HAS
（ハイ・アベイラビリティ・
システムズ）
プラットフォーム
ソリューション事業部
第二部 主任
鈴木奨氏

　「ID／パスワードの管理は限界に来ています」

　このように指摘するのはHAS（ハイ・アベイラビリティ・システムズ） プラットフォームソリューション事業部 第二部で主任を務める鈴木奨氏だ。

　今や従業員はオンプレミスにホストされた社内システムに限らず、Office 365やSalesforce、Dropboxなど多様なSaaSを使いこなしている。

　一方で、個人が記憶できるIDとパスワードの組み合わせは3個程度と言われている。社内システムやSaaSにはそれぞれ認証を経てアクセスするが、あまりに量が膨大で「1人1人が覚えていられるパスワード数に限界が来ている」（鈴木氏）のが現状だ。

　こうした状況から生まれるのが、パスワードの使いまわしだ。野村総合研究所（NRI）の調査によると、ユーザーの9割以上が複数のサービスでID／パスワードを使いまわしているという。

　1つのサービスから漏洩した認証情報で、他サービスに侵入する「アカウントリスト攻撃」も猛威を振るっており、「全体として脆弱なセキュリティ体制になってしまっている企業も多いです」と鈴木氏は説明する。

オンプレ／クラウド完全対応　「取りこぼし」無く認証

　そこで利用企業が増えているのが、シングルサインオン（SSO）とよばれるソリューションだ。一度のユーザー認証処理で、複数のサービスを利用可能にする。

　SSOでは基本的に、1つのID／パスワードで各サービスを利用できるので、ユーザーはパスワード管理から解放され、利便性が向上する。1つで済むため、パスワードは推測されにくい複雑なものをポリシーで強制しても負担感が軽く、さらにワンタイムパスワード（OTP）などを組み合わせた「多要素認証」で強固に認証できる。

　IT管理者にとっても、ユーザーがパスワードを複数回間違え、ロックされてしまう状態からのリカバリー作業などから解放され、「会社全体で効率化できる時間は少なくないはずです」と鈴木氏は話す。

　ただし注意すべき点は、必ずしも1つのSSOで全てのサービスを認証できるとは限らないことだ。

　標準認証規格の1つ「SAML（Security Assertion Markup Language）」で認証するSSOは多いが、「Office 365などグローバルなクラウドサービス以外はあまり対応していない状況です。ユーザーの感覚として、1つでもSSOでアクセスできないサービスがあると著しく不便に感じ、せっかく導入したSSO認証も面倒になり使わないケースがあります」と鈴木氏は警告する。

　導入時に利用しているサービスが認証できても油断はできない。今後導入したいサービスに対応しているとは限らないからだ。「場合によっては、使っているSSOが認証できるサービスの中から選ぶことになります。機能や価格で純粋に判断できなくなり、認証がビジネスの足かせになりかねません」と鈴木氏は話す。

　そうした心配が一切ないソリューションが、「AccessMatrix Universal Sign-On （USO）」だ（図表）。

図表　AccessMatrix Universal Sign-On（USO）の導入イメージ

　クライアントPCにエージェントソフトを導入し、そのエージェントが対象サービスへのログイン時に自動で認証情報を入力（代行入力）する「代行入力方式」とよばれるアーキテクチャを採用している。ユーザーはAccessMatrix USOのポータルで一度認証さえすれば、以降はエージェントが入力を代行する仕組みのため、どんな社内システムやSaaSにも対応できる。

　「今までAccessMatrix USOで認証ができなかったサービスは存在しません」と鈴木氏は胸を張る。

多要素で強固に認証　サブスク型ライセンスも

　もちろん、いかにユーザーの利便性が高くともセキュリティ面が脆弱では本末転倒だ。SSOには、1つの認証が破られると、全アプリケーションが自動的に利用できてしまうという弱点がある。

　AccessMatrix USOなら、ワンタイムパスワード（OTP）トークンや、ICカード認証（Felica/MIFARE）、生体認証などの製品と連携して多要素認証の構成が可能だ。

　「クライアントと認証サーバーの通信はSSL／TLSで、認証情報はAES-256bitで暗号化されています。多数のグローバルな金融機関でも実績がある、セキュアなソリューションです」と鈴木氏は解説する。

　導入のしやすさも大きな特徴である。例えば、PCに組み込むエージェントは「資産管理ツールを使って、サイレントインストールするお客様が多いです。Active Directoryで配ることもできますし、ユーザー側で作業は必要ないケースがほとんどです」と鈴木氏は話す。

　また、インテグレーション時は、自社のネットワーク環境などを踏まえてカスタマイズを希望する企業も多いというが「テスト期間次第ではありますが、対象システムやユーザーが多くても2カ月程度で導入できます」。

　代行入力方式のため社内アプリケーションの改修も不要で、導入後も、同社が提供するマニュアルなどを参考に、ユーザー自ら新しいサービスとAccessMatrix USOの連携が容易に可能だという。

　鈴木氏はコスト面でも自信を見せる。まず、AccessMatrix USOには認証サーバーの冗長化の必要性がないというメリットがある。SSO認証用サーバーを導入する場合、常時ユーザーが認証を継続できるように必ずサーバーの冗長化構成が必要になる。

　「AccessMatrix USOでは、1回認証サーバーと通信した後は、エージェントのキャッシュデータでユーザーは認証を継続できるため、冗長化は最低限で済むのです」と鈴木氏は解説する。

　「最近ではインテグレーション費用は不要の、1ユーザーあたり月額330円でサポートまで承るサブスクリプションライセンスを提供しています。市場調査を行いましたが、同程度の機能が利用できるソリューションに比べ約半分の価格になっているはずです」。

　クラウド活用が今後も進む中で、企業が利用するサービスはますます増えていく。一方で、変わらず社内に残るシステムもあるだろう。そのすべてをセキュアに認証できるAccessMatrix USOは、心強い味方になってくれるに違いない。