システムインテグレータのGBRは、既存のWebサイトやアプリケーションに手を入れずに認証やアクセス制御の機能を追加できる「GOSSY(ゴッシー)」というソリューションを展開している。同社 営業統括部 五島 和幸氏に製品の概要を聞いた。
Webシステムの改修なしで認証を外付け
神奈川県川崎市を本拠とするGBRは業務パッケージ「SuperStream」やグループウェア「POWER EGG」、WebメールやCMSなど、おもに他社製品の販売やカスタマイズを中心に展開してきた。そんな同社が自社開発したクライアント/サーバ型のWebセキュリティ製品が「GOSSY(Gate of Security System)」だ。
GBR 営業統括部 統括部長 五島 和幸氏
GOSSYはクライアントにソフトをインストールすることで、特定のURLやドメイン、ボタンに対して認証を追加したり、閲覧制限を行なうソリューションだ。また、ユーザーのPCのアプリケーションの利用履歴を追えるログ出力や複数サイトのアカウントをまとめたシングルサインオン、アプリケーションの起動制御などの機能まで有している。「認証しないとWebブラウザすら立ち上げられないようにすることも可能です」(五島氏)。システム的にはクライアント/サーバー型で、GOSSYクライアントをインストールしたPCは、GOSSYサーバーにアクセス制御のルールを問い合わせつつ、ログをサーバーに出力する。こうした各種の機能により、内部統制の強化を支援するのがGOSSYの役割だ。
GOSSYのシステム構成
最大の特徴は、やはり既存のWebサイトやアプリケーションに変更を加えることなく、GOSSY側で認証やアクセス制御、ログ出力などが実現されているという点だ。「動いているシステムを止めたり、セキュリティのためにコードを改修するのは非常に難しいです。GOSSYは、既存のWebシステムに外付けする形で認証やアクセス制御が実現できます」(五島氏)とのこと。Google AppsのようなSaaSやWebベースのアプリケーションであれば、基本的に動作するという。
もう1つの特徴は、ID・パスワード以外の幅広い認証デバイスへの対応だ。FeliCaのような非接触型ICカードやいわゆるおサイフケータイのほか、日立製作所の指静脈認証や富士通フロンテックの手のひら静脈認証「PalmSecure」にも対応している。たとえば、通常はFeliCaなどのICカードを用い、高度な本人確認が要求されるワークフローや人事システムへログインする場合は、認証デバイスを使うといった使い分けも可能になる。
次期バージョンでは、許可されていないWebブラウザの起動や禁止ページの閲覧などの行為を管理者に通報する機能も搭載される予定で、より内部統制に必要な機能を拡充していくという。
