SecurityInsight | セキュリティインサイト

F5、ハイブリッドクラウド時代を見据えたSSO・認証基盤の構築を提唱

F5ネットワークスジャパンは9月13日、「認証およびSSOの最新課題とF5 BIG-IP APMを活用した解決策」と題するプレスラウンドテーブルを開催。SaaSなどのクラウドサービス向けSSO(シングルサインオン)だけではなく、オンプレミスやハイブリッドクラウドを含めて、認証・認可の視点からSSO環境を構築していくことの重要性を訴えた。

ソリューション・マーケティング・マネージャー臼澤嘉之氏

説明したのは、ソリューション・マーケティング・マネージャーの臼澤嘉之氏とプロフェッショナルサービスコンサルタント セキュリティスペシャリストの鈴木賢剛氏。臼澤氏はまず、認証とSSOにまつわる課題について「クラウドサービスを個別に管理することが多く、セキュリティリスクの増加や利便性の低下につながりやすい」と指摘した。

具体的に起こりうるものとしては、ユーザーそれぞれを管理することによる運用負荷の増大や、退職に伴うアカウント削除漏れ、セキュリティポリシーのばらつきと不徹底、サービスごとにIDとパスワードを入力することによる利便性の低下などがある。

これらを解決する手段の1つがSSOだが、実際には単にSSO環境を構築するだけでは不十分になるケースが多いという。SSOは、複数のIDとパスワードを統合して管理を一元化することで、利便性の向上とセキュリティ向上をはかるものだ。

ただ、いちどサインインできてしまえば、どのユーザーがどんな端末でいつアクセスしたかまでは把握されないことが多い。また、既存のオンプレミス環境やプライベートクラウド環境までを統合できているわけではない。「実際には、SSOだけでは不十分で、認証・認可に基づいてコントロールすることが求められています」(臼澤氏)

SSOの課題

それを受けて、鈴木氏は「認証・認可のファイアウォール」という考え方と、同社製品「F5 BIG-IP Access Policy Manager(APM)」を活用したSSO環境の統合と、ユーザーやデバイスごとに認証・認可を行っていく方法を解説した。

プロフェッショナルサービスコンサルタント セキュリティスペシャリスト 鈴木賢剛氏

BIG-IP APMは、さまざまなモバイルデバイスやクラウドアプリケーションに対応したリモートアクセスゲートウェイ製品。SSL VPN、VDIゲートウェイ、負荷分散機能を備えており、認証方式として、NTLM、SAML、OAuth、Kerberos、電子証明書などに対応する。

認証・認可のファイアウォールは、認証や認可された通信のみを内部へ通す仕組みで、考え方としては「WAFをWebアプリケーションだけでなく、デバイスやユーザーなどにも拡張させたもの」だという。

「人(資格情報)、デバイス(検疫)、場所時間帯にもとづいて外部からのアクセスを評価し、設定された認可条件に基づいたWebアプリへのアクセス管理を実施します。クライアント側はSAMLやFederation(ID連携)の仕組みを使い、サーバ側ではADなどの資格情報を代理入力することで、社内、社外の双方でSSO環境を実施します。監査証跡となるアクセスログの出力も行います」(鈴木氏)

たとえば、認証については、特定のユーザーが夜間にアクセスすることを禁止したり、国外IPからのアクセスを禁止したりといった設定を簡単に行うことができる。ADなどの既存の認証基盤と連携する仕組みのため、権限に応じた認可も可能だ。

F5 BIG-IP APMの導入メリット

これまで、既存のNTMLv1/v2認証やKerberos認証のWebアプリをSAMLサービスプロバイダー化したり、オンプレミス環境のシステムに多要素認証を導入したりといった作業にはコストや時間がかかることが多かった。

また、認証や認可については、Webブラウザのプラグインやアドオンの廃止や、マイクロソフトのWebアプリケーションProxy機能「Threat Management Gateway 2010(TMG)」「 Forefront Unified Access Gateway(UAG)」のサポート終了、ハイブリッド環境でのシームレスな認証というニーズ、デバイス環境の多様化などを受けて、統合的な認証基盤をどうつくるかが大きなテーマになりつつある。

鈴木氏は「BIG-IP APMを導入すれば、そうした課題をまとめて解決できることが大きなメリットだ」と強調した。

ハイブリッドクラウド環境での構築の例

関連リンク

F5ネットワークスジャパン

F5 BIG-IP APMの製品ページ