電子証明書+スマートカードログオンで、社内ネットワークに接続できるユーザーとデバイスを厳密に管理!
Web APIを介してADとPKIを自動連携することで電子証明書運用にかるコストを大幅に削減。
TKCでは、2013年より社員ひとりひとりに電子証明書をインストールしたUSBトークンを配布し、USBトークンを挿したPCからでないと、Windowsおよび社内ネットワークに接続できないスマートカードログオン認証の運用を開始しています。
スマートカードログオンとは、Windowsにログオンする際の認証をICチップ搭載の物理デバイス(USBトークンやICカード)にインストールされた電子証明書によって行うクライアント認証機能です。
2019年となった現在でも大多数の企業がID+パスワードだけの脆弱な認証を使い続けるなか、「TKCが早期から認証セキュリティの重要性を認識し、先進的な取り組みを行うことができたのはなぜなのでしょうか?」
その理由について、本プロジェクトの全体像をデザインしたIT投資企画部の金森部長にお話をお伺いしました。
IT投資企画部 金森 部長
株式会社TKCの会社概要
―― 金森部長、まずはTKCの会社概要について教えてください。
株式会社TKCは、1966年に栃木県宇都宮市を本店所在地として設立されました。
社員数は、2,225名(2018年9月30日現在)で、事業拠点は北海道から沖縄まで各都道府県に展開しています。
TKCは、創業から今日まで、一貫してわが国の会計事務所(税理士事務所、税理士法人及び税理士業務に従事する公認会計士事務所)に対する情報サービスと、地方公共団体(市町村等)に対する情報サービスの2つの分野に専門特化して事業を展開してきました。
会計事業部門では、1万1千人を超える税理士・公認会計士の先生方に対して会計システムを提供しています。
―― ホームページを見るとTKC全国会という組織についての記載がありますが、TKC全国会とはどのような組織なのでしょうか。
TKC全国会とは、TKCのお客様である全国の税理士と公認会計士が組織する団体です。TKC全国会には約11,200人の税理士、公認会計士の先生方が参加されています。
当社とTKC全国会の関係は、車の両輪にたとえられます。前輪であるTKC全国会は、職業会計人としての「理念の堅持」、活動を展開するうえでの「目標設定」を行い、後輪の当社はその目標を達成するための「経営戦略」を練り、「マンパワーを投入」するという役割分担になっています。
TKC全国会では、10の委員会を中心に、さまざまな活動が行われています。たとえば、その中のひとつであるシステム委員会では、TKCの会計システムの研究・開発と普及にかかわる活動が行われています。
―― 会計システムの設計にTKC全国会がかかわっているのですか。
TKC全国会のシステム委員会では、毎回、TKCの会計システムが目指す方向性や仕様の詳細について、積極的で忌憚のない意見交換が(激しく)行われています。
TKCの会計システムはTKC全国会に所属する税理士、公認会計士の先生方と私たちTKCが一緒になって作り上げています。
―― 地方公共団体向けの事業についてもお聞かせください。
地方公共団体(市町村)に向けた事業では、「新世代TASKクラウド(番号制度対応版)」を中心にして、住民向けサービス(電子申告・証明書コンビニ交付等)、基幹系サービス(住基・税務情報・介護保険等)、庁内情報系サービス(財務会計・給与計算等)など幅広いサービスを提供しています。
「新世代TASKクラウド」は、全国の市区町村と"共同利用"するクラウドサービスです。これにより最適なコストで、住民サービスの向上と業務の効率化を支援します。
現在では、TKCシステムの利用団体数は900団体※を超えています。
※団体数には、全国市町村のほかに一部事業組合等を含みます。
電子証明書認証(スマートカードログオン認証)導入に至る経緯
―― 電子証明書によるスマートカードログオン認証を採用するに至った経緯について教えてください。
そもそものきっかけは、2011年の東日本大震災だったように思います。
当時、TKCでは、日本全国にある各事業拠点と本社のネットワークを閉域網で接続していました。また、同じ閉域網を利用して、税理士事務所や地方公共団体のお客様へサービスを提供していました。
当時は、インターネットと直接つながっていない閉域網を利用しておりましたので、「安全なネットワーク運用ができている」と疑うことはありませんでした。
そんな折、震災で被害にあわれた税理士事務所の弊社のお客様から、閉域網に接続するためのモバイルカードを紛失したとの連絡があり、一時的にTKC社員のモバイルカードを貸与して、急場をしのいだことがありました。
お客様には、早期に業務が再開できたことを大変喜んでいただいたのですが、貸与したTKC社員のモバイルカードで、税理士事務所の職員としてサービスが利用できたという事実は、逆に閉域網内におけるセキュリティ上の問題点を明らかにすることになりました。
たしかに閉域網は外部からの侵入がない安全なネットワークです。しかし、いったんモバイルカードを使って閉域網に接続してしまえば、その後は、IDによる認証だけで、さまざまなサービスやリソースを利用することができます。ここに至って、ユーザー認証を強化するための検討を開始することになります。
翌年には、社内ネットワークに関する課題として、無線LANの認証強化の必要性と、これに関連してADの管理体制の見直しなどが課題として浮上してきました。
このようなタイミングで、日本RAさんから、クライアント電子証明書によるユーザーと機器の管理に関する提案を受けて、具体的に検討を進めることになりました。
―― 電子証明書を導入してよかったことはありますか?
TKCでは、端末(PC、iPhone)認証と人(ユーザー)の認証を行うために2種類の電子証明書を使用する運用としました。端末にインストールしたPKI鍵(電子証明書)を使いネットワークに接続できる端末を制限し、USBトークンにインストールしたSCL証明書(スマートカードログオン用の電子証明書)を使って、人を認証し、リソースを割り当てています。
人の証明書と端末の証明書の2つを使ってセキュリティを2重に担保できる仕組みが構築できたのはよかったと思っています。人と物を別々に管理する手法は、ADの運用ともマッチしています。
なによりも、電子証明書を利用することで、ADで許可している端末だけがつながり、USBトークンで認証したユーザー権限でPCを利用させるという環境が、短期間で安価に構築することができた点が良かったです。
―― 社員のみなさんの反応はいかがですか
最初は、トークンを挿さないとWindowsにログインできないことを面倒と感じる社員も多かったようですが、しばらくすると、以前は3か月ごとに強制していたWindowsのパスワード変更の作業がなくなっていることに気がついたりして、徐々に問い合わせが減っていきました。(笑)
今では、完全に浸透して、みなさん普通に使っています。また、徐々にグループ企業にも運用範囲を広げていっていますが、総じて好評です。
全社員がユーザー証明書をインストールしたUSBトークンでWindowsにスマートカードログオン
電子証明書の管理・運用について
社員数が2200名を超える規模で、かつ全国に事業拠点を展開しているTKCで、電子証明書の管理・運用をどのように行っているのか、本プロジェクトを運用・システム面から支えた冨山課長にお話をお伺いしました。
IT投資企画部 IT投資企画課 冨山課長
―― 電子証明書を利用した端末とユーザーの管理の計画を聞いたとき、どのように思われましたか?
最初に、この計画を聞いたときは、2200名超の社員が在籍し、全国に事業拠点を展開している当社の場合、電子証明書の発行、失効、インストールなどの運用を人手だけで行うのは難しいと感じました。
しかも、発行する電子証明書は、ADのユーザー登録や機器登録と連動する必要があります。
直感的にADにユーザーや端末機器を登録すると、自動的に電子証明書が発行されるようなシステムが必要になると思いました。
―― 冨山課長の主導で証明書の管理を自動化するシステムを構築されたということですが、どのようなシステムなのか教えてください。
NRAのクライアント証明書には、証明書の発行、失効などをWeb APIを介して外部からリクエストする仕組みが用意されていましたので、そのAPIを利用して、証明書を自動発行するシステムを構築することにしました。
AD側にはAPIはなかったので、これを自作して、人事システムに社員を登録すると、自動的にADにユーザー登録され、ADに登録されたユーザーの証明書がNRAのWeb APIを介して自動的にダウンロードできるようにしました。
同様に端末の管理についても、部門の管理者が配属PCの登録を行うと、ADに自動的に機器が登録され、端末用の電子証明書(コンピューター証明書)が作成され、インストールされるようにしました。
―― そのほか、証明書の管理・運用面で工夫されている点があれば教えてください
スマートカードログオンの運用開始にあわせて、ADのパスワードをシステム側で強制的に変更して、社員がID、パスワードを使ってWindowsにログインできないようにしました。また、ユーザーが勝手にパスワードの変更を行えないようにADの設定を変更しました。
これは、いわゆるシャドーIT対策です。
スマートカードログオンの運用を開始しても、パスワードでログインできるようにしておくと、スマートカードログオンが徹底されなくなる可能性があります。
私たちシステム部門側が厳格なユーザー管理をしようとしても、このような抜け道があると、管理が難しくなりますので、この辺りの管理は徹底するようにしました。
例外的に、「USBトークンを忘れてきた」などの理由で、どうしてもパスワードでログインしなければならない場合は、短期の期限付きのパスワードを発行するなどの対応をしています。
―― 運用を開始されてから問題が発生するようなことはありませんでしたか?
おかげさまで、特にトラブルもなく順調に運用できています。ほとんどのフローを自動化していますので、ごく少人数でADおよび証明書の管理運用を実施できています。
社員数が2200名を超える規模の会社で、ここまで徹底したユーザー管理と端末管理が実施できている例は、全国的にも希少です。
取材してみて、従来のID+パスワード認証からUSBトークンを使った電子証明書認証に切り替えることができたのは、金森部長の強いリーダーシップと冨山課長による運用面のバックアップの両輪がかみ合った結果だったのだとあらためて感じました。
Corporate Profile
株式会社 TKC
栃木本社 システムエンジニアリングセンター IT投資企画部
金森 直樹 部長
栃木本社 システムエンジニアリングセンター IT投資企画部 IT投資企画課
冨山 正彦 課長
https://www.tkc.jp/