1. HOME>
  2. 製品>
  3. 導入事例>
  4. FirePass>
  5. クボタシステム開発株式会社

導入事例( FirePass )

システム開発

クボタシステム開発株式会社

ユーザ企業:クボタシステム開発株式会社

ワールドワイドのエクストラネットをよりセキュアに運用管理
電子証明書とSSL VPNを利用したネットワークの構築

課題
  • ユーザID・パスワード以外の認証要素の追加
  • 証明書のスピード発行リクエストへの対応
  • 大規模なユーザ規模への対応
解決策
  • FirePassによるログイン前の証明書チェック
  • 自社運営のCA局による迅速な証明書発行
  • 安定性の高いソリューションの実現
  • クボタシステム開発株式会社
    情報開発センター
    ネットワークグループ
    マネージャ
    傅 樂銘 氏
  • クボタシステム開発株式会社
    情報開発センター
    ネットワークグループ
    SSL-VPN担当
    神宮寺 浩 氏

クボタシステム開発株式会社(以下、KSI)では、自社が運用する業務システムへのセキュアなアクセスサービスを提供するため、JCCH・セキュリティ・ソリューション・システムズのプライベートCA Gléas製品とF5ネットワークス社製のFirePassを用いて証明書を発行、国内外の利用者や海外出張社員に配布している。

ユーザID・パスワードのみの認証からの脱却

KSIでは、早い時期より同社グループ社員に対しリモートアクセスのサービスを提供してきた。
当初よりリモートアクセスには2系統あり、1つはグループ社員向けの携帯電話キャリアのデータカードを利用したRAS(※1)、もう1つはデータカードを利用することができない海外出張者や海外利用者向けのインターネットを利用したVPNシステムである。
インターネットVPNシステムは保守サポートが終了したため、認証方法の改善に着手し、ID・パスワードに加えクライアント証明書を利用する手法を採用した。

傅氏はこう説明する。
「認証方法の検討では、ワンタイムパスワード・トークンの利用も検討しましたが、過去にRASの認証で利用していたことがあり、ユーザの評判は決して良いものではありませんでした。その理由は@物理トークンにPIN(暗証番号)を入力し、さらに毎回異なるパスワードをPCに入力するのは相当な手間であること。A利用者に物理的なものを配布する仕組みでは郵送時間がかかること。Bまた生体認証はPCに別途機器追加が必要になり費用がかかること等でした。」

また神宮寺氏はこう補足する。
「インターネット経由で自社のシステムにアクセスしてくるユーザの認証に、IDとパスワードだけの認証では不十分と感じていました。セキュリティ強化のため、端末を限定することができるクライアント証明書の認証手順を追加しました」

クライアント証明書を管理するCA局は自社運用という方針となった。傅氏は、なぜ自社運用かについてこう説明する。
「認証業務をアウトソースした場合では、追加や変更があると作業に時間・費用がかかってしまいます。当社は受理する利用申請が多く、迅速な対応が求められるため、アウトソースではなく、自社運用が最適解なのです。」

FirePassでワールドワイドのネットワークを実現

SSL VPN機器は、この分野のリーディング製品であるF5ネットワークス社のFirePassを利用して、同時数百アクセスにも耐えられるリモートアクセス環境を実現している。FirePassは冗長化され、かつ利用するクライアントのOSバージョン用に複数系統が準備されている。

FirePassでは「ログイン前シーケンス」機能により、アクセスするPCに有効なクライアント証明書がインポートされているか否かをチェックする。ブラウザでの証明書選択ダイアログも出現しないので、アクセスユーザはそのチェックを意識はしないが、その裏ではクライアント証明書による厳密な端末確認が行われていることになる。

証明書の大部分は国内外の利用者向けに発行されており、その規模は数千に及ぶ。利用者には、受発注システムや在庫システムを始め50以上のシステムへのアクセスが提供されている。

上記以外に海外出張社員にも、FirePassでのリモートアクセスが提供されており、上記同様のクライアント証明書の存在チェックを経て、リバースプロキシ機能を利用したメール閲覧や、シンクライアント経由での業務システムのアクセスが可能となっている。

高い安定性を持つプライベート認証局

クライアント証明書の発行等のライフサイクル管理を行うCAは、JS3が開発したプライベート認証局によって構築されている。

神宮寺氏はクライアント証明書による認証のメリットとして、展開の容易さを挙げる。
「クライアントPCにエージェントソフトウェア等の事前インストールが不要なので、利用者が増えても手間はかかりません。このシステムの良かった点だと考えています」

現在この取引先ネットワークと海外出張社員で合計5,900以上のクライアント証明書が発行されており、また今後、海外利用者数や出張者数の増加が見込まれ、証明書の発行が増えることも予測されている。こうした背景もあり、KSIは、2006年から利用してきた旧モデルから、2011年にプライベートCA Gléasへのアップグレードを実施した。

神宮寺氏はこう言う。
「これまで利用していたJS3の製品は、運用開始してから一度も不具合がなく安定性は高いと思います。但し、WEBインターフェースの使い勝手が良くないと感じる時もあり、その結果として作業工数が増加する要因になっていました。新たに導入したプライベートCA Gléasではそうした点が改善されているので、その効果を今後検証していきたいと考えています。」

プライベートCA Gléasの導入により、これまで利用してきたCA局と比較してユーザ負荷ひいては管理者負荷の低減が実現されることになりそうだ。さらに将来的にはクライアント証明書の認証をスマートフォンで行なうことも検討することになりそうだという。世界規模のネットワークを支えるお二人の言葉は、セキュアな運用を全うしているという自信に満ち溢れたものであった。

※1:RASはリモートアクセスシステムの略称

お問い合わせ
http://www.f5networks.co.jp/inquiry/index.html

カテゴリー内ナビゲーション

製品-PRODUCT

このページのトップへ