ICカード認証とシングルサインオン

【導入事例】城南建設株式会社様

専用サーバーを廃したシンプルなシステム構築、エンドユーザーにID/PWを公開しない集中管理で、アクセス権限管理のベストプラクティスを実現!

 

「住宅情報館~♪」のCMでおなじみの城南建設株式会社様は、神奈川県相模原市に本社を置く、分譲住宅販売/不動産仲介業。神奈川県のほか、東京、埼玉で「住宅情報館」を展開されていらっしゃいます。

昨年12月に「ALM ICカード認証」をご採用いただきました。 (サーバーライセンス2(メイン・サブ)、クライアントライセンス800)

既に安定稼働に入っておりますが、引き続き「ALM アクセス権限管理」の中核となる「ADエディタ」も導入いただき、「アクセス権限管理」体制を構築されました。

今回は、当社製品をご導入いただくまでの、経緯や決め手、さらには、「アクセス権限管理」の先行事例 として、体制構築時の基本的な考え方、延長線上に描かれている将来展望 についてお話しをお聞きしました。

お話しいただいたのは、

城南建設株式会社 総務部情報システム課 次長 林 直樹 様 (右)

城南建設株式会社 総務部情報システム課     平澤 憲男様 (左)

のお二方です。

 

 

 

 

物理的なサーバーを減らしていく!という基本方針を掲げるなかで、AD(Active Directory)に同居させる仕組みを持っていたのが最大の決め手でした。

―ICカードによるSSO(シングルサインオン)製品導入にあたっての経緯などについてお聞かせいただけますでしょうか?

林次長(以下敬称略)「もともと当社では、他社の認証製品を導入していたのですが、サーバーの経年劣化もあり、2010年夏あたりに、そろそろ見直しかなという議論を始め、2011年に本格的な検討に入りました。」

「既存製品のリプレイスのほか、都合3社の製品を比較検討しました。その際の検討軸は2つで、ひとつはICカードの固有コード(IDm)だけで認証がとれるかどうか?もう一つは、専用のサーバーを持たない仕組みであるかどうか、という点です。」

「ICカードについては、ICカード内に認証情報を書き込む手法もあるのですが、今後いろいろなシステムとの連動を視野に入れた場合、ALMのようにIDmだけで認証をかけられるほうが手取早いし、安価にあがるわけです。」

 「サーバーに関しては、インターネットデータセンターを抱えており、そこでサーバー類を管理しているのですが、このIDCのコストを削減することを考えて、クラウド化するとかで、こちらで管理が必要な物理的なサーバー類を減らせないかということを考えておりました。」

 「そういう意味で認証専用のサーバーが必要な製品では、こちらが考えている方向とは逆になってしまうので、結果的に、ADに同居する形で専用サーバーがいらないというALMの設計が、最大の決め手となりました。」

-導入後の効果については、どのような感想をお持ちですか?

 林「まずは、目指していた、専用サーバーなしで運用させるというところは、うまくいっており、満足しています。まもなく全社展開が完了という状況ですが、実は、入れているなかで、より使い勝手をよくするための課題も見つかってきました。そのあたりロデスターさんに今後もお付き合いいただければ、また更によくなるのではないかと期待しております。」

 せっかくICカードによるSSOを導入するので、アクセス権限管理にあたっては、エンドユーザーにID/PWを公開しないということを実践しています。

―SSO製品導入に続き「ALM アクセス権限管理」に実装される中核機能を担う『ADエディタ』もご導入いただいたのですが、その辺の管理については、どのような方針で臨まれているのですか?

林 「前の製品の時からそうだったのですが、せっかくICカードによるSSOを導入するので、アクセス権限管理については、もはやエンドユーザーにID/PWを公開しないという方針で臨んでいます。管理も楽というか、煩雑ではなくなりますし、パスワードを変えたんだけどわかんなくなっちゃった、というような問い合わせや、(エンドユーザーが)ID/PWを知っていることで変に広まっていくですとか、究極的にはセキュリティーのリスクを軽減するために重要なのはエンドには公開しないということなんです。」

「そのためには、ID/PWが常に我々IT部門の手元になければならないわけです。手元にあるID/PWとADのユーザー(特にどの部署の誰々)が結びついていなければならないわけです。この、どの部署の誰々というのは重要で、この部署だからこそ、このシステムにSSOをきかすといったコントロールが可能になってきます。」

「その辺のユーザーの一連の情報を管理できる仕組みが欲しかったので、『ADエディタ』も導入させていただいた次第です。」

-アクセス権限管理で留意されておられる点は何かありますか?

「部署部署によって使うシステムが微妙に違っていたりとか、あとは拠点が40数か所ありますので、個人で使っているPWというイメージよりその拠点にいるからこそのID/PWという考えかたですね。誰がどの店舗に属しているという情報は意外に重要なんです。現実的には、人事のシステムを動かすことによって、それがALMにまで引き継がれてくるという仕組みがほぼ出来上がった感じです。」

 

 

いずれ、エンドユーザーには今みたいなPCを配るということをやめたい と考えています。手段としてはDaasを狙っています。

―今後の展望ですとか、今考えておられる課題のようなものがあればお聞かせいただけますか?

林「1つには、ICカードの運用方法です。以前導入していたシステムの頃は、セキュリティーを高めようという意味もあって、カードリーダーに置いてログイン、外すとロックがかかるという運用でした。ところが結果的に、エンドユーザーは常にカードを置き放しということになってしまってしまいした。

これを首からぶら下げて、『かざしてログイン』という方式に改めていきたいと思っています。

今回ALMの導入を機に、『かざす』ということを徹底したいと思っています。そうすると例えば共有ユーザーIDのPCの運用もきちんとできますし、これが定着してくれば、今後、勤怠とか入退出、複合機の利用というのもICカードでいけると思っています。そもそもカードをエンコードして利用するのではなく、IDmで認証をかける方式にしたのも、このように他のシステムとの連携も視野に入れたうえでの選択だったわけです。」

「今後の展開ということで申し上げれば、当社はまだまだ、Windows XPの運用をしていますが、2014年をにらんで、マルチデバイスでの運用というところも相談させていただいているところです。おそらくタブレット、スマホ、シンクライアント端末の混在型ということになっていくと思いますが、その中で、ALMをさらに高いレベルで利用していくということですね。それこそ(デバイスを)会社の利用で管理するということであれば、ALMのSSOの登録の中でIT部門がデバイスやID/PWを管理して、エンドユーザーはどんな環境であろうが、自分のプロファイルを呼び出してくれさえすれば、ベースでALMが稼働してセキュリティーを確保している中であらゆるシステムを利用できる。これが実現できれば、これに越したことはないと考えています。」

 

「将来的には、クラウドの1形態であるDaas(Desktop as a service)をにらんでいます。これは手段であって、要は、もうエンドユーザーに今みたいなPCを配るということをやめようということです。キッティングして、送って、ドメイン参加させて、みたいな作業はなくしたいなと。今もPCはレンタルなので、これがDaasに振替わるので、びっくりするほどの

初期コストはかからないのではないかというイメージ

を抱いております。」

 

 

―本日はお忙しいなか、貴重なご感想、ご意見をいただきありがとうございました

【城南建設株式会社 会社概要】
本社所在地 神奈川県相模原市中央区富士見2丁目8番8号 城南建設ビル
設立年月日 平成5年10月13日
資本金 1億円
代表取締役 黒羽 秀朗
社員数 767名(平成26年12月現在)
事業内容 建設業/分譲住宅販売業/不動産仲介業/土木・建築工事の設計・施工・監理業

お問い合わせはこちら TEL 03-5817-8844 受付時間 9:30~17:30

PAGETOP
Copyright © 株式会社ロデスター All Rights Reserved.
Powered by WordPress & BizVektor Theme by Vektor,Inc. technology.