F5ネットワークスジャパンとパスロジ、業界初、スマートデバイス等の端末固有情報自動登録機能を共同開発
初期構築工数コストや管理者の負担を大幅に低減
近年、企業の業務PCやスマートデバイス、個人所有のスマートフォンやタブレット端末など、一人のユーザがマルチデバイス環境を活用して、様々な場所から業務を行うことが当たり前となりました。ユーザが企業のイントラ環境にインターネット経由でアクセスする場合の問題として、SSL-VPNのゲートウェイ製品などを利用し、ユーザに紐づく単一のID・パスワードのみで認証する方式では、リスト型攻撃のターゲットとなる可能性があります。そのため、これまではパスロジのPassLogicのようなワンタイムパスワードのソリューションとの併用が解決策の一つとなっていました。
しかしながら、ユーザの個人認証はワンタイムパスワードで解決できるものの、使用端末の認証を同時に行うには、ワンタイムパスワード製品と、端末証明書を配布する複数の製品とを組み合わせる必要があるため、運用負荷の高さや、端末とユーザを紐づけて両方が許可されたものでないとアクセスできない仕組みをどのように実現するのか、という課題がありました。企業ではセキュリティ強化の観点からIDとパスワードの認証に加えて、端末レベルでも企業が許可した端末かどうかの判定を厳格にしたいというニーズがあります。これについては、端末固有情報をRADIUS Attributeにあらかじめ登録しておき、認証時に端末固有情報の参照も同時に行うことで解決することができますが、多くて数万台におよぶ端末固有情報の収集・登録は、ユーザやシステムインテグレータに相当な工数がかかるという問題点が残っていました。
この問題点に対して、パスロジが開発したPassLogic Enterprise版のVersion 2.3.0(2月10日リリース予定)において実装されるAPIと、F5の連携用iRules(BIG-IPのトラフィック処理機能)を組み合わせて利用することにより、トークンレス・ワンタイムパスワードによる個人認証に加え、端末固有情報を活用した端末認証の仕組みを容易に導入することができます。
また、今回実装されるAPIは、端末固有情報の登録以外にも応用が可能です。たとえば、企業の既存の認証基盤(Active Directory/LDAP等)のパスワードを、初回アクセスまたはパスワードの更新時に自動登録することで、ワンタイムパスワードでログインした後に社内の既存の認証基盤で認証するWebアプリケーションへのシングルサインオン(SSO)も可能となり、利便性とセキュリティを両立させることもできます。
F5ネットワークスジャパン合同会社 代表執行役員社長である古舘 正清は、次のように述べています。
「このたび、F5のBIG-IP APMとパスロジのPassLogicのそれぞれのメリットと特徴を活かして、密な連携ソリューションを開発できたことを大変うれしく思います。BIG-IP APMはエンタープライズ向けのSSL-VPN製品として、最大で20万ユーザの同時接続を実現し、大規模なエンタープライズユーザの使用にも耐える製品です。PassLogicの特徴でもあるスケーラビリティとの親和性も高く、F5とパスロジによるソリューションがお客様の課題解決につながるものと確信しています。」
開発を担当したパスロジ株式会社 取締役CTOである酒井 寛庸は、次のように述べています。
「BIG-IP APMのiRulesを活用した連携をご提案いただいた際に、PassLogicによる個人認証と、端末認証を合わせて行うことができ、かつ容易にお客様に導入・運用いただけるソリューションが実現できると確信し、早急に開発を進めてまいりました。2月10日に開催される『F5 Japan Security Forum 2016」ではBIG-IP APMとPassLogicの連携について、今回の実現した端末固有情報自動登録機能を含めて、その特長や事例をご紹介させていただきます。」
■ 連携イメージ
① ユーザはSSL-VPN接続のためにBIG-IP APMにアクセス
② PassLogicの認証画面にリダイレクト
③ ユーザ名とパスワードをブラウザ経由でBIG-IP APMにHTTP POST
④ BIG-IP APMからPassLogicに対してRADIUS認証を実施
⑤ BIG-IP APMでユーザ端末の固有情報を取得
⑥ 新規の端末登録が許可されている場合、端末固有情報をRADIUSのAttributeに登録
⑦ SSL-VPN接続を確立し、BIG-IP APM配下(LAN内)のアプリケーションを利用可能
BIG-IP APMとPassLogicの連携に関する端末固有情報の自動化登録方法についてブログサイト(https://devcentral.f5.com/articles/big-i)に掲載しております。詳しい設定手順やAccess Profile、iRulesサンプルがダウンロード(http://www.f5networks.co.jp/press/blog/source/PassLogic230_APM12_AP_iRule_v1.zip)できます。
■ BIG-IP Access Policy Manager (APM)概要
BIG-IP APMはセキュアなリモート接続環境を提供するリモートアクセス装置です。認証や暗号化技術を活用して、インターネットを専用線のように利用することで、各地に分散した営業拠点や店舗から本社の基幹システムにアクセスする場合や、社員が自宅や出先から、PCやスマートデバイスで社内ネットワークにアクセスする場合に、不可欠な技術となっています。
https://f5.com/jp/products/modules/access-policy-manager (BIG-IP APM ウェブサイト)
https://f5.com/Portals/1/PDF/JAPAN/PRODUCTS/APM/BIG-IP_APM_Overview.pdf (PDF資料)
■ PassLogic概要
PassLogicは、認証のたびに生成される乱数表から、ユーザごとに設定されている「位置」と「順番」(シークレットパターン)に従って数字を抽出・連結し、ワンタイムパスワードを作り出す「パスロジック認証」を採用しています。
この認証方式により、ハードウェアトークンなどの認証用デバイスを必要とせず、Webブラウザだけで強固なワンタイムパスワードを利用することが可能となっています。
■「F5 Japan Security Forum 2016」開催
F5は2016年2月10日に「F5 Japan Security Forum 2016」を開催します。 「不正アクセス」「DDoS攻撃」など種々の脅威から、どうアプリケーションを防御し、ビジネスを維持するか、F5のセキュリティパートナー企業、そしてF5のセキュリティソリューションを導入されているエンドユーザ企業様と共にF5 が提供する包括的なセキュリティソリューションをご紹介いたします。
日時:2016年2月10日(水)
会場:ANAインターコンチネンタル B1F
主催:F5ネットワークスジャパン
※事前登録制です。参加をご希望の方は下記ウェブサイトよりお申込みをお願いいたします。
「F5 Japan Security Forum 2016」サイト:https://www.entryweb.jp/f5/securityforum/index.aspx
F5ネットワークスについて
F5は、アプリケーションが、データセンター、クラウドサービス、従来型ネットワーク、SDNなど、あらゆるIT環境において、いつでも、どこからでも利用可能となる柔軟なソリューションを提供しています。F5のオープンで拡張性の高いフレームワークは、幅広いパートナーエコシステムとの協業を通じ、ITの適用範囲を広げ、最適なIT基盤の構築を可能にしています。また、F5のソリューションは、国内外のリーディング企業、サービスプロバイダー、公共機関のIT分野で広く採用され、最先端のクラウド、セキュリティ、モビリティ環境の実現に貢献しています。F5についてより詳しく知りたい方はhttps://f5.com/jp/をご覧ください。また、ツイッターにて@F5Japanのアカウントから最新情報を発信しておりますので、是非フォローください。
パスロジについて
パスロジ株式会社はワンタイムパスワード製品を主要ビジネスとする認証ベンダーです。マトリクス型のワンタイムパスワード「PassLogic(パスロジック)」を最初に考案した会社であり、全世界を含めて、唯一、 PassLogicの知財ライセンスを実施できる会社となっています。パスロジック方式は、パスロジのオリジナル技術であり、パスロジの製品は、日本国内だけでなく、海外からの利用・海外での利用など、ワールドワイドのシステムでも、安心してご利用いただけます。
パスロジ株式会社は急発展を遂げるネットワーク社会において、安心かつ安全なセキュリティを提供し、その発展に貢献できる企業を目指して活動しています。
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像