logo

F5ネットワークスジャパンとパスロジ、業界初、スマートデバイス等の端末固有情報自動登録機能を共同開発

初期構築工数コストや管理者の負担を大幅に低減

F5ネットワークスジャパン合同会社(本社:東京都港区、代表執行役員社長:古舘正清、以下 F5)とパスロジ株式会社(本社:東京都千代田区、代表取締役社長:小川秀治、以下 パスロジ)は、F5のセキュアなリモート接続環境を提供するリモートアクセスソリューション「F5 BIG-IP Access Policy Manager(以下、BIG-IP APM)」とパスロジのトークンレス・ワンタイムパスワード「PassLogicエンタープライズ版(以下 PassLogic)」を連携させてスマートデバイスなどの端末固有情報の登録作業を自動化する機能を共同開発しました。

ユーザは、当該端末でBIG-IP APMに一度アクセスするだけで、認証データベース内に端末固有情報が自動登録されるので、企業は「コスト」と「端末の初期登録の工数」を大幅に低減することが可能となります。端末登録の完全自動化は、SSL-VPN (Secure Socket Layer Virtual Private Networ) 業界初となり、10日より提供開始を行います。

近年、企業の業務PCやスマートデバイス、個人所有のスマートフォンやタブレット端末など、一人のユーザがマルチデバイス環境を活用して、様々な場所から業務を行うことが当たり前となりました。ユーザが企業のイントラ環境にインターネット経由でアクセスする場合の問題として、SSL-VPNのゲートウェイ製品などを利用し、ユーザに紐づく単一のID・パスワードのみで認証する方式では、リスト型攻撃のターゲットとなる可能性があります。そのため、これまではパスロジのPassLogicのようなワンタイムパスワードのソリューションとの併用が解決策の一つとなっていました。

しかしながら、ユーザの個人認証はワンタイムパスワードで解決できるものの、使用端末の認証を同時に行うには、ワンタイムパスワード製品と、端末証明書を配布する複数の製品とを組み合わせる必要があるため、運用負荷の高さや、端末とユーザを紐づけて両方が許可されたものでないとアクセスできない仕組みをどのように実現するのか、という課題がありました。企業ではセキュリティ強化の観点からIDとパスワードの認証に加えて、端末レベルでも企業が許可した端末かどうかの判定を厳格にしたいというニーズがあります。これについては、端末固有情報をRADIUS Attributeにあらかじめ登録しておき、認証時に端末固有情報の参照も同時に行うことで解決することができますが、多くて数万台におよぶ端末固有情報の収集・登録は、ユーザやシステムインテグレータに相当な工数がかかるという問題点が残っていました。

この問題点に対して、パスロジが開発したPassLogic Enterprise版のVersion 2.3.0(2月10日リリース予定)において実装されるAPIと、F5の連携用iRules(BIG-IPのトラフィック処理機能)を組み合わせて利用することにより、トークンレス・ワンタイムパスワードによる個人認証に加え、端末固有情報を活用した端末認証の仕組みを容易に導入することができます。

また、今回実装されるAPIは、端末固有情報の登録以外にも応用が可能です。たとえば、企業の既存の認証基盤(Active Directory/LDAP等)のパスワードを、初回アクセスまたはパスワードの更新時に自動登録することで、ワンタイムパスワードでログインした後に社内の既存の認証基盤で認証するWebアプリケーションへのシングルサインオン(SSO)も可能となり、利便性とセキュリティを両立させることもできます。

F5ネットワークスジャパン合同会社 代表執行役員社長である古舘 正清は、次のように述べています。
「このたび、F5のBIG-IP APMとパスロジのPassLogicのそれぞれのメリットと特徴を活かして、密な連携ソリューションを開発できたことを大変うれしく思います。BIG-IP APMはエンタープライズ向けのSSL-VPN製品として、最大で20万ユーザの同時接続を実現し、大規模なエンタープライズユーザの使用にも耐える製品です。PassLogicの特徴でもあるスケーラビリティとの親和性も高く、F5とパスロジによるソリューションがお客様の課題解決につながるものと確信しています。」

開発を担当したパスロジ株式会社 取締役CTOである酒井 寛庸は、次のように述べています。
「BIG-IP APMのiRulesを活用した連携をご提案いただいた際に、PassLogicによる個人認証と、端末認証を合わせて行うことができ、かつ容易にお客様に導入・運用いただけるソリューションが実現できると確信し、早急に開発を進めてまいりました。2月10日に開催される『F5 Japan Security Forum 2016」ではBIG-IP APMとPassLogicの連携について、今回の実現した端末固有情報自動登録機能を含めて、その特長や事例をご紹介させていただきます。」

■連携イメージ (添付の画像をご参照ください)
① ユーザはSSL-VPN接続のためにBIG-IP APMにアクセス
② PassLogicの認証画面にリダイレクト
③ ユーザ名とパスワードをブラウザ経由でBIG-IP APMにHTTP POST
④ BIG-IP APMからPassLogicに対してRADIUS認証を実施
⑤ BIG-IP APMでユーザ端末の固有情報を取得
⑥ 新規の端末登録が許可されている場合、端末固有情報をRADIUSのAttributeに登録
⑦ SSL-VPN接続を確立し、BIG-IP APM配下(LAN内)のアプリケーションを利用可能

BIG-IP APMとPassLogicの連携に関する端末固有情報の自動化登録方法についてブログサイトに掲載しております。詳しい設定手順やAccess Profile、iRulesサンプルがダウンロードできます。

■BIG-IP Access Policy Manager (APM)概要
BIG-IP APMはセキュアなリモート接続環境を提供するリモートアクセス装置です。認証や暗号化技術を活用して、インターネットを専用線のように利用することで、各地に分散した営業拠点や店舗から本社の基幹システムにアクセスする場合や、社員が自宅や出先から、PCやスマートデバイスで社内ネットワークにアクセスする場合に、不可欠な技術となっています。
リンク .com/jp/products/modules/access-policy-manager (BIG-IP APM ウェブサイト)
リンク (PDF資料)

■PassLogic概要
PassLogicは、認証のたびに生成される乱数表から、ユーザごとに設定されている「位置」と「順番」(シークレットパターン)に従って数字を抽出・連結し、ワンタイムパスワードを作り出す「パスロジック認証」を採用しています。
この認証方式により、ハードウェアトークンなどの認証用デバイスを必要とせず、Webブラウザだけで強固なワンタイムパスワードを利用することが可能となっています。

このプレスリリースの付帯情報

F5パスロジ連携イメージ図

(画像をクリックすると拡大画像をご覧いただけます。)

用語解説

F5ネットワークスについて
F5は、アプリケーションが、データセンター、クラウドサービス、従来型ネットワーク、SDNなど、あらゆるIT環境において、いつでも、どこからでも利用可能となる柔軟なソリューションを提供しています。F5のオープンで拡張性の高いフレームワークは、幅広いパートナーエコシステムとの協業を通じ、ITの適用範囲を広げ、最適なIT基盤の構築を可能にしています。また、F5のソリューションは、国内外のリーディング企業、サービスプロバイダー、公共機関のIT分野で広く採用され、最先端のクラウド、セキュリティ、モビリティ環境の実現に貢献しています。F5についてより詳しく知りたい方はリンクをご覧ください。また、ツイッターにて@F5Japanのアカウントから最新情報を発信しておりますので、是非フォローください。

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

今日の主要記事