F5ネットワークスジャパンとワンタイムパスワード製品を手掛けるパスロジは2月8日、リモート接続環境を提供する「F5 BIG-IP Access Policy Manager(BIG-IP APM)」とパスロジのトークンレスワンタイムパスワード「PassLogicエンタープライズ版」を連携させ、スマートデバイスなどの端末固有情報の登録作業を自動化する機能を共同開発し、2月10日から提供を開始すると発表した。
同機能では、ユーザーが当該端末でBIG-IP APMに一度アクセスするだけで認証データベース内に端末固有情報が自動登録されるようになっている。企業は端末の初期登録の工数とコストを大幅に低減することができるとのこと。
連携イメージ(F5提供)
- ユーザーがSSL-VPN接続のためにBIG-IP APMにアクセス
- PassLogicの認証画面にリダイレクト
- ユーザー名とパスワードをブラウザ経由でBIG-IP APMにHTTP POST
- BIG-IP APMからPassLogicに対してRADIUS認証を実施
- BIG-IP APMでユーザー端末の固有情報を取得
- 新規の端末登録が許可されている場合、端末固有情報をRADIUSのAttributeに登録
- SSL-VPN接続を確立し、BIG-IP APM配下(LAN内)のアプリケーションを利用可能
近年では一人のユーザーが複数の端末を利用することが多く、インターネット経由で企業のイントラネット環境にアクセスする際のセキュリティが課題となっている。ユーザーと端末の両方を認証するためには、ワンタイムパスワード製品と端末証明書を配布する複数の製品を組み合わせる必要があり、その仕組みの実現手法や運用負荷の大きさがネックとなっていた。
こうした課題に対し、同機能では、パスロジが開発したPassLogic Enterprise版のVersion 2.3.0(2月10日リリース予定)において実装されるAPIと、F5の連携用iRules(BIG-IPのトラフィック処理機能)を組み合わせて利用できるようにする。トークンレスワンタイムパスワードによる個人認証に加え、端末固有情報を活用した端末認証の仕組みを容易に導入できるようになるとのこと。これにより、初期構築工数コストや管理者の負担を低減できる。
PassLogicは、認証のたびに生成される乱数表からユーザーごとに設定されている「位置」と「順番」(シークレットパターン)に従って数字を抽出、連結し、ワンタイムパスワードを作り出す「パスロジック認証」を採用したワンタイムパスワード製品。この認証方式により、ハードウェアトークンなどの認証用デバイスを必要とせず、ブラウザのみで強固なワンタイムパスワードを利用できる。
パスロジック認証のイメージ(F5提供)
また、今回実装されるAPIは、端末固有情報の登録以外にも応用できる。例えば、Active DirectoryやLDAPといった企業の既存の認証基盤のパスワードを、初回アクセスまたはパスワードの更新時に自動登録することで、ワンタイムパスワードでログインした後に社内の既存の認証基盤で認証するウェブアプリケーションへのシングルサインオン(SSO)も可能になり、利便性とセキュリティを両立させることもできる。