厳密な端末認証で安全なクラウド利用を加速!高セキュリティでDXを推進する方法とは?

クラウドサービスの積極利用に必要なセキュリティ対策を実現

一般財団法人日本情報経済社会推進協会(JIPDEC)

一般財団法人日本情報経済社会推進協会 総務部 情報システムグループ グループリーダ 渡邊 勝様

 

 

一般財団法人日本情報経済社会推進協会(以下、JIPDEC)様は、プライバシーマーク制度をはじめとするインターネット社会の信頼と安心のために活動をしています。2017年からSeciossLinkをお使いいただき、
2023年2月よりクライアント証明書及びOTA配布オプションをお使いいただいています。

今回は同協会の渡邊様にSeciossLinkを導入したきっかけから、現在に至るまでの経緯についてお話を伺いました。

 

課題

  • DXを推進させるため、より安全にクラウドサービスを利用させたい

解決策

  • 「クライアント証明書」で、アクセスできる端末を制限
  • 端末を識別してクライアント証明書を配布する「OTA配布機能」を利用

効果

  • 管理者が許可した端末にのみ証明書を導入できるため、より厳密な端末認証が可能に。セキュリティ強化に貢献
  • 「クライアント証明書」はユーザーがダウンロードできるため、配布作業が省力化

 

2017年から5年以上に渡りSeciossLinkを利用

 

━━ 長年SeciossLinkをご利用いただきありがとうございます。当時、SeciossLinkをご導入いただいた経緯をお聞かせいただけますか。

 

渡邊様:当時はOffice 365(現 Microsoft 365)のサービス導入を検討しており、導入するにあたって
Office 365とのフェデレーションと、既存のActive Directory(AD)とID同期ができるサービスを探していました。また、当時は当協会が認証局となりJCAN証明書を発行しておりましたので、JCAN証明書を利用した認証ができるサービスということでSeciossLinkを導入しました。

 

 

━━ ありがとうございます。当時の導入効果はいかがでしたか。

 

渡邊様:ADとのID同期が可能になることで、クラウドサービス間で個々でID管理をする必要がなく、大幅に管理者の工数を削減することができました。SeciossLinkの導入当初はOffice 365とのみ連携しておりましたが、当協会もDX推進が進みクラウドサービスの利用が増えましたのでユーザーもシングルサインオン(
SSO)の恩恵を受けているかと思います。

 

  • 現在はDXが進み、複数のサービスと連携

 

 

 

厳密な端末認証を実現する「OTA配布オプション」でセキュリティ強化

 

━━ 今回、新たに「クライアント証明書」と「OTA配布オプション」をご購入いただきました。お申し込みいただいた背景をお聞かせください。

 

渡邊様:「クライアント証明書」と「OTA配布オプション」を契約したのは、よりセキュリティを高めた運用方法を検討したことがきっかけです。一般的な証明書では、ユーザー自身が証明書のダウンロードを行う運用の場合、管理者が許可していない端末にダウンロードされる可能性がありました。万が一、ユーザーが故意に私物端末などにダウンロードした場合でも、管理者側で把握することが困難です。

 

そこでセシオスさんに相談したところ、証明書をダウンロードできる端末を管理者が許可した端末のみに制限できる「OTA配布オプション」をご紹介いただきました。端末の固有番号で識別して配布できるので、
ユーザーに証明書のダウンロード作業をお願いしたとしても不正利用を防ぎ、よりセキュリティを高めた運用が可能になります。

  • 証明書の不正利用を防止

 

 

 

また、OTA配布オプションの契約と併せて、証明書の切り替えも行いました。セシオスさんにはSeciossLinkのクライアント証明書でJCAN証明書と同等のセキュリティレベルを保てることの確認や、事前検証にもご協力いただきました。これまでの運用に影響がでないことが確認できましたので、証明書をリプレイスしました。

今回、「クライアント証明書」と「OTA配布オプション」を契約したことで、これまで以上により厳密な端末認証が可能になりました。

 

 

  • 一般財団法人日本情報経済社会推進協会 総務部 情報システムグループ グループリーダ 渡邊 勝様

 

400名以上が混乱なく証明書の再設定を完了

 

━━ ユーザーの方々の運用面で変更についてはいかがでしたか。

 

渡邊様:今回、証明書のリプレイスに伴い外部審査員も含め400名以上のユーザーに再設定を依頼しましたが、SeciossLinkではユーザーポータルからダウンロードできるため、大きな混乱が起こることなく変更することができました。

 

  • クライアント証明書のダウンロードイメージ

クライアント証明書のダウンロードイメージ:SeciossLinkのクライアント証明書はユーザーポータルからダウンロードが可能。

 

FIDO認証を導入し、ログイン方法もよりセキュアに

 

━━ 証明書をリプレイス以外で変更した点などございますか。

 

渡邊様:証明書の切り替えと一緒に、職員にはFIDO認証も使えるように認証ルールを変更しました。FIDO認証はフィッシング攻撃に耐性のある高セキュリティな認証方式ですので、よりセキュアな運用が可能になったと感じます。

 

現在は多くの職員が端末に搭載されている生体認証を利用してSeciossLinkにログインしています。また一部の職員はスマートフォン等でもFIDO認証を利用しています。

  • FIDO認証で、よりセキュアにサービスへログイン

 

 

ネットワークのセキュリティ強化も含めたゼロトラスト導入を進める

 

━━ 今後の展望をお聞かせいただけますか。

 

渡邊様:当協会はDXを推進しておりまして、コロナ禍が終わってもリモートワークを継続していく予定です。そのために今後はネットワークのセキュリティ強化も含めたゼロトラストの導入を検討しています。現在はSeciossLinkがIDaaSとしてID管理を担っていますが、その役割以外でも活用していきたいと考えています。

 

━━ 本日はありがとうございました。今後もSeciossLinkをよろしくお願いいたします。

 

セシオスが選ばれた理由
  • 価格が非常に安い
  • 機能改善など、ユーザーの声を反映する幅広さ
  • 担当営業のレスポンスの早さ

 

※掲載内容は、2023年12月時点のものです。