Office 365の認証にGléasを使い、ユーザー企業のセキュリティを確保

クラウド/ WebサーバーマルチテナントOffice 365

課題と解決策

  1. Office 365におけるセキュリティ確保
     →電子証明書と認証サーバを連携させてOffice 365にアクセスする端末を限定
  2. Office 365を使うOSの多様化への対応
     →端末OSに応じた証明書の配布機能の活用
  3. 管理者の運用負荷の軽減とスピードアップ
     →マルチテナント化による基盤管理とユーザー管理の分離

日本ビジネスシステムズ株式会社(以下、JBS)は、Office 365をはじめとしたクラウドサービスや、無線LAN・仮想デスクトップ(VDI)などでの認証をセキュアにできるクライアント証明書の管理プラットフォームを構築した。このプラットフォームでは、証明書をWindowsやMac、スマートデバイスにかんたんな操作でインポートでき、使い勝手とセキュリティを両立している。

また、認証局はJBSが運営しており、ユーザー企業でのプラットフォーム管理は不要。このシステムを支えているのがGléasだ。

Office 365をブラウザでもネイティブアプリでもセキュアに

マイクロソフトのクラウドサービスOffice 365は、幅広い端末で利用でき、インターネット接続さえあればどこからでも利用できる利便性の高さから、国内企業にも普及している。しかし、Office 365の利用には課題もあると、導入プロジェクトのオーナーであるJBS AOソリューション本部長 福田 雅和氏は語る。

「Office 365を利用する企業からの要望で多いのが、アクセス可能な端末を制限したいというものです。しかしこれまでは発信元のIPアドレスでの制限や、MDM製品と組み合わせるなど、実現可能な方法が限られていました」

ブラウザベースであれば、外部サーバーとの認証連携を使うことで端末制限も容易だ。しかし、Outlookなどのネイティブアプリからも同様にセキュアに利用したいという声があがっていた。

発信元IPアドレスでアクセス制限を行うのがもっとも手軽な方法だが、モバイル端末を使って外出先からアクセスすると、IPアドレスは毎回変わってしまう。IPアドレスのレンジを固定するためにVPNで社内LANを経由するという方法もあるが、環境構築や運用といった負担がのしかかる。

こうした状況の中、マイクロソフトがOfficeネイティブアプリに先進認証という方式を導入し、PC向けネイティブアプリでも外部の認証サーバーと連携して二要素認証を利用できるようになった。さらにiOS向けにはマイクロソフト社が認証用アプリを公開し、スマートデバイスのネイティブアプリでも同じ形での認証が可能になったのだ。

これであれば証明書を使って、ネイティブアプリでもOffice 365での端末制限を実現できると考え、証明書管理プラットフォームの構築検討が始まった。

マルチテナントへの対応が選定の決め手に

Office 365をセキュアに利用するためのJBSの新プラットフォーム。そこで利用する認証局の要件として第一に挙げられたのは、先進認証で端末認証を行うため、証明書の配布を制限できることだ。もうひとつは、将来を見据えて複数のユーザー企業を収容することが可能なことだった。いくつかの候補が挙がったが、不足する機能の新規開発も含めてこれら要件に対する実現の見通しが早急についたのがGléasだった。

選定理由について、福田氏は「Gléasはマルチテナントに対応していて、管理権限をユーザー企業に委譲することもできるので、プラットフォームとして採用するのにぴったりでした」と語る。
※マルチテナント:複数の組織におけるアカウント・証明書などの管理を、ひとつのシステムでそのテナント(各運用単位)ごとに行うことができる機能。

JBSがユーザー登録から証明書発行まですべて運用する場合、ユーザーの追加や変更のたびにユーザー企業はJBSに手続きを依頼しなければならなくなる。しかし、ユーザー企業側で自由にIDを管理できるようにしておけば、急な出張などで外出先からアクセスが必要になった際にも、すぐに証明書を発行することが可能だ。

Gléasは、Microsoft Azure上でユーザー企業の認証システムの可用性を確保した設計のもとに構築しており、マルチテナント機能によりユーザー企業に利用可能な範囲が切り分けられている。ユーザー企業には自テナントへのアクセス用の物理デバイスが配付され、管理者はそのデバイスがないと証明書管理画面にアクセスできないしくみだ。

さらに、エンドユーザーが証明書インポート用ポータルサイトにアクセスするときの認証は、ユーザー企業のActive Directoryと連携するため、ID管理の負担が増えることもない。

サービス向上に向けて協力できるパートナーとして期待

導入プロジェクトのマネージャーを務めたJBS 金融事業部 金融システム1部 技術マネージャーの藤川 洋平氏は、JS3の対応について次のように振り返る。

「JS3に問い合わせたところ、すぐに実機検証を行ってくれました。ネイティブアプリからセキュアにアクセスできることを確認するだけでなく、技術的に深いところまで疑問を解消してくれ、信頼できるパートナーになると感じました」

海外製品では、ニーズや文化の違いを背景として技術的な質問やカスタマイズに対する即応は難しい。それに対してGléasは、JS3が自社開発している製品であり、技術者がソフトウェアの細部に至るまで把握しているため迅速な対応が可能だ。

福田氏は最後にこう語る。「Gléasを使い、クラウドサービスをセキュアに利用してもらえる環境を作ることができました。これも、技術的に信頼して協力できるパートナーに出会えたからです。これからもサービス向上に向けて様々なハードルが現れると思いますが、その際にも協力してくれると期待しています」

ふたりの様子からは、JS3をメーカーとしてだけではなく、ソリューションパートナーとしても信頼していることがうかがえた。

機能の詳しいご説明や、お見積りをご希望の場合は
各地の販売パートナーをご紹介いたします。


お問い合わせ