査に若干の時間がかかりました」と振り返るのは、日立システムズの田中 孝幸氏。それでもその調査期間を含め、わずか1か月でシステム構築を完了している。
■極めて完成度の高い認証システムであると評価
このシステムの認証プロセスは図に示す通り。まず BIG-IP APM がユーザー端末からデバイス ID を受け取り、その有効性を OSCP サーバに問い合わせ、有効であれば既存のユーザー認証と IP アドレスチェックを実行する。「お客様向けの認証としては、最も完成度の高いものが実現できたと評価しています」と諸岡氏。デバイス認証があれば顧客サイトの IP アドレス制限緩和も可能になるだろうと言う。これによって端末利用場所の制約がなくなり、モバイルでの活用等、ユーザーの利便性向上が期待できると語る。
■すでに 9 割がクラウド化、今後は他サービスにも展開
AWS によるサービス運用は 2016 年 4 月にスタート。その後わずか半年間で 9 割の顧客が AWS に移行した。セキュアな二要素認証が、クラウド移行のハードルを下げた結果になったようだ。
同事業部では他にも複数のサービスを提供しているが、今後はこれらにも二要素認証を適用することが検討されている。「横河電機が提供するシステムの多くは製造現場で活用されており、止まることが許されません」と諸岡氏。 これらを安全に運用できるセキュアなサービスを、今後も提供していきたいと言う。
導入企業様のご紹介
1915 年 9 月に創立、1920 年 12 月に設立された、国内最大手の計測・制御機器メーカー。各種プラントの制御・運転監視を行う制御分野のリーディングカンパニーとして、グローバル市場で高い評価を受ける他、創立以来の事業である計測事業や、航空計器や船舶用の航法装置、気象水文機器等のビジネスも展開している。その中でライフサイクルサービス事業部は、横河電機が納入した計装設備のライフサイクルソリューションを提供。操業と保全に関する幅広い課題を解決している。
https://www.yokogawa.com/この事例に関連のある他の事例
つるぎ町立半田病院
リックソフト株式会社
カブドットコム証券株式会社
すべての事例を参照
