事業継続計画(BCP)対策から全社的テレワーク対応へ!
VPNの認証強化に「デバイスレス・ワンタイムパスワード」を採用。
製造業・流通サービス業を中心に、企業の情報システムに関して、課題やより効率の良い活用に向けたコンサルティングから、企画~設計~運用・保守まで一貫したサービスを提供するクオリカ社は、全社的にテレワークを導入しています。 このテレワークで利用する仮想デスクトップ(VDI)サービスを利用する際のSSL-VPN接続に、「PassLogic」のデバイスレス・ワンタイムパスワードによる認証をご採用いただきました。
PassLogic導入の経緯や導入プロセス、導入後の効果について、クオリカ株式会社 イノベーションテクノロジー本部 生産革新部 菊井様にお話を伺いました。
導入のメリット
- テレワーク環境の安全性と利便性を両立!
- 運用コストを削減、業務端末の管理がスムーズに!
- 異なるアカウントでも証明書の変更が不要、共同利用端末に対応!
- 遠隔地でも安心、ユーザーの追加がリモートで完了!
- ユーザー単位でライセンス発行、端末が増えてもコストを抑えられる!
導入の背景・課題
震災を契機としたリモート業務環境の構築と課題
当社においてリモート業務環境の構築を開始するきっかけは、2011年の東日本大震災でした。局地的な停電が発生した状況でも業務を継続する環境(BCP)の構築が必須だと認識し、VDIシステム「VMware Horizon」と、VDIへの接続に「BIG-IP APM」によるSSL-VPNを導入。東京地区を皮切りに全国の拠点に展開しました。
この時すでに、リモート業務環境へのログインにはパスワード認証だけでは不十分だと認識していましたので、端末証明書による認証製品を導入しました。しかしこの製品は、端末内でアカウントを切り換えるたびに、証明書を新たに発行し、インストールをし直す必要があり、利用者および管理者の手間がかかることが判明しました。
さらに、2018年には大阪北部震災の際には、現地の従業員が出勤不可能となる恐れが生じ、在宅勤務への移行に急遽対応することとなりました。この際には、対象となった従業員への証明書の発行と送付、そしてインストール方法を指示する作業に手間と時間がかかり、勤務開始時刻に間に合わず、業務に支障が出てしまう可能性が発生。結果としては在宅勤務には至らず、事なきを得ましたが、ここでも運用の課題が残りました。
その後、端末証明書製品のサポートが終了したことを受け、全社的なリモート業務の導入と運用コストの削減を念頭においた次期認証製品の選定を開始。PassLogicが候補として挙がりました。
導入した理由
緊急事態へ柔軟に対応できる運用の利便性を重視!
ユーザーごとのライセンス契約によりコストを抑えられることが導入の決め手!
まず、既存のSSL-VPNであるBIG-IP APMと連携可能なことは必須条件です。PassLogicには連携実績があり、BIG-IP APMのメーカーであるF5ネットワークスジャパン社との連絡も取り合っていることから問題ないと判断しました。 また、大阪北部震災時の経験から運用の利便性を重視しました。PassLogicのデバイスレス・ワンタイムパスワードは、認証用にデバイスや証明書を従業員に送付する必要がなく、管理画面からメールを送信するだけで利用開始できることが今回の課題に合致していました。 ライセンスの契約単位が端末数ではなく、ユーザー数であることも判断材料になりました。テレワーク利用が前提ですので、従業員は拠点と自宅で、または複数の拠点で業務し、複数の端末を使用するケースが多くなるため、端末数で契約するとなるとライセンス数が増え、コスト増となります。従業員が利用する端末数を増減させる際にも契約管理が必要となり、運用コストがかさんでしまいます。その点、PassLogicはユーザーアカウント単位の契約ですので、コストを抑えることができました。
製品選定の途中で、新型コロナウイルス感染症が流行し始めました。この対策として、テレワークの対象を海外のビジネスパートナーにも広げることに決定。PassLogicの適用範囲も拡大することとしました。
【導入の目的】
- 緊急事態に対応できるテレワーク環境の整備をしたい
- SSL-VPN接続環境には本人認証の強化は必須
【導入の要件】
- 共有利用端末でアカウント切り替えにかかる管理が手間なため、共同利用端末に対応したい
- 新たな端末の利用を開始するときの設定にかかる運用コストを削減したい
- 端末ごとの契約では複数拠点で利用する場合にコスト高になるため、ユーザーごとのライセンス契約で端末が増えたときのコストを抑えたい
- 新型コロナの影響により、テレワーク環境を海外にも展開したい
導入後の改善効果
新型コロナの影響で、テレワークの海外展開を実施!
安全性と利便性を両立したテレワーク環境を実現!
テレワークの海外展開の際にも、現地訪問や機材送付等のコストがかからない利点が生かされました。 また、英語にも対応しているため、日本語を母語としない海外スタッフでも問題なく利用を開始しています。
【導入後の改善効果】
- 安全性と利便性を両立したテレワーク環境を実現できた
- 共同利用端末内の異なるアカウントでも認証が可能になった
- 管理の手間が削減され、業務端末の更新が迅速に対応可能になった
- ユーザーの追加がリモートで完了、国内・海外を問わず、遠隔地の導入が容易になった
「乱数表からパターンに沿って数字を抜き出す」というログイン方法は、従業員にとって初めて接する方法なため、オンライン説明会を行いながら、段階的な導入を進めています。説明の際には「Androidスマートフォンのロック解除の方法に近い」と言うと理解してもらいやすいようです。
ID入力を自動化し、管理コストを削減
ログインの手順は、まずBIG-IP APMのクライアントを起動します。そして、ユーザーIDとパスワードを入力しログインします。ここではまだVPN接続は確立していません。連携しているActive Directoryに接続しつつ、PassLogicのログイン画面にリダイレクトします。この時にActive Directoryから対象のユーザーID情報を引き出し、PassLogicログイン画面に自動入力するようにしました。これにより入力の手間を削減し、誤入力によるお問い合わせを予防しています。
【PassLogicを用いたBIG-IPのVPNへのログイン手順】
1:ブラウザで、BIG-IP APMのログイン画面を開く。端末の確認を実施
(クリックで拡大)
2:BIG-IP APMのユーザーIDとパスワードを入力しログイン →Active Directoryに接続し、対象のID情報を引用
(クリックで拡大)
3:PassLogicのログイン画面が開くので、自動入力されたIDを確認し、「次へ」をクリック
(クリックで拡大)
4:乱数表からパターンに沿って抜き出した数列を入力し「ログイン」をクリック
(クリックで拡大)
5:BIG-IP APMのログイン画面に自動的に遷移
(クリックで拡大)
6:ログイン成功すると、VMware Horizonのクライアントがログイン状態で起動。利用するデスクトップを選択して利用開始
(クリックで拡大)
今後の展望
運用方針の変更にも対応できる豊富な機能
PassLogicは機能が豊富で、認証機能だけでも各ワンタイムパスワード認証機能やクライアント証明書認証機能などを、どのように適用するかを検討する必要がありました。そのために実際にテスト環境を構築し、機能を検証し、検討・選択する骨の折れる作業でした。 しかし、この作業を経て、機能を理解した現在では、会社のテレワーク運用やセキュリティ方針が変更になった場合でも、PassLogicなら対応できると考えています。
— 以上、菊井様にPassLogicの採用理由と導入状況をお伺いいたしました。 大規模なテレワーク環境の運用となると、導入・運用コストの増加が懸念されます。PassLogicは安全性を担保しながら、導入・運用コストの削減も実現します。 今後もパスロジでは、テレワーク環境構築を後押しする、安全で使いやすく、低コストな認証製品を開発してまいります。
※本文中の社名・製品名は各社の商標または登録商標です。
※仕様・機能等は改良のため予告なしに変更される可能性があります。
導入先情報 ※2020年4月時点
組織名 | クオリカ株式会社 |
従業員数 | 連結969名 |
業界 | ソフトウェア・通信 |
URL | https://www.qualica.co.jp/ |
イノベーションテクノロジー本部生産革新部
菊井様