このページの本文へ

PKIの最新動向とその活用第1回

USBトークンでもワンタイムパスワードでもない

トヨタデジタルクルーズがJS3「Gléas」を選んだ理由

2010年05月31日 06時00分更新

文● TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

トヨタデジタルクルーズは、トヨタグループを中心にした世界最大級のイントラネット「D.e-Net(ディ.イーネット)」の構築と運営を行なっている。このD.e-Netにおけるセキュアなリモートアクセスで重要な役割を果たしているのが、プライベートCA「Gléas」と電子証明書である。

町工場のおじさんでも
簡単に使えるリモートアクセスを

株式会社トヨタデジタルクルーズ 事業企画部 主幹 北川 洋氏

 トヨタデジタルクルーズが提供しているD.e-Netは、トヨタ自動車はもちろん、トヨタグループの数多くの取引先との相互接続を可能にする企業間通信網だ。KDDIとNTTコミュニケーションズの回線をベースに、トヨタデジタルクルーズがISPとしてサービスを提供している。接続先は、すでに1万拠点を超える。アクセス回線1本を引くだけで、企業間取引だけでなく、自動車業界の標準ネットワークであるJNXやインターネットへの接続にも対応する。

 現在は、単なる接続サービスやデータ送受信にとどまらず、サーバーのホスティング、音声やTV会議システム、セキュリティ対策まで幅広いメニューを用意し、自動車業界のIT化を推進している。

 トヨタデジタルクルーズは、D.e-Netのアクセス回線として専用線やダイヤルアップ回線を用意していたが、ブロードバンドの普及とともにインターネットVPNの需要が一気に高まったという。

株式会社トヨタデジタルクルーズ ファシリティ計画部 主幹 安田 功氏

 しかし、2002年に開始したIPsecのゲートウェイサービスは、とにかく課題が山積みだった。「ファイアウォールがあるとIPsecが通ってくれない。ソフトウェアのインストールに失敗すると、接続できない。月々数千円のサービスをちゃんと使えるようにするために、名古屋から東京にエンジニアを何度も派遣させるはめになったんです」と事業企画部 事業・サービス推進G 主幹の北川 洋氏は当時を振り返る。

 また、IPsecゲートウェイでの認証に際してはオプションでUSBトークンやワンタイムパスワードを用いていたが、これらも故障やソフトウェアのトラブル、対応OSなどが悩みの種だったという。

 「私たちのお客様の多くは自動車部品を長年作られている町工場だったりするので、必ずしもインターネットに明るいわけではないんです」(ファシリティ計画部 ネットワーク計画グループリーダー 主幹 安田 功氏)とのことで、リテラシの高くないユーザーでも簡単に、安全に使えるリモートアクセスの仕組みが必要だった。

 そこで、同社はWebブラウザーだけで容易に使えるSSL-VPNを導入することにした。具体的には、最大5000ユーザーの同時接続が可能なジュニパーネットワークスのSSL-VPNゲートウェイ「Secure Access 6000」を導入し、IDとパスワード認証を行なうようにしたという。

使いやすさでGléasを選択
接続端末の固定化を実現

 そして2008年には、JCCH・セキュリティ・ソリューション・システムズ(JS3)のプライベートCA「Gléas」を導入し、IDとパスワードに加え、電子証明書をベースにした認証システムを構築した。この背景にはやはりユーザーではなく、接続する端末を固定して、専用線と同じくらいのセキュリティを実現したいという要望があったからだ。そのため、同社はGléasのインポートワンスの機能を使って、電子証明書を直接PCにインポートし、かつその電子証明書がほかの端末にコピーされないようにしている。

トヨタデジタルクルーズのシステム概要

 また、専用の電子証明書を発行可能なプライベートCAを構築することで、セキュリティ管理や運用負荷を軽減するための柔軟性が確保できるのもポイント。たとえば、10年近い有効期限を実現する電子証明書があれば、顧客側の失効証明書を削除する手間が省けるわけだ。

 JS3のGléasを導入したのは、その使いやすさが大きいという。「海外製品はGUIが使いにくいのですが、Gléasは日本語のGUIがとてもわかりやすかった。とにかく運用負荷を減らしたかったので、使いやすさは重要でした」(安田氏)。また、日本製ということで、開発部隊と直接やりとりし、カスタマイズ要件に対応してもらえたのも大きな理由だったという。さらにASP形式のサービスに比べても、コスト面でリーズナブルだったそうだ。

 D.e-Netの電子証明書サービスは2009年初頭に開始され、現在では全ユーザーの2割程度まで拡大しているという。エンドユーザーは最初だけ紙で申し込めば、あとは証明書のインポートがWebブラウザーから行なえる。証明書の有無で使えるアプリケーションが異なっているため、ユーザーの利用率も高い。再発行に関しては、IDとパスワード、メールアドレスを登録すると、一時利用可能なURLが配布され、そこから電子証明書がインポートできるという仕組みが用意されている。

 こうした電子証明書の発行や運用などのセルフサービス化を推進したことで、管理者の負担は大きく軽減された。Gléas導入効果について、北川氏は「とにかくお客様先に出向いてトラブル対応することが減り、現在はパスワード忘れの問い合わせくらいになりました。サービス価格も安価に抑えられましたし、専任の管理者をつけないで済むようになったのも大きいです」と、長年の苦労を経てたどり着いたPKIの認証基盤を高く評価する。

カテゴリートップへ

この連載の記事
ピックアップ