マネージドPKI Liteを社内システムで活用した

クライアント証明書で社内システムをセキュアに

2009年09月25日 06時00分更新

文● 大谷イビサ／TECH.ASCII.jp

光ディスク修復装置「SOMMEG」を扱うプレンティーは、グローバルサインの「マネージドPKI Lite」を導入した。本人を確認するためのデジタル社員証としてクライアント証明書を導入し、社内システムを安全に利用できるようにしている。

光ディスク修復装置で高いシェア

プレンティーが手がけている光ディスク修復装置

　プレンティーの「SOMMEG（ソメッグ）」シリーズは、CDやDVDなどを研磨することにより、傷ついた光ディスクを修復する装置を販売している。平面研磨という方式で盤面を平らにし、深く傷ついたディスクの修復も可能で、しかも非常に安価に修復できるという。「光ディスク再生装置は光の反射でデータを読み取るので乱反射しないように傷を取ります。ここに関しては相当実績があり、市場シェア7割くらいを確保しています」（プレンティー管理本部取締役本部長今多貴裕氏）。

　ユーザーは、こうした光メディアをレンタル・リサイクルする店舗や音響メーカー、DVD製造メーカーなどで、これまでに前バージョンのCDRシリーズだけで8000台、50枚の全自動研磨機シリーズで、1700台の導入実績を誇るという。

業務システムのWeb化の浸透で
クライアント証明書を検討

　同社は顧客情報管理、経費精算、商品発送などの会計処理をWebブラウザーベースのシステムで行なっており、ワークフローと連携させている。そのため、こうした業務システムのユーザーIDとパスワードはきわめて重要度が高く、漏えいなどの心配につきまとわれていた。「部長のIDとパスワードを仮に入手してしまったら、承認もできてしまいます。そのため、社員1人1人にクライアント証明書を配布し、確実に本人を確認するという環境を作りたいと考えていました」（今多氏）ということで、クライアント証明書の導入検討を開始したという。

プレンティー取締役本部長今多貴裕氏

　また、リサイクルショップへの売り込みやメンテナンスのために営業マンなどが全国に飛んでいるため、こうしたユーザーが外部からでも安全に経費精算や商品発送などの処理を行なえるようにするというのも課題であった。たとえば、緊急時にマンガ喫茶やインターネットカフェなどのPCを使って業務を行ない、ユーザーIDとパスワードの履歴を間違えて残してしまった場合に第三者がログインできないようにする必要性があるわけだ。

　そこで同社が導入したのが、グローバルサインの「マネージドPKI Lite」である。通常、電子証明書を発行するにはさまざまなアプリケーションやサーバー、専門知識が必要だ。こうしたリソースを自前で用意し、プライベートなCA（認証局）を構築すれば、完全に自社のポリシーで証明書を自由に発行できるが、コスト面を考えるとユーザーは大企業に限られるだろう。しかし、ASP型サービスのマネージドPKI Liteであれば、あらかじめ発行したい枚数ぶんのライセンスを購入すれば、管理者はWebブラウザからGUIツールで証明書を簡単に発行できる。こうしたマネージドPKIのサービスは、ほかにもいくつかあるが、グローバルサインでは最小10枚から導入可能ということで、とにかく敷居が低いのが特徴といえる。

ASP形式で電子証明書の発行が実現する「マネージドPKI Lite」のサービス概要

　プレンティーは当初からプライベートではなく、Webブラウザーなどに標準で組み込まれているメジャーなパブリックのPKI サービスを検討していた。というのも、ネットカフェなど外部のPC からプライベートCAから発行された証明書を利用するとエラー表示が出てしまうからだ。あとは「価格面を比較すると、おのずとグローバルサインが選択肢の筆頭に挙がってきました」（今多氏）とのこと。最終的にグローバルサインを選択し、100ユーザーぶんを購入した。

USBトークンに電子証明書を格納

　プレンティーでは電子証明書の複製ができないUSBトークンに書き込んで社員に渡している。「最初はICカードも検討しましたが、前述したマンガ喫茶やインターネットカフェにはICカードを読み取る仕組みがないことが多く、汎用性が高くないため、PCに標準装備されたインターフェイスを使用できるよう、USBトークンにしたという。「社員証のような形で渡しています。試用期間中はゲスト用の証明書を渡しておき、正社員になったら、社員用の証明書を渡します」（今多氏）。USBトークンはデータベースで一元管理されており、シリアルが登録されている。そのため、紛失した場合はそのシリアルキーを無効にすればよいという。

証明書はUSBトークンに格納される

　使い勝手にも満足しているとのこと。「USBトークンのハードウェアには多少問題はあったのですが、証明書は消えてもすぐに再発行してもらったので助かりました」（今多氏）と話している。

　現状、会社や事業の規模としてはなかなか先進的な試みといえるが、同社ではそれほど意識している様子はない。「社内システムも比較的新しいものを逐一導入していますので、認証の部分もそれにあわせて更新しているという感じです」（今多氏）。とはいえ、複数存在していた業務データベースが少しずつ統合化されているので、アクセス管理をきちんと行なわないと情報漏えいにつながる危険性は高いという。そのため、こうしたクライアント証明書によるアクセス管理は今後ますます重要になってくると考えている。

　また同社は、S/MIMEにおいてこのクライアント証明書を利用することも検討している。S/MIMEとクライアント証明書を組み合わせることで、メールの暗号化や差出人の実在確認、改ざん検知などが実現され、セキュリティの高いメールの運用が可能になる。

　ユーザーIDとパスワードの危険性や弱点は以前から指摘されているが、コスト面で敷居が高いこともあり、クライアント証明書や生体認証を導入する企業は少ない。しかし、プレンティーは低価格なマネージドPKIサービスをうまく活用し、高いセキュリティを実現した。セキュリティとコストの要件を満たしたこうしたクライアント証明書の利用方法は、今後トレンドになっていく可能性も高いだろう。

■関連サイト