王道グループウェア「サイボウズ Office」をとことん使ってみる 第5回

徹底された「セキュリティ」と「運用管理」に迫る

cybozu.comの安全性と堅牢性をとことんチェックしてみた

サイボウズが提供するクラウド基盤「cybozu.com」。そのセキュリティや運用管理ってどうなっているの？　知ってる人も知らない人も、あらためて同社の取り組みを聞けば、その徹底ぶりに驚くはずだ。クラウド基盤としての安心・安全の仕組みをとことんチェックしてみよう！

「サイボウズのセキュリティを破るぞ！」（オオタニ）「やめてください！！」（川島）

独自開発されたクラウド基盤

　cybozu.comとは、グループウェアを中心とした同社製品をSaaSでセキュアに提供するクラウド基盤。基盤から運用ツールまで自社開発され、FISC（金融情報システムセンター）の安全対策設備基準を満たした国内データセンターで運営されている。

　「もっと高品質なクラウドを日本から生み出したい」「cybozu.comという一番大切なドメインを使ってクラウドを開始する」という青野氏の思いを乗せた、サイボウズにとっては虎の子のサービスだ。

　では、その安心・安全はどのように担保されているか――？

　ユニークな取り組みとして「脆弱性報奨金制度」などがよく話題になるが、不正アクセス対策など基本の取り組みもしっかりしていて、これがまた非常に興味深い。ということで、サイボウズ サービス運用部長 齋藤真之介氏に話を伺いながら、「セキュリティ」と「運用管理」の観点からcybozu.comに迫ってみよう。

サイボウズ サービス運用部長 齋藤 真之介氏

複数の認証で不正アクセス対策

　まずはセキュリティでは、「複数のユーザー認証」が特徴となる。

　一般的なクラウドサービスは、ログイン画面のURLが共通で、全世界のユーザーが同じ入口を利用する。しかもIDは多くの人に知れ渡るメールアドレスを利用することが多く、パスワードさえ漏れれば簡単に不正アクセスされてしまう。

　cybozu.comでは、そもそも顧客ごとにサブドメインで区切られたシステム環境を提供し、顧客ごとにURLが異なるログイン画面（入口）を用意する。

　そのうえで「許可されていない第三者がログイン画面にアクセスできないように」かつ「万が一アクセスされても不正にログインできないように、Basic認証、IPアドレス制限、クライアント証明書（有償オプション）という複数の認証方式を提供している。

　Basic認証は、ログイン画面にさらにアクセス制限をかけ、ID／パスワードを知らなければ、そもそもログイン画面にさえたどり着けないようにするものだ。

Basic認証でログイン画面にアクセス制限をかけられる

　一方、IPアドレス制限では、ログイン可能な接続元を制限できる。例えば、社内のグローバルIPアドレスのみに制限すれば、「社内限定利用」といった運用も容易だ。

　社外から利用したい場合も、外部アドレスを一部許可して、外部からのアクセスに対してのみ、Basic認証を利用することで、簡単に実現できる。Basic認証の代わりにクライアント証明書を利用すれば、よりセキュアにモバイル端末などを使って社外から利用できる。

クライアント証明書を利用したセキュアアクセス

　このように、用途によって認証方式を組み合わせることで、柔軟な運用が可能になっている。

　また、システム環境がサブドメインで区切られているため、特定のURLに対して短時間にアクセスが集中（DDoS攻撃が発生）した場合は、自動的に該当サブドメインを停止し、他の環境への影響を抑えられるようになっている。

認証方式の組み合わせによるセキュリティ設定 4つのパターン

ASCII倶楽部

お知らせ