年商は1400億円を超え、従業員2400人を超える大手SIerのネットワンシステムズ（ネットワン）。社内のセキュリティレベルを高めるために、従業員が使うパソコンのアクセスには個人認証ソリューションを導入していた。大手ITベンダー製品を活用していたが、2014年8月、日本で発売間もない英国メーカー製品を日本企業として初めて採用した。導入の決め手になったのは、特許技術を使用した使いやすさと高いセキュリティ強度の両立だった。

大手4社に勝ったITベンチャー

　ネットワンは、社内セキュリティ対策の一環として、従業員が端末を起動する時、正規のユーザーかどうかを確認するために、毎回違うパスワード（ワンタイムパスワード）を自動生成するハードウェアトークン方式の個人認証ソリューションを導入していた。2007年頃に導入してから今夏までのおよそ7年間、社内の情報を守るための基盤として機能していた。「とくに使いにくくもなかったし、トラブルもなかった。ただ、保守の切替え時期が迫ってきたので、いい機会だと思って他の製品も検討することにした」と、谷口勇・経営企画本部プラットフォーム部部長は言う。

　比較したのは、既存製品を含む5社の製品。新たに検討会議のテーブルに上げたのは、（1）シー・エス・イー（CSE）（2）シマンテック（3）Security Strings（4）パスロジの製品。Security Strings以外は、個人認証製品の大手ばかり。それにもかかわらず、ネットワンが選んだのは、2013年12月設立のITベンチャー、Security Stringsの「PINsafe」だった。

　選定基準は、（1）コスト（2）ハードウェアトークンの有無（3）携帯電話からの対応状況（4）VDI（仮想デスクトップインフラストラクチャ）・VPN（仮想私設網）の対応状況（5）使いやすさ──の5項目だった。Security Stringsがとくに高く評価された点は、使いやすさだった。

セキュアに送れるパスワード

　今回、採用に至ったPINsafeは、英国のスイーベル・セキュアが開発したもの。Security Stringsが日本に初めて持ち込んだ製品で国内での実績はない。評価が高かった使いやすさのポイントは、類似製品にはない認証方法である。

　一般的に端末へのアクセス認証方法として用いられるのが、IDとパスワードの入力。これだけでは不十分と感じる企業・団体が、＋αとして認証ソリューションを導入する。IDとパスワードに加えて、専用のUSBメモリを差し込んだり、ワンタイムパスワード（OTP）を使用したりするなど、複数の方法がある。

　PINsafeはOTP方式だが、ハードウェアトークンを使用しない。そのため、OTPを表示するトークンを持ち歩く必要がないというメリットがある。

　PINsafeの認証方法は、「他製品にはない」（Security Stringsの辻根佳明社長）という。右図を活用しながら説明しよう。まずユーザーに「PIN」と呼ばれる暗証番号を与えて、覚えてもらう。図のユーザーの場合、PINは「2457」でこの数字は不変。メールやSMSなどで、毎回変わる数字やアルファベットの羅列情報（セキュリティストリングス）をユーザーに送信する。ユーザーは、セキュリティストリングスにPINを突き合わせて、OTCを自分で判断する。ここでは、PINが「2457」であることから、2ケタ目、4ケタ目、5ケタ目、7ケタ目をみて「7f64」が今回のOTCということになる。これを入力すれば、認証されるという仕組みだ。セキュリティストリングスは毎回変わるので、1回きりのパスワードとしてセキュリティを確保できることになる。開発元のスイーベル・セキュアは、この方式で特許を取得している。


　この方式こそが、ネットワンを納得させた理由だ。販売元は1年前に創業したベンチャー、開発元は日本に法人がないという不安を感じさせる製品でも、ネットワンに採用の決断を促したのだ。

　全社員が毎日利用するインフラだけに、情報システム部門は慎重に臨んだという。マニュアルを作成して配布するほか、問い合わせ窓口を用意して使い方がわからない社員にはレクチャーした。立ち上げ時は、想定した通り、1日に600件以上もの問い合わせがあったが、運用を開始して1か月が経った今、1日に5件ほどに収まっている。また、「認証方法が簡単」というスタッフの声が多く、個人認証基盤を運用するための手間が、以前に比べて約半分に減ったという。導入金額は非公開だが、コストが大幅に下がり、評価は上々だ。先進技術を利用したITソリューションを得意にするネットワンらしく、日本に上陸して1年しか経たない製品を臆することなく採用して、成果をものにした。（木村剛士）