F5ネットワークスジャパンとパスロジは2016年2月8日、F5のリモートアクセス製品「F5 BIG-IP Access Policy Manager(APM)」とパスロジのワンタイムパスワード「PassLogicエンタープライズ版」を連携させて、端末固有情報の登録作業を自動化する機能を開発し、提供を2016年2月10日に開始すると発表した。
新開発の機能は、利用者が端末で「BIG-IP APM」に一度アクセスするだけで、認証データベース内に端末固有情報を自動登録できるというもの。個人所有のスマートフォンやタブレット端末などで場所を問わず業務を行えるようにするために、個人、端末の認証を同時に実施するセキュリティ対策を、コストと端末の初期登録の工数を低減しつつ導入できる。
BIG-IP APMは、安全なリモート接続環境を提供するリモートアクセス装置。認証や暗号化技術を活用して、インターネットを専用線のように利用でき、各地に分散した営業拠点や店舗から本社の基幹システムにアクセスする場合や、社員が自宅や出先から社内ネットワークにアクセスする場合に、セキュリティを確保できる。
PassLogicは、認証のたびに生成される乱数表から、利用者ごとに設定されている「位置」と「順番」(シークレットパターン)に従って数字を抽出・連結し、ワンタイムパスワードを作り出す「パスロジック認証」を採用している。ハードウェアトークンなどの認証用デバイスは不要で、Webブラウザーのみで強固なワンタイムパスワードを利用できる。
「PassLogic Enterprise版 Version 2.3.0」(2月10日リリース予定)で搭載するAPI(Application Programming Interface)と、F5の連携用iRules(BIG-IPのトラフィック処理機能)を組み合わせて利用することにより、ワンタイムパスワードによる個人認証と、端末固有情報を活用した端末認証の仕組みを容易に導入できる。
具体的には、利用者がSSL-VPN接続のためにBIG-IP APMにアクセスすると、PassLogicの認証画面にリダイレクトされる。利用者名とパスワードを入力するとブラウザー経由でBIG-IP APMにHTTP POST形式で送信される。BIG-IP APMからPassLogicに対してRADIUS認証を実施し、BIG-IP APMで利用者端末の固有情報を取得する。新規の端末登録が許可されている場合は、端末固有情報をRADIUSのAttributeに登録する。SSL-VPN接続を確立し、BIG-IP APM配下(LAN内)のアプリケーションを利用可能にする。
実装されるAPIは、端末固有情報の登録以外にも応用が可能だ。例えば、企業の既存の認証基盤(Active Directory/LDAPなど)のパスワードを、初回アクセスまたはパスワードの更新時に自動登録することで、ワンタイムパスワードでログインしたあとに社内の既存の認証基盤で認証するWebアプリケーションへのSSO(Single Sign-On)も確立できる。
