サイバーエージェント社のサービスは「PassLogic」で守られている?!
データセンターとのVPN接続に、ソフトウェアトークン型OTP認証機能を採用
ブログサービス「 アメブロ」や、コミュニティサービス「アメーバピグ」、ポイント交換サービス「 ドットマネー by Ameba」など、数々のインターネットサービスを手掛けるサイバーエージェント社では、エンジニアが各サービスを提供するサーバ群に接続する際の認証に、「PassLogic」の認証機能のひとつ「ソフトウェアトークン型OTP(ワンタイムパスワード)認証」を利用しています。
このシステムの構成と、認証システムとしてPassLogicを採用した理由について、今回の導入製品選定に携わられたサイバーエージェント社 技術本部の東様と梶澤様にお話を伺いました。
【お客様プロフィール】
株式会社サイバーエージェント
CyberAgent, Inc.
設立:1998年3月18日
従業員数:約4,000人※2016年9月30日時点
URL: https://www.cyberagent.co.jp/
【導入の背景・課題】
●VPN接続開始時の認証における2要素認証環境の確保
●ユーザトラブル対応が頻発する状況を改善したい。
【導入後の改善効果】
●ユーザ側の導入・利用手順がシンプルになり、管理コストが削減された。
●インシデント発生時の状況把握が容易になった。
数多くのサービスを支えるサーバ群にはVPNで接続
サイバーエージェント社が運営するインターネットサービスは、データセンター内のサーバ群から提供されています。このサーバ群には当社の約800名のエンジニアたちが社内もしくは社外から接続し、各サービスの運用を行っています。
当社ではこのデータセンターとの通信にインターネットを利用したVPN接続を採用しています。専用線による運用も検討したのですが、当社は複数の建物にオフィスが分散しており、部署や社員の拠点移動もよく発生するため、そのたびに管理者が再設定を行うのは管理コストが高くなってしまうという判断がありました。そこでVPNで、どの拠点からでも、また社外からでもフレキシブルに接続し、業務ができる環境が整備されました。
セキュリティを向上し、ユーザビリティを担保する2要素認証
このVPN接続は、当社のサービスを支える重要なインフラ基盤でありながら、インターネットを通じてどこからでも接続できる柔軟性も持ち合わせているので、セキュリティには十分留意する必要があります。認証においては、IDとパスワードだけでは不十分なので、セキュリティポリシーとして、2要素認証を必須としています。PassLogic導入前もID&パスワードに、海外製のソフトウェアトークン型OTP製品も加えた2要素認証を採用していました。しかし、この海外製OTP製品は、ユーザ側での導入手順が煩雑だったことや、OTP参照時にPINコード入力が必要なうえ、PINコードの入力ミスでロックアウトした際には管理者が対応する必要があるという問題があり、認証システムの見直しを実施しました。
見直しにあたっては、以前と同じ認証方式のソフトウェアトークン型OTPを採用する方向で検討開始しました。ユーザは日常的にサーバへの接続を何度も行います。認証方式を大きく変えてしまうと、ユーザが対応しきれず、業務が滞る可能性があるので、できるだけ利用時の感覚が変わらない製品の選択を意識しました。
PassLogicは、デバイスレスOTPの認証システムとしてフィーチャーされている製品ではありますが、モバイルアプリを利用したソフトウェアトークン型OTPとしても利用できると知り、候補として挙がりました。
【PassLogicのソフトウェアトークン型OTP認証機能の解説】
PassLogicと連携するモバイルアプリ「パスクリップ」もしくは「パスクリップL(iOS/Android・無償)」に表示されたOTPを入力して認証します。
■利用開始手順
1:App Store/Google Playから対象のアプリをダウンロード&インストール
2:「パスクリップL」をインストールした端末で、管理者から送信される利用開始メール内のリンクをタップ
3:ブラウザ上に表示される連携画面でリンクをタップ
4:パスクリップL上に「PassLogic」スロットが出現し、連携完了
■認証手順
1:スマートフォン上のアプリを起動し、「PassLogic」スロットをタップ
※30秒ごとに変更
※ベーシック型表示とビンゴ型表示を管理者側で設定可能
PassLogic導入の理由
PassLogicを採用した主な理由は以下になります。
1:オープンソースソフトウェアによる開発
当社では、システムを開発する際には、積極的にオープンソースソフトウェアを利用しています。PassLogicも、PostgreSQLやApacheといった当社エンジニアたちが理解しているオープンソースソフトウェアで開発されているため、インシデントが発生した場合、PassLogicもしくはPassLogicと何かの間で、何が起こったのかを推測することができる安心感があります。
2:「OpenLDAP」サーバとのID同期が可能
当社では社内アカウント管理に「OpenLDAP」を使用しています。そして、PassLogicはOpenLDAPとのID同期機能を持っており、使用中のOpenLDAPサーバをそのまま利用できました。
3:コスト面で優位
当社では、従業員が業務にスマートフォンを使用する体制が整っています。個人所有のスマートフォンの業務利用(BYOD)が認められていますし、希望者が申請すれば会社から業務用スマートフォンが支給されます。
PassLogicのモバイルアプリ型のOTPに変更したとしても、新たに認証用デバイスを用意する必要はないため、新たなデバイス購入コストがかかりません。
モバイルアプリも無償ですし、サーバソフトウェアとライセンスの費用に関してもリーズナブルだと判断できる価格でした。
4:AWS上に仮想アプライアンスが用意されている
今回はPassLogicをAWS(アマゾン・ウェブ・サービス)上に構築しました。PassLogicはAWSマーケットプレイスに仮想アプライアンスとして用意されているので、AWSの管理画面からの操作だけで、手軽にサーバを準備することができました。
PassLogic採用後の状況と今後の予定
導入検討時のテスト環境構築の問い合わせから、導入決定後の本番環境構築においても、パスロジ社からは早急かつ丁寧に対応していただきました。
運用においては、ユーザ側で行うソフトウェアトークンアプリの設定手順も、利用時のOTP参照手順も、以前よりシンプルになったため、管理者の運用コストが大きく削減されました。
今のところは、ソフトウェアトークン型OTP認証機能をVPN接続にのみ採用している状況ですが、今後シングルサインオン機能についても検討し、Webサービスやクラウドサービスへの認証にも採用すべきか考える予定です。
—–
以上、東様と梶澤様にPassLogicの導入状況と採用理由をお伺いいたしました。
今後もパスロジでは、VPN接続時の認証強化に役立つ機能を開発してまいります。
※本文中の社名・製品名は各社の商標または登録商標です。
※仕様、サービスの内容、名称は予告なく変更される場合があります。
※記載の内容は2016年9月時点の情報です。