iOSやAndroid端末のAD認証やレガシーブラウザの対応も実現
クラウド・モバイル時代の認証・認可の課題を解消するBIG-IP APM
2017年09月14日 07時00分更新
9月13日、F5ネットワークスジャパンは、認証とシングルサインオン(SSO)の最新課題とF5 BIG-IP APMを解決策をテーマにした記者説明会を開催した。イベントはアプリケーションにフォーカスしてきた同社の戦略やBIG-IP APMを活用した認証・認可の活用例について披露された。
クラウド時代も変わらないID・パスワード運用課題
説明会の冒頭、登壇したのはF5ネットワークスジャパンの臼澤嘉之氏。臼澤氏はまずF5の戦略を説明し、認証およびSSOの最新課題を指摘した。
F5ネットワークスの方向性は長らく「制約のないアプリケーションへ」から変わってないという。1990年代後半、アプリケーションが物理サーバーに紐付いていた時代、快適にアプリケーションを利用するためのロードバランサーを作り、その後、安全なネットワークの利用を実現するためのセキュリティに大きくフォーカスした。そして、現在は業界全体で大きなクラウドシフトがあり、セキュリティ分野もクラウド型サービスが台頭している。調査会社のガートナーによると、クラウドシフトにより、2020年までに1兆ドルのIT投資が見込まれるという。
しかし、クラウドはメリットも大きいが、管理の手間や負荷も大きい。セキュリティリスクやポリシーのばらつき、利便性の低下なども考えなければならない。そして認証に関しては、クラウドにシフトしている現在も古典的なIDとパスワード。一人の人間が覚えられるID/パスワードが1~5個というのが全体の85%を占めているという調査もあり、運用に手間がかかる。臼澤氏は「昔いた会社ではPCのログインだけでも3回のパスワード入力が必要で、しかも有効期限が違っていた。正直覚えきれなかった」と実体験を語る。
こうした中、複数の認証をまとめられるシングルサインオンのニーズは昔から強い。しかし、SSOの場合、一点突破されると、情報漏洩のリスクはきわめて高くなるため、SSOだけでは不十分だという。臼澤氏は、「アクセスコントロール、一元化されたパスワードポリシー、人や端末、場所、時間によるアクセス制御など、認証・認可に基づくコントロールが必要」と語る。
BIG-IP APMを認証・認可のファイアウォールとして使う
こうした認証やSSOでの課題を解決するには、BIG-IP APMを認証・認可のファイアウォールとして使うのが最適だという。
F5ネットワークスジャパンの鈴木賢剛氏によると認証・認可のファイアウォールとは、文字通り認証および認可された通信のみを内部に通すファイアウォールを指す。IPアドレスベースのフィルタリングを提供する既存のファイアウォールを拡張し、人、デバイス、場所、時間帯に基づいて外部のからのアクセスを評価。設定された認可条件に基づいて、Webアプリケーションへのアクセス管理を実現する。さらに監査証跡となるログを適切な形で出力できるのもファイアウォールとして重要な役割だ。
その点、認証プロキシミドルウェアであるBIG-IP APM(Access Policy Manager)であれば、クラウドやディレクトリサービスとのフェデレーションを実現し、SSOによる利便性も享受できる。「BIG-IPは同時アクセスライセンスによる課金なので、既存のSSOに比べて、コスト面でもメリットが得られる」(鈴木氏)とのことだ。また、デバイス検疫機能を持ち、さまざまな条件で認証・認可が行なえる。また、時間帯やIPアドレスに基づく地域も判別でき、複数の条件を組み合わせ、アクセス制御できる。BIG-IP APMはアプリケーションにあわせて資格情報を代理入力できるため、許可されたアプリケーションを複数串刺しで利用できるという。もちろん、二要素認証もサポートしているので、安全な認証も可能になっている
BIG-IP APMは数多くの認証方式をサポートしており、既存のアプリケーションを変更せず、新しい仕組みに対応できるという。たとえば、NTLMやKerberos認証のWebアプリをSAML SPに対応させたり、Internet Expolorer前提のWebアプリも最新のWebブラウザから利用できる。「マイクロソフトのTMG(Threat Management Gateway)やUAG(Forefront Unified Access Gateway)もサポートが終了し、後継製品もないため、BIG-IPに置き換えるお客様も増えている」(鈴木氏)とのことだ。Webアプリケーションの認証のわずらわしさから管理者を解放するほか、ロードバランサーによる負荷分散やSSL VPNなどLTMの機能も利用可能だ。
最新のAPM v13では危険性が指摘されているプラグインに代わってWebブラウザの拡張を実現する「WebExtension」に対応。また、オンプレミスとクラウドが混在するハイブリッド環境において、認証をAPMに集約することも可能になっており、両社をセキュアにシームレスに利用できる。さらに、Active Directoryに対応していないAndroidやiOSデバイスの認証という課題に関しても、BIG-IP APMがKerberos SSOを代替してくれるため、Windows PCのない環境での認証の課題もクリアできるという。