確実にユーザーを増やしているMicrosoft Office 365だが、オンプレミスとクラウドをまたいで利用する際は、なにかと悩みも多い。そんな中、Office 365の認証の課題を解決すべく、日本ビジネスシステムズ(JBS)とJCCH・セキュリティ・ソリューション・システムズ(JS3)がタッグを組んだ。
日本のOffice 365導入を支えるクラウドインテグレーターJBS
マイクロソフトのOffice 365は、Microsoft Officeをマルチデバイスで利用できるクラウドサービス。パッケージ時代から長らく日本のオフィス現場を支えてきたOfficeの認知度の高さもあり、国内での導入企業も大幅に拡大している。こうしたOffice 365の導入で高い実績を誇るのが、日本ビジネスシステムズ(JBS)である。
JBSはもともとWindows NT 4.0の頃からマイクロソフト製品を展開しており、現在は「Ambient Office」というブランドで、Microsoft Azureの構築や運用を専業でやっている。「この2年くらいでクラウドに一気にシフトし、全従業員にAzureのトレーニング受けさせるとか、Office 365のアカウントをかなりの数販売しているクラウドインテグレーターとしてサービスを展開しています」と日本ビジネスシステムズ AOソリューション本部 本部⻑ 福田雅和氏は語る。
もちろん、黎明期でのクラウドシフトは容易ではなかった。「クラウドへの移行は必ず来ると思っていたのですが、なにしろビジネスのやり方が全然わからなかった。絶対儲らないだろうみたいな確信がみんなにあったので、じゃあやってみるかと(笑)。早めにやって痛い思いをしたら、稼ぎ方もわかるかなと思って」と福田氏は振り返る。
当初のAzureのサービス品質には悩まされた口だったが、安定感の出てきた今では経験と実績を重ね、マイクロソフト系のクラウドインテグレーターとして業界内でも際だつ存在になった。「Office 365やSharePoint、Enterprise Mobility Suite(EMS)など幅広く製品を手がけており、『AzureやれるのはJBSだね』という声もいただけるようになりました」と福田氏は語る。
「VPNでの利用を勧めたら、すごくいやそうな顔をされました」
そんなJBSが突き当たったのが、モバイルデバイスでOffice 365の認証強化を行ないたいというお客様課題だった。「会社が支給するWindowsタブレットやiPhoneでしかOffice 365にアクセスさせないようにしたいという話が、あるエンタープライズのお客様からあったんです。しかも、Webブラウザだけではなく、OutlookやWord/Excel/PowerPointといったiPhoneのネイティブアプリでクライアント認証する必要がありました。でも、Office 365は基本的にインターネットのサービスなので、それは難しい。できることといえば接続できるIPアドレスを1つ1つ登録するのかという話になってしまうんです」と福田氏は語る。
もちろん、いったんモバイルデバイスから社内ネットワークにVPNを張って、そこからアクセスするといった方法もある。これなら会社で利用しているアドレスからOffice 365側に出ることが可能なので、不正な端末で利用できないようにすることが可能だ。しかし、組織構造が複雑な場合などでは、VPNの設計がきわめて難しくなる。しかも、Office 365はかなりのセッション数を張るため、VPNで社内からOffice 365に出るという構成にすると、プロキシサーバーなどに大きな負荷がかかるという。「VPNを提案したら、すごくいやそうな顔をされました(笑)」(福田氏)ということで、別の手段を探す必要があった。
VPNに頼らず、クラウド側からOffice 365のデバイス制限を行なうにはどうしたらよいか?電子証明書によるクライアント認証であれば可能ではないかと考えた福田氏は、長らくクライアント証明書による認証ソリューションを発信しているJS3に相談を持ちかけた。
Office 365のネイティブアプリで端末認証できない理由
JS3はプライベート認証局「Gléas」を展開する国産ベンダー。クライアントやサーバーの認証で利用できる証明書の発行や配布、失効などの認証局インフラを自社ポリシーに合わせて自在に運用できる。また、業務アプリケーションへのシングルサインオン、SSL-VPN、無線LANなど幅広い認証に利用でき最近ではクラウドの利用にも対応している。Web画面が用意されているので、電子証明書のインポートをエンドユーザー自身が行なえる。管理者の手を患わせず、安全に証明書を運用できるのが大きなポイントだ。
現在、Office 365はじめ、多くのクラウドサービスはSAML(Security Assertion Markup Language)という標準技術を用いて、アイデンティティ・プロバイダー(IdP)と呼ばれる外部の認証サーバーに認証を委託するという形をとる。これをIDフェデレーションと呼ぶ。「現在、多くのSaaS事業者はSAML対応だけしていて、基本的にはお客様の管理するActive DirectoryやLDAPにあるユーザー情報で認証をする場合や、証明書認証などの多要素認証をする場合は、お客さんのほうで認証サービスを準備してやってね、という形になっています。あとはIdP製品・サービスを提供するサードパーティ各社の腕の見せ所ということで、最近は展示会に行くとSAML関連のソリューションを数多く見かけますよ」とJS3の齋藤氏は語る。
福田氏は、「プライベート認証局は、外部の証明書ベンダーから購入するよりコントロールしやすいですよね。案件によっては、1万枚配るといったこともありえますから」と語る。証明書を使ったOffice 365のクライアント認証、しかもブラウザだけでなくネイティブアプリで認証を実現するという今回の課題。しかし、既存の仕組みではこれがなかなか難しい。この話を理解するには、クラウドとモバイルの認証に関する基礎知識が必要になるだろう。
SAML対応しているWebブラウザベースのアプリはそれで問題ないが、ローカルにインストールするタイプのネイティブアプリは、証明書認証に対応していない場合も多く、デバイス制限を実現することが難しかった。とはいえ、Office 365のようなサービスをスマホのWebブラウザで利用するのは、操作性の面でかなり難がある。JS3も3年前くらいにSAML対応のデバイス証明書パッケージを出したが、「確かに引き合いはすごかったんですが、スマホのOfficeネイティブアプリに対応できないという一点で、受注は全然とれませんでした」と齋藤氏は振り返る。
Microsoft Authenticatorで証明書での認証を実現
しかし、最近はこの風向きが変わりつつある。まずマイクロソフトは新たにネイティブアプリでも多要素認証を利用できる先進認証(Modern Authentication)という技術を開発し、Officeネイティブアプリに実装している。これにより、Officeの各ネイティブアプリでもSAMLを使えるようになった。
さらに、マイクロソフトは「Microsoft Authenticator」という認証用アプリを提供することで、これまでネイティブアプリでの証明書認証ができなかったiOSでもOffice 365の証明書認証を可能にした。Microsoft Authenticatorは、ネイティブアプリでの認証時にいったんWebブラウザを起動し、ADFS(Active Directory Federation Service)などのIdPとの認証処理を行なう。認証の結果、ネイティブアプリ側がトークンを取得し、無事にOffice 365にログインできるという流れだ。
このMicrosoft Authenticatorを使えば、証明書による端末の識別ができると考えたJS3は、JBSのエンジニアとともにGléasとOffice365の認証連携の検証作業を実施し、WindowsやiOSのOfficeネイティブアプリでも、そしてもちろんブラウザでも、想定通りにOffice 365を利用できることがわかったという。「Microsoft Authenticatorもまだまだ新しい技術ですが、JBSさんはさすがにマイクロソフト製品にはすごく強い。その場で環境を整えてもらって、検証させてもらいました。むしろ、われわれが教えてもらった感じ」と齋藤氏は語る。JS3では、検証時の設定手順をまとめたホワイトペーパーをWebサイト上で公開している。
実際のGléasでの証明書の利用は、エンドユーザーのセルフサービスになる。WindowsやiOS等の端末でGléasのユーザーサイトにActive Directory認証でログインし、証明書やプロファイルをインストールする。また、インストール時にはiOS端末の識別番号のチェックを必須にでき、またWindowsではインストールを一度だけに制限できるので、社用の端末のみに証明書をダウンロードできるよう制限ができるわけだ。さらに、GléasではiOS向けの簡易MDM機能も持っているため、盗難・紛失などが起こった場合は、端末のロックやデータ消去がリモートから行なえる。
「マイクロソフトの場合、Active DirectoryがID管理の中心になっていますが、このソリューションでは『Active Directoryにログインできるユーザー=証明書を持っているユーザー』という構成がとれます。結果的に社内も社外も関係なく、情報資産にセキュアにアクセスすることが可能になります」と福田氏は語る。
社内、社外関係なく、社内の情報にセキュアにアクセスできるように
マルチデバイスとクラウドの時代を迎え、マイクロソフトのライセンス体系自体も「端末単位」から「ユーザー単位」にシフトしているため、個人を識別するIDが確実に必要になってきている。「今までActive DirectoryにIDはあったのですが、IDカードがなかった。証明書がその役割を果たすことになるのではないか」と福田氏は語る。
その点、単なる認証の話かと思いきや、ユーザーのIT環境をクラウド対応するという点では、実はこの証明書認証の話は大きい。「昔は『お客様のネットワークは安全、インターネットは危険』という区分けだったんですけど、証明書の導入によって『Active Directoryに所属しているユーザーの業務端末なら安全。そうでない端末は危険』という風にシフトできたんです」と福田氏は語る。
今まで多くのユーザーは社内ネットワークをいかに安全に保つかというところに腐心して、コストもかけてきたが、端末に証明書を持たせることで、場所に関係なく、セキュアなアクセスが可能になったわけだ。さらにEnterprise Mobility Suite(EMS)を使うと、「ExcelのデータはFacebookにコピー&ペーストさせない」といった細かい制御まで可能になる。オンプレミスからクラウドまで利用領域が拡大すると共に、コントロールもきちんとIT部門側で持つことができる。
現状ではOffice 365が中心だが、今後Microsoft Authenticatorに対応するサードパーティのネイティブアプリが増えれば、利用価値はますます高まる。「今までは企業LAN内の情報資産にアクセスするため、Wi-FiやVPNの端末認証用の証明書の管理基盤としてGléasを導入いただくケースが多かったのですが、これからは情報資産がクラウドにも移っていきます。そして、エンタープライズで利用されるSaaSって、日々お客様と接する中でOffice 365が圧倒的に多いと感じているので、Officeネイティブアプリでのクライアント認証を証明書でできるのは、なかなか大きい話だと思います。クラウドでも、オンプレミスでも、Gléasで認証はすべて安全にまとめられます」とJS3の齋藤氏はアピールする。
(提供:JCCH・セキュリティ・ソリューション・システムズ)