ワンタイムパスワードカードでWindowsログインできる統合認証基盤を構築。
ISMS準拠のセキュリティと利便性向上の両立に成功。

ICカードを用いたワンタイムパスワード認証から、シングルサインオン、ID統合管理までを一環して行える統合認証基盤を構築して、セキュリティ強化と利便性 向上を実現しました。

課題社内外システムへのアクセス時の「認証」のセキュリティ強化。パスワード管理を個人任せにせず、システムで緻密に管理したい。
効果ICカードを用いたワンタイムパスワード認証で、利便性を高めつつセキュリティ強化。セキュリティレベルの高いパスワード運用も自動化。


利用者に負担をかけずにPCログイン時のセキュリティを強化したい

携帯電話、パソコンなどあらゆるエレクトロニクス製品に組み込まれているプリント配線板。これを保護する緑色の塗料がソルダーレジストであり、太陽インキ製造株式会社は、ソルダーレジスト製造で世 界ナンバーワン・シェアを誇る化学メーカーです。
同社は、東証一部上場企業である太陽ホールディングス株式会社を中核とする企業グループの一員です。2016年には、グループ内に分散していたシステム要員を集結して、太陽ホールディングス社の社長直轄である情報システム部が発足しました。
「新出発した情報システム部が目標の1つとしたのがセキュリティ確立です。この目標を太陽インキ製造で着実に達成するための戦術として、ISMS/ISO27001認証(以下、ISMS認証)取得に取り組みました」と、太陽ホールディングス株式会社 情報システム部 開発運用一課 主任の藤森秀雄氏。しかし2016年にISMS認証取得に向けたコンサルティングを受けたところ、認証のしくみで問題点が指摘されました。社内外システムへのログイン時に使うパスワードは、入社時に付与される6桁の番号を退職するまで使い続けるルールであり、しかもそのパスワードを付箋に書いてパソコンに貼り付けている従業員もたくさんいました。
「8桁以上のパスワードを設定し、3カ月おきに更新することが求められましたが、利用者の負担を増やすことは避けなければなりません。『利用者にとってのパスワードレス』を実現するため、さまざまな認証 システムを検討し、複数のベンダーに提案を求めたり、実地検証を行いました」と藤森氏。
指紋・顔・静脈などの生体認証は、読み取り精度が低い、規格が標準化されていない、端末が高価であるなどの問題があり、導入に踏み切れませんでした。
「今あるソリューションの中で最も良いのが、ICカードなどを使ったワンタイムパスワード(OTP)認証だと考え、アシストとアイピーキューブによる提案を採用しました。現実的な選択であり、良い出会いだったと思います」と藤森氏。
太陽インキ製造は、この認証システムを構築することを前提条件として、2018年6月、ISMS認証を取得しました。


ICカードを使ったOTP認証によるWindows認証を実現

アシスト&アイピーキューブが提案したのは、多要素認証システム「AuthWay」によるワンタイムパスワード(OTP)認証、シングルサインオン(SSO)システム「CloudLink」による社内システムおよび複数のクラウドサービスへのSSO、そして、ID統合管理ツール「LDAP Manager」(開発元:エクスジェン・ネットワークス社)によるアカウント一元管理を組み合わせた統合認証基盤の構築です。
「他社からはSSO単体機能などの提案はたくさんもらいましたが、『ICカードを使ったOTP認証から、SSO、ID統合管理』までをトータルのソリューションとして提案してくれたのは、アシスト&アイピーキューブだけでした」と藤森氏。「アシストとのつきあいは長いですが、多様な製品を扱っているので、大きな視野で総合的な提案をくれますね」と評価します。アイピーキューブについても、「導入検討段階で PoC(検証)するにあたっては、数人の技術者が当社まで来て、Linuxベースで動くサーバでテスト環境を構築し、わたしのパソコンで動かしてみせてくれました。他社はメディアを送ってきて、『自分でインストー ルして動作確認してください』というところばかり。 安心して任せられるという印象を持ちました」と藤森氏は語ります。
OTPには、OTPトークン機能と非接触ICカードの機能を兼ね備えたJINCO社のハイブリッドカードを採用して、「利用者にとってのパスワードレス」を実現しました。このカードはMifare規格であるため、カード自体もカードリーダーも非常に安価です。 またAuthWayについては、Windowsログオンの認証をOTP認証/ICカード認証にまで拡張するという太陽インキ製造の要望を、アイピーキューブが 「Windowsログオンオプション」を開発して実現しました。
Windowsログオンオプションは、オフライン時のOTPローカル認証も実現しました。オンラインになると自動的にActiveDirectory(AD)サーバーへログインしますから、再度のOTP認証をする必要はありません。
「社内利用者は、ICカードを外付けのカードリーダーにかざすだけで、何も手入力することなくOTP認証が完了します。現在、社内の勤怠システム、クラウドサービスのeラーニング、安否確認、経費精算の4システムをSSO対象にしており、これらは改めてパスワード入力することなく、OTP認証後にそのまますぐに利用できます」と、株式会社ファンリード インフラソリューション部の細川直人氏。ファンリードは太陽ホールディングスグループのIT子会社であり、グループ内のシステム導入・運用管理も担当しています。
社外からの利用者は、カードリーダーがなくても、ICカードのボタンを押すとOTPが表示されるので、それを手入力してOTP認証します。
社外からの利用は、OTP認証でCloudLinkサーバにログインするだけで、SSO対象システムへ直接アクセスできるようになったのも便利なポイントです。 直行直帰の多い営業部門からは、いちいちVPN接続をすることなく、従来より少ない手数で社内にある勤怠システムへの打刻操作ができるようになったと好評を博しています。
OTPトークンとしては、スマートフォンのソフトウェ アトークンも併用してします。
利用者のスマホにGoogle Authenticatorのアプリをダウンロードしてユーザー登録するだけで、スマホをOTPトークンとして利用可能。ICカードも外付けカードリーダーも無しで、OTP認証とSSOの便利さを享受できます。


安全で利便性の高い統合認証基盤構築でISMS運用も定着

2019年3月、ISMS認証対象部門から統合認証基盤の運用が始まりました。
「統合認証基盤が構築できたことで、機能強化した認証プロセスが日常業務の流れに組み込まれ、ISMSに則ったセキュリティ運用を無理なくできるようになりました」と藤森氏。
利用者負担を増大させることなく、むしろ利便性を従来よりも高めつつ、セキュリティ強化をすることにも成功しました。利用者はもう、ActiveDirectoryのパスワードさえ覚える必要がありません。LDAP Managerの導入で、運用管理者の作業工数を大幅に減少させつつ、セキュリティを強化するという成果もあがっています。
運用管理者がIDを一括管理すれば、各システムへのアカウント情報配布はLDAP Managerが自動的に行います。管理負荷が減るとともに、ヌケ・モレなどのヒューマンエラーの心配も無用となりました。
しかも、システムごとのユーザー・パスワードは、8桁以上であることはもちろん、セキュリティレベルの高い複雑なものを自動設定しています。 統合認証基盤に対して、藤森氏はさらに2つの機能アップを要望しています。
ひとつは、OTPトークンとしてICカードとスマホのど ちらを使うか、利用者が自分で切り替えられるようにすること。もうひとつは生体認証への対応です。
まず、ICカードとスマホのフレキシブルな切り替えについては、2020年秋ごろには実現する見込みです。アイピーキューブは今後も、太陽インキ製造の高度な要件を着実に達成していくために、製品の機能アップとトレンドの先取りへ積極的に取り組んでいきます。


太陽インキ製造株式会社 システム構成イメージ


導入製品製品情報
AutWay製品名:AuthWay
製品概要:多要素認証システム
製品のご紹介はこちら
CloudLink製品名:CloudLink
製品概要:シングルサインオンシステム
製品のご紹介はこちら



お客様プロフィール

太陽インキ製造株式会社
プリント配線板を保護する塗料「ソルダーレジスト」のリーディングカンパニー。ソルダーレジストで培った高精細技術を活かして、フラットパネル・ディスプレイ用部材など、各種エレクトロニクス関連部材の開発にも注力している。設立1999年。資本金4億5,000万円(2020年3月末現在)。
●本社:埼玉県比企郡嵐山町大字平澤900番地

URL:http://www.taiyo-hd.co.jp/jp/group/ink/