横河電機株式会社
PRODUCTS
メリット
デバイスID の有効性をリアルタイムで検証するOnline Certificate StatusProtocol(OCSP)サーバや既存のユーザ認証システムと連携した端末認証を、AWS 上で実現できた。
この二要素認証は極めて完成度の高い認証システムであると評価されており、わずか半年で対象顧客の9 割がAWS へと移行した。
課題
顧客ビジネスのグローバル化や顧客向けサービスを地域ごとに最適化するため、データセンタを世界主要地域に設置することが求められた。
その初期投資や運用負担を軽減するため、一部のサービスをAmazon WebServices(AWS)上で提供することになった。
利用者からのモビリティ向上の要求にこたえるため、既存のユーザ認証だけではなく、端末認証も加えた二要素認証の実現が必要となった。
お客様のグローバル化に対しAmazon Web Services(AWS)活用で対応デバイスIDとBIG-IP APMを導入しよりセキュアなユーザ認証を実現
顧客に納品したシステムのリモート保守サービス等を提供する、横河電機株式会社 ライフサイクルサービス事業部。ここでは提供サービスの最適化のためにAmazon Web Services(AWS)が活用されている。ここで大きな課題になったのがモビリティ向上に対応しうるよりセキュアなユーザ認証の実現だった。そのために導入されたのが、サイバートラストのデバイスIDとBIG-IP A PMを連携させた端末認証だ。これと既存のユーザ認証を組み合わせた二要素認証は、極めて完成度の高い認証システムであると評価されている。
お客様向けのユーザ認証としては、最も完成度の高いものが実現できたと評価しています
ビジネス上の課題
顧客のビジネスがグローバル化することで、情報サービスを提供する企業も、新たな課題が突きつけられるようになってきた。それはサービス提供に使うデータセンタを、どのように配置するかである。レスポンス速度を維持するには、顧客サイトに近い地域にデータセンタを設置することが望ましい。また地域の顧客により求められるニーズは様々であり、その要求に迅速に対応することも求められる。グローバル化する顧客のニーズに対応するには、世界の主要エリアにデータセンタを設置する「マルチセンタ化」が求められるようになるのだ。
この要求に対応するため、Amazon WebServices(AWS)の活用を開始したのが、横河電機 ライフサイクルサービス事業部である。同事業部では、横河電機が納入した計装設備の保全課題を解決する、多岐にわたるライフサイクルソリューションを提供。その多くは自社運営のデータセンタで提供しているが、一部のサービスをAWSへと移行しつつあるのだ。
その対象となったのは、顧客システムをリモート監視し、問題発生時の迅速な復旧や予防保守、操業支援強化等を行うサービス。これによって収集されたデータは、顧客自身もアクセスすることが可能だ。
このようなクラウド化の背景について「マルチセンタ化を自社運営のデータセンタで進めていくのは、データセンタ構築の投資が大きく、マネジメントも難しくなるからです」と説明するのは、同事業部 ソリューション企画開発部 部長の諸岡 勲氏。横河電機の情報システム部にはクラウドの知見が蓄積されていたこともあり、2015年5月からクラウド化に向けた検討に着手したと振り返る。「AWSなら、少ない初期投資で世界の主要地域にサーバを立ち上げることができ、マネジメントも圧倒的に楽になります」。
一方、このタイミングでより強固なユーザ認証を実現する必要があったと指摘するのは、同事業部 ソリューション企画開発部 開発運用課課長の野田 孝司氏だ。「これまでもユーザIDとワンタイムパスワードを組み合わせたユーザ認証に加え、お客様側のIPアドレスを制限することで、不正アクセスを防いできました。これに加え、モビリティを向上してほしいという利用者の要望があり、その実現の準備としてハードウェア認証も加えた『二要素認証』を導入することにしたのです」
デバイスIDなら、ネットワーク経由で証明書を配布し対象端末にインストールするだけで、簡単に使い始めることができます
ソリューション
そこで導入されたのがサイバートラストの 「デバイスID」と、BIG-IP Access Policy Manager(APM)の組み合わせだった。「当初はハードウェアトークンやスマートフォンを利用した二要素認証も検討しましたが、トークンには物理的な配布をどうするかという問題があり、スマートフォンを所持していないお客様がいらっしゃることも考えなければなりません。これに対してデバイスIDなら、ネットワーク経由で証明書を配布し対象端末にインストールするだけで、簡単に使い始めることができます」(野田氏)。
その一方で「デバイスIDによる認証を適切に行うには、証明書の有効性をリアルタイムで確認するOnline Certificate Status Protocol(OCSP)サーバと連携した認証システムを構築する必要があり、AWSの標準機能だけでは実現が困難です」と語るのは、サイバートラストの田上 利博氏。そこで、すでに実績のあるBIG-IP APMのVirtualEdition(VE)を、一緒に導入することを提案。これを受け、2015年10月の採用決定に至るのである。
メリット
■ 経験豊富なパートナーが短期間構築を実現
BIG-IP APM の導入・設定を含むシステム構築は、日立システムズが担当。これは、同社がAWSにおけるF5製品の導入経験を豊富に持っていることを知っていた、サイバートラスト側から提案した。「今回のシステム構築では、すでに存在していたユーザ認証システムやIPアドレス制限機能との連携が必要だったため、その調査に若干の時間がかかりました」と振り返るのは、日立システムズの田中 孝幸氏。それでもその調査期間を含め、わずか1か月でシステム構築を完了している。
■ 極めて完成度の高い認証システムであると評価
このシステムの認証プロセスは図に示す通り。まずBIG-IP APM がユーザ端末からデバイスIDを受け取り、その有効性をOSCPサーバに問い合わせ、有効であれば既存のユーザ認証とIPアドレスチェックを実行する。「お客様向けの認証としては、最も完成度の高いものが実現できたと評価しています」と諸岡氏。デバイス認証があれば顧客サイトのIPアドレス制限緩和も可能になるだろうと言う。これによって端末利用場所の制約がなくなり、モバイルでの活用等、ユーザの利便性向上が期待できると語る。
■ すでに9割がクラウド化、今後は他サービスにも展開
AWS によるサービス運用は2016 年4 月にスタート。その後わずか半年間で9 割の顧客がAWS に移行した。セキュアな二要素認証が、クラウド移行のハードルを下げた結果になったようだ。
同事業部では他にも複数のサービスを提供しているが、今後はこれらにも二要素認証を適用することが検討されている。「横河電機が提供するシステムの多くは製造現場で活用されており、止まることが許されません」と諸岡氏。これらを安全に運用できるセキュアなサービスを、今後も提供していきたいと言う。
