Web サーバーだけではなく、リモートアクセスや無線LAN、USBトークン・ICカードなどでも強固な認証を実現したいのであれば、企業内でプライベートCAを構築するのが望ましい。このプライベートCA構築を容易に行なえるのが、JCCH・セキュリティ・ソリューション・システムズ(以下、JS3)のGléasである。
柔軟性の高い認証基盤を
プライベートCAで実現
JS3は、プライベートCA「Gléas」を展開する国産ソフトウェアベンダー。もともとPKIソリューションを展開していたペンティオを母体としているため実績は豊富で、エクストラネット網の構築にGléasを採用したトヨタデジタルクルーズを筆頭に、医療機関や教育機関など、国内ですでに数十社への導入事例を誇る。
|
|---|
| JCCH・セキュリティ・ソリューション・システムズ(JS3)営業部 齋藤立樹氏 |
Gléasを用いてプライベートCAを構築すれば、企業は用途にあわせて電子証明書を自由に発行することができる。JS3 齋藤立樹氏はパブリックのPKIに対するプライベートCAのメリット「電子証明書の記載内容を自由に設定したり、有効期限を10年に伸ばすことだって可能です」をこう説明する。他社製品との相互運用も想定したインターネット標準の技術だけに、クライアント用のICカード用途のみならず、SSL-VPN、無線LANでの認証など、幅広い用途に用いることができるのも大きなメリット。この点は、アプリケーションごとの対応が必要なワンタイムパスワードに比べた優位点といえる。
しかし、プライベートCAに関しては、よいイメージを抱いていない人も多いだろう。そもそもPKI自体が高度なセキュリティ技術をベースに実現されていることもあり、プライベートCAの構築や運営は難解と思われている。またPKIの上陸当初、日本語化もされていない海外製ソフトウェアが非常に高い価格で売られていたため、多くの企業が導入を諦めたと聞く。長年、顧客の声に耳を傾けてきた齋藤氏は、「プライベートCAは正直とっつきにくい。聞いたことはあるけれど、難しそうという意見はよくいただきます」と率直に語る。
簡単操作のプライベートCA 「Gléas」の特徴
これに対してGléasの最大の特徴は、導入や操作がとにかく「簡単」であることだ。Gléasは電子証明書の発行に加え、認証デバイスの運用・管理などの機能をハードウェアに搭載したアプライアンスとして提供される。設置すればすぐに使える点が、まず既存製品との大きな違いである。
ユーザーインターフェイスも、自社開発ならではのこだわりにより、直感的な操作を実現。アカウント作成、電子証明書発行、そして認証デバイスやPC への格納といった3ステップで電子証明書発行・配布が可能になっている。「納品時にヒアリングを行ない、有効期限や鍵長、鍵の用途などのポリシーをデフォルトテンプレートとして作成します。そのため、ユーザーはすぐに電子証明書を発行できます」(齋藤氏)とのこと。もちろん、社内ポリシーや用途にあわせて、テンプレートは柔軟に変更可能だ。
|
|---|
| 使いやすさを追求した日本語の管理GUI |
また、権限に応じてUA(ユーザー申込局)、RA(登録局)、IA(発行局)の3つのインターフェイスが用意されている。そのため、エンドユーザー自身に登録情報の申請や電子証明書のインポートを任せたり、登録局と発行局とで管理者を分けるといった運用もできる。アカウントや電子証明書、 認証デバイスなどの強力な検索機能も備えているため、数万を超えるユーザーの運用でも十分に耐え得る。
ボタンを押すだけで 証明書を簡単インポート
またGléasのこだわりは、スマートな電子証明書の配付だ。Windowsの電子証明書ストアやUSBトークン、ICカードへの電子証明書のインポートはボタンのクリックで簡単に行なえる。管理者やユーザーの操作画面から、PCに電子証明書データを残さないよう、直接電子証明書を認証デバイスにインポートすることが可能なため、安全性も高い。
|
|---|
| エンドユーザーがインポート時に利用するGUI |
さらに電子証明書のインポートを行なう際に、インポート回数を制限する「インポートワンス」の機能も搭載されている。電子証明書内の秘密鍵がエクスポートできないため、ユー ザーがインポートした証明書をほかのPCにコピーしても使えない。特定のクライアントPCを認証する際の唯一のIDとして利用可能なので、SSL-VPN やIEEE 802.1Xの端末認証に有効な選択肢となる。
|
|---|
| 認証デバイスも一元管理できるのがメリット |
NTTデータの「SecureJoin」とも連携
こうしたGléasの使いやすさと豊富な機能は大きな特徴だが、最大のメリットは認証デバイスや導入コンサルティングなどをセットで提供できる点だという。齋藤氏は「PKIはプラットフォームなので、特定の用途だけで使うのはもったいないです。VPN や無線LAN、メールやファイルの暗号化、シングルサインオン、電子署名などさまざまな分野で使っていただきたいです」とソリューションとしての拡がりをアピールした。
また、他社製品との連携も優れている。ICカードやUSBトークンの市場で高いシェアを誇るGemalto(ジェムアルト)の認証デバイスとの連携のほか、先頃NTTデータのシングルサインオン(SSO)製品である「SecureJoin」との連携も発表した。
SecureJoinは、東京都庁での5万ユーザーの事例をはじめとし、大規模なユーザーでの実績を誇るSSO製品。認証先となるサーバーにエージェントを導入し、リバースプロキシとして動作させることで、Webサーバーやアプリケーションに依存しない認証環境を実現する。また、認証サーバーに負荷をかけることもなく、アプリケーションのバージョンアップに際してエージェントソフトもアップデートするといった手間もかからない。このSecureJoinとGléasを組み合わせることで、複数のシステムを利用できるというSSOの利便性と、電子証明書をベースにした強固な認証というメリットを享受できる。
柔軟性の高いプライベートCAの構築に挫折したユーザーは、Gléasで再度チャレンジしてはいかがだろうか?
