ユーザーと端末を同時に認証、F5ネットワークスとパスロジが共同開発：複数デバイスからのアクセスを安全に

　F5ネットワークスジャパンとパスロジは2016年2月8日、スマートデバイスなど、端末固有情報の登録作業を自動化する機能を共同開発し、2016年2月10日に提供を開始すると発表した。F5ネットワークスのリモートアクセス装置「F5 BIG-IP Access Policy Manager（BIG-IP APM）」と、パスロジのトークンレスワンタイムパスワード「PassLogicエンタープライズ版」を連携させる。

　ユーザーがBIG-IP APMにアクセスすると、使用している端末の固有情報を認証データベースに自動登録される仕組み。端末を所有する企業は、コストと端末の初期登録の工数を大幅に低減できる。F5ネットワークスジャパンでは、端末登録の完全自動化は、SSL VPN（Secure Socket Layer Virtual Private Network）業界初だとしている。

　両社がこうした仕組みを開発するに至った背景には、1人のユーザーがPCやタブレット、スマートフォンなど複数の端末を利用することが多くなり、業務上企業内のネットワークにインターネット経由でアクセスする使い方が普及したことが挙げられる。

　こうした利用方法では、SSL VPNゲートウェイ製品などを設置して、ユーザーを単一のIDとパスワードだけで認証するのでは、「リスト型攻撃」の標的になる恐れがある。その解決策の一つとなっていたのが、PassLogicのようなワンタイムパスワードの併用だ。

PassLogicの仕組み（出典：F5ネットワークスジャパン）

　ただしこの方式では、端末の認証はできない。最近はセキュリティの観点から、ユーザーだけでなく、端末レベルでも企業が許可した端末かどうかを認証したいとのニーズが増えているという。「ユーザー」「ユーザーが使用する端末」を同時に認証するには、ワンタイムパスワードと「端末証明書の配布」を組み合わせる必要がある。しかし、この方式は運用負荷が高く、使用端末とユーザーを対応付けて、両方が同時に許可されたときだけアクセス可能にする仕組みの実装方法などに課題があった。

　そこで、2016年2月10日に提供を開始する予定の「PassLogic Enterprise版Version 2.3.0」に実装するAPIと、F5ネットワークスの連携用「iRules（BIG-IPのトラフィック処理機能）」を組み合わせることで、トークンレスワンタイムパスワードによる個人認証と、端末固有情報を活用した端末認証を同時に実施する仕組みを容易に導入できるようにしたという。他にもこのAPIを利用することで、ワンタイムパスワードでログインした後に、Active DirectoryやLDAPなど社内にある既存の認証基盤で認証するWebアプリケーションへのシングルサインオンも実装できるとのことだ。

ユーザーと端末を同時に認証する仕組み（出典：F5ネットワークスジャパン）