2017年1月17日火曜日

複数のクラウドサービスの認証をまとめるSAML2.0

企業で必要とされるITサービスは、社内のサーバルームや専用線で繋いだデータセンタで提供されるのが当たり前の時代は終わりを告げ、クラウドで提供されるのが当たり前となりました。そのサービスも多種多様で、クラウドサービスを牽引してきたGoogleやMicrosoftが提供するG Suite、Office365のようなオールインワンと言えるようなサービスから、Salesforce、Dropbox、Box、Slack、Zendeskなど、特定の領域に特化したサービスもクラウドで提供され、その機能は日々高度になり、多様化しています。これらのサービスは、独自にIDとパスワードで認証するだけでなく、認証自体を外部に任せたり、ID、パスワードの管理も外部に任せることができるようになっています。
このように認証やアイデンティティの管理を外部のサービスに任せる理由はどこにあるのでしょうか。また、それを実現するにはどうしたら良いのでしょうか。簡単に整理したいと思います。

 Gluegent Gate

広くニーズをカバーするサービス

クラウドサービスを牽引してきた、GoogleのG Suiteや、MicrosoftのOffice 365は、オフィススイートや、グループウェアといった、多くのニーズを広くカバーしたサービスです。企業によっては、このようなクラウドサービスのみでビジネスをすすめることができるかも知れません。ただ、これらのサービスは多くの企業で利用されるであろう機能を広く提供しているものの、細かなところでは機能不足である場合や、特殊なニーズであるために特定のニーズを満たせない場合もあります。そこで、多くの企業では、満たせないニーズを次のようなサービスを利用しています。

特定のニーズを高度に解決するサービスを併用

Salesforceや、Dropbox、Box、Slack、Zendeskなどのように、特定のニーズを満たすサービスも多くあります。これらのサービスでは、前述した広範なニーズを満たすサービスでは、足りない機能を提供し、同時に連携することで、大きな付加価値を生み出しています。例えば、G Suiteで提供しているクラウドストレージ(Google Drive)では、現場のニーズを満たせないが、Dropboxであれば満足できるというケースや、企業全体では、G Suiteを使いつつ、営業部門では、Saleforceを使い、サポート部門では、Zendeskを使うなどのケースが考えられます。

複数のサービスが混在する

以上のように、クラウドサービスでは、必要なサービスを選んで使うことができます。ですが、それぞれのサービスは、本質的には独自のサービスとして完結しているため、認証の仕組みをそれぞれ持っています。つまりそのまま使うと、システム管理者はそれぞれのサービスでアカウントの管理をし、ユーザはそれぞれのサービスで別々にログインする必要があります。こうなると、複数のサービスが混在することで機能としてはニーズを満たしていても、利用において非常に不便を感じることになります。

認証機能を外部サービスに任せる

各サービスにとっては、認証機能は本質的な機能ではなく、本質的機能を利用させるための機能です。そこで、多くのクラウドサービスでは、認証を外部のサービスに任せることができるようになっています。認証を一元化することでユーザにとっての利便性は大きく向上します。セキュリティの面からも、入り口を一本化することは大きなメリットです。このように、認証を一元化し、単一のログインをもって複数のサービスを利用できるようにすることをシングルサイオン(SSO)と言います。
SSOの環境を構築すると、ユーザにとっての利便性だけでなく、適切なユーザに適切なサービスを利用させたり、利用を中止したり等のサービスの管理が容易になります。入り口を一括して管理できるようになるので、セキュリティレベルの向上にも役立ちます。

SSOの仕様SAML2.0

SSOを実現するための仕様はいくつかありますが、多くのクラウドサービスでは、SAML2.0を採用しています。前述したとおり、クラウドサービスは組み合わせて利用するケースが多く、認証が煩雑になり勝ちです。クラウドベンダーは、自社のサービスが他社のサービスとも併用しやすいように独自の認証機能だけでなく、SSOを実装します。その時の仕様には、他社サービスも利用しているSAML2.0を採用することが多く、SAML2.0がデファクトスタンダードとなっています。

SAML2.0に対応したサービスの認証を担うGluegent Gate

Gluegent Gateは、G Suiteや、Office365、Salesforce、Dropboxなど多くのサービスに対応し、専用の画面を持っていますが、専用として対応していなくても、SAML2.0に対応したサービスであれば「汎用SAMLオプション」を使うことで、認証を統合することができます。


Gluegent GateでSSO環境を構築しておけば、今後採用するサービスでも簡単にSSO配下に加えることができますので、今後拡張性も確保できます。ユーザの利便性と高いセキュリティを同時に満たすGluegent Gateを是非ご検討ください。
 Gluegent Gate


2016年12月28日水曜日

年末のご挨拶

今年も残すところあと4日、弊社も年内最終営業日となりました。

年々、1年が短くなっているように感じ、今年も例に漏れず「あっという間」でした。が、一方で振り返ってみると今年の1月にあった出来事ははるか昔のことのようにも感じます。ここ数年は20年前の感覚では10年分くらいの出来事が毎年起こっているような印象を受けます。




2016年は本当に様々な出来事がありました。中でも、ブレグジットやトランプ次期大統領など、政治的にインパクトの大きい事柄は印象的で、後に歴史の転換点となった年と表現されてもおかしくない出来事だと感じます。一方で、我々の生活を激変させる可能性が高いテクノロジーが成熟してきていることを感じさせるニュースも多くありました。Amazon はイギリスでドローンによる自動配送の試験を開始し、Uber は北米で自動運転によるタクシーを走らせ始めています(サンフランシスコではストップがかかったようですが、、、)。

我々がビジネスをさせていただいているIT業界周辺でも、ものすごい出来事が毎日当たり前のように起きています。Alpha Go が世界最強の囲碁棋士に勝利し AI の進化を見せつけ、 Google Cloud Platformは世界的な社会現象となった Pokémon GO の莫大なアクセスをなんの問題もなく処理しました。Pepperは飛ぶように売れ、VR/ARもいよいよ普及期に入ってきています。いずれも10年前は絵空事に近く、リアルには想像できなかったことに思われます。

世の中は加速度的に変わっています。

ものすごい速度で進化する環境の中、5年後、10年後を見据えた時、グルージェントが今何をするべきか。忘年会の度にそんな話に花が咲きます。シングルサインオンの役割は今までよりもっと大きくなり、ワークフローに求められること、クラウドのワークフローが果たせる役割にも大きな可能性を感じます。G SuiteやOffice365といったクラウドサービスとの連携も今後より強化していきたいと考えています。世の中のスピードに負けないよう、我々も着実に積み重ねていきたいと思います。

2017年も、ものすごい出来事が日々起こると思います。
今から楽しみで楽しみでしかたがないです。

最後になりましたが、本年は格別のご愛顧を賜り、厚くお礼申し上げます。
来年も何卒宜しくお願い申し上げます。



 Gluegent Gate


2016年12月20日火曜日

Office 365 とも連携するクラウド型ワークフロー Gluegent Flow

最近目に見えてお問合せが増えている Office 365をベースとしたワークフローサービス、Gluegent Flow の現状を簡単にご紹介させていただきたいと思います。

Gluegent Flow は、G Suite (当時は Google Apps) と連携するクラウド型ワークフローサービスとして、2011年にサービスの提供を開始しました。今年でサービスインから5年のサービスとなります。2015年から2016年にかけて、Office 365 への対応を進め、現在に至っております。

すでにワークフローの基本機能は十分に揃っており、Office 365 と連携させることで、より簡単に、便利にご利用いただけるようになっています。今日は簡単に Gluegent Flow の機能をご紹介させていただきます。


帳票の設計

ワークフローでの申請や承認、決裁時などに入力を促すフォームの設計を行う機能です。Gluegent Flow では、多様な入力フォーム項目種をご提供しており、これらを組み合わせて自由にフォーム設計が行えます。ご提供している入力フォーム項目をいくつかご紹介させていただきます。


項目名
説明
単行テキスト
1行のテキスト入力を促すフォーム項目です。
複数行テキスト
複数行のテキスト入力を促すフォーム項目です。
リスト
プルダウンでの選択を促すフォーム項目です。
親子リスト
複数のプルダウン項目が連携し、一つ目の選択状況に応じて二つ目の選択肢が入れ替わるフォーム項目です。親子という名前ですが、親子だけでなく孫・曾孫・玄孫など何階層でも指定可能です。
単一チェック
ラジオボタンにより複数の選択肢からひとつを選択させるフォーム項目です。
複数チェック
チェックボックスにより、複数の選択肢から複数を選択させるフォーム項目です。
日付
カレンダーから日付けを選択させるフォーム項目です。
時刻
プルダウンで時間と分を選択できるフォーム項目です。
添付ファイル
添付ファイルをアップロードするためのフォーム項目です。ひとつの項目で複数の添付ファイルをアップロードすることも可能です。


この他にも、多様な入力項目種をご用意しております。

上記項目を組み合わせ、自由にフォーム項目を作成した上で、簡単にレイアウトを指定することも可能になっております。以下はフォーム設計を使った簡単なレイアウト例です。


経路の設計

ワークフローの申請がなされた際に、どのような経路を通して決裁されるのかを設計する機能です。Gluegent Flow では、自由度の高い経路設計が可能で、申請→承認→決裁という3ステップ程度の簡単な経路から、20ステップ、30ステップといった長い経路設計も可能です。各ステップの担当者の設定方法は幾通りも用意されており、例えば以下のような設定が可能です。
  • 特定の個人やグループを担当者として指定する
  • 申請者自身にステップの担当者を指定させる
  • 課長や部長等の肩書きや権限(ロール)を利用してステップの担当者を指定する
  • 特定の経路の担当者は申請者が編集できるようにする
  • 特定の経路は申請者や承認者によりスキップさせることを可能とする
グループでの指定や、肩書きを使っての経路指定をする場合、会社の組織の情報などが必要になります。これらの組織は、Office 365 の Exchange Online のグループで指定したものと連動します。

経路とフォームの連動

ワークフローによっては、申請者に入力させるべき項目と、承認者が入力すべき項目が別れているケースがあります。Gluegent Flow では、どの入力項目をどのステップで編集させるのか(または表示させる、非表示とする)を簡単に指定できます。


以上が、簡単な Gluegent Flow の基本機能の紹介となります。Gluegent Flow には他にもたくさんの魅力的な機能があります。現時点では、Office 365 との連携機能は、G Suite 連携機能には劣っておりますが、今後の拡張を計画しております。もし、興味をお持ちいただけたなら、是非弊社までお問合せ下さい。


2016年12月13日火曜日

G Suite におけるセキュリティ強化の考え方

G Suite 等のクラウドグループウェアを採用されるケースが増えて来ています。最近は特に Office 365 の採用企業が増えている印象ですが、Microsoft Exchange から Exchange Online への置き換え、Office アプリケーションの Office 365 化といった動きが主となっており、”グループウェア”としての採用というよりも、一部機能の置換というケースが多いようです。G Suite はグループウェアとしての完成度を日に日に高めており、まさにグループウェアとしての採用が多い印象です。ここでは、これから G Suite を採用される方や、既に採用されているものの、セキュリティ面でご不安をお持ちの方のために、G Suite のセキュリティ強化についての考え方を紹介させていただきます。


 Gluegent Gate

G Suite というサービス自身の安全性

まず大きな話では、G Suite というサービスがいかにセキュアかというような話があります。データセンターはどこにあり、どのように運用されているのか、データや通信はどのように保護されているのか等、サービスの提供者である Google がいかにセキュアにこのサービスを提供しているのかという観点です。このレベルで G Suite がセキュアでないという判断になる場合、G Suite の採用は見送ることになるでしょう。この観点については、G Suite のセキュリティに関する説明ページやホワイトペーパーで様々紹介されていますので、ここでは説明を省きたいと思います。

G Suite で実現できるセキュリティ強化

G Suite 自体の安全性がクリアになると、次は利用時のセキュリティがどのような形で担保できるのかという点が問題になります。G Suite はクラウドサービスであり、いつでも、どこからでも、どんなデバイスからでもアクセスできることがメリットです。これは非常に大きなメリットではあるのですが、反面セキュリティ面では大きな不安としてのしかかってくるのです。

G Suite 利用時のセキュリティの不安は大きく2つに分けられます。
  1. IDとパスワードが漏洩すると、どこかの誰かにより勝手にログインされてしまう
  2. インターネットカフェ等の公衆PCでログインできてしまうことが情報漏えいにつながる
実は、G Suite 単体では上記1.についてのセキュリティ強化しかできません。G Suite には「2段階認証」という仕組みが用意されており、この機能をONにしていれば、新しい端末からのログインに際して(加えて一定の頻度で)、事前に登録したメールアドレスに送られる確認コードの入力を求められるようになります。通常のID/パスワードに加えて、もう1段の確認があるということで2段階認証と呼ばれています。この2段階目は、メールアドレスへの確認コード送信以外にも、幾つかのパターンが用意されています。

ただ、この2段階認証をONにしていても、ユーザが望めば公衆PCからもアクセスできてしまいます。この点から2段階認証は上記2. の課題への対策にはなりません。

G Suite でアクセス制御を実現

上記2. の対策を実現するには、弊社 Gluegent Gate のようなアクセス制御の機能を提供する仕組みが必要となります。G Suite には、SSOサービスと連携する仕組みが用意されており、この機能を有効にすると、ユーザが G Suite にアクセスしてきた際に、設定されたSSOサービスに認証が委譲されるようになります。認証の委譲を受けた認証サービスでアクセス制御を行うことで、G Suite のアクセス制御を実現します。

例えば、Gluegent Gate を利用すると以下のようなアクセス制御が簡単に実現出来るようになります。

「基本的には決められたIPアドレス以外からのアクセスは許可しない。ただし、経営層、営業等の特定のユーザについては、決められた端末からであれば、アクセスを許容する」。


このように、G Suite 単体では解決できない課題もありますが、弊社 Gluegent Gate 等の周辺のサービスを連携させることで、より安全にクラウドを活用出来るようになります。今回はシンプルなアクセス制御の例をご紹介させていただきましたが、Gluegent Gate はより複雑な要件にも柔軟に応えられるようになっております。もし、ご検討いただけるようであれば、是非弊社までご連絡下さい。

 Gluegent Gate

2016年12月6日火曜日

ワークフローがクラウドにある意味

Gluegent Flow は、クラウド型のワークフローサービスです。今日は、ワークフローがクラウドにある意味を改めて考えてみたいと思います。そもそも「クラウドサービス」自体が持つ一般的なメリットとして、導入企業の管理者がサーバの保守・運用をする必要がなくなるなど運用負担が軽減される点、常に最新の機能を利用することができる点、投資リスクが軽減する点などが挙げられます。

今日は、ワークフローだからこそクラウドにあることで特に価値が高まる点を考えたいと思います。


社外からも利用できる

クラウド自体が持つメリットのひとつではありますが、特にワークフローは社外から利用したくなるシーンが多いシステムです。出張の多い課長・部長が処理できないと、ワークフローが滞ることがしばしばあります。ワークフローがクラウドにあれば、承認・決済が社外から出来るため、滞りなくワークフローを進めることができるようになります。もちろん、社内等のオンプレミスのワークフローシステムであっても、社外からVPNで接続して利用することはできますが、クラウドであれば、社外からの利用が当たり前になります。

もちろん、弊社が提供する Gluegent Gate 等のクラウドセキュリティサービスを利用することで、社外から利用するユーザを限定することも可能です。

クラウドサービスと連携できる

ワークフローシステムの周辺には多くの細かい作業が付随するケースが多いです。例えば、特定の申請がまわって来たら添付されているファイルを特定の共有フォルダに置く、エクセルのシートに何かを記録しておく等々、クラウドにワークフローがあることで、こういった簡単な作業を軽減できる可能性が出てきます。現在の Gluegent Flow では、Google スプレッドシートという表計算のクラウドサービスにレコードを追加したり、Google ドライブというクラウドストレージに添付ファイルを自動保存したり等をクラウド連携機能として実現しています。今後も、このようなクラウド連携機能は強化していく予定です。



Gluegent Flow は、十数名の企業様から、数千名の企業様まで全社的に導入していただいており、シンプルなワークフローからある程度複雑なワークフローまで、簡単な操作で実現できるようになっております。今後も、クラウドならではの強みを活かしながら成長し、より使い易い便利な機能を提供し続けたいと考えています。ワークフローをご検討の際には、是非 Gluegent Flow もリストに入れても頂けるとうれしいです。




2016年11月29日火曜日

シングルサインオンでクラウド活用の見通しが良くなる

弊社が提供する Gluegent Gate は、シングルサインオン・アクセス制御・ID統合管理の機能を兼ね備えたクラウドサービスです。現在、多くのクラウドサービスが、SAML 2.0 という認証連携の標準規格に対応しており、Gluegent Gate では、この SAML 2.0 という規格を利用して各種クラウドサービスとのシングルサインオンを実現しています。シングルサインオンにより、各種クラウドサービスでの認証を Gluegent Gate に集約し、そこに対してアクセス制御をかけることで、各種クラウドサービス横断的にセキュリティを強化することが可能となります。

今日は、Gluegent Gate のようなシングルサインオンサービスを導入することで、その後のクラウド活用の見通しが良くなる理由をご紹介させていただきます。
す。

 Gluegent Gate

新サービスのアカウント配布が容易

シングルサインオンサービスを導入済みであれば、新しくクラウドサービスの利用を開始する際にも、新たにIDやパスワードをユーザに知らせる必要がありません。ユーザは以前と同じシングルサインオンサービスのログイン画面で、これまでと同じID/PWを入力すれば、新しいサービスにもログインできるためです。

もちろん、ユーザ自身にサービス毎のID/パスワードを管理させる必要もありませんし、一度シングルサインオンサービスにログインしていれば、別のサービスにはログイン不要でアクセスできるため、サービスが増えることによるユーザの負担増もありません。

共通で管理されたアクセス制御

クラウドサービスは、いつでも・どこからでも・どんなデバイスからでも利用できるので非常に便利です。一方で、この点により、常にセキュリティ面での不安が付いてまわります。悪意のある第三者が、何らかの方法でID/パスワードを手にした場合、自由にサービスにログインされてしまうのです。この点を解消すべく、各種クラウドサービスはそれぞれ独自のセキュリティ対策機能を用意しています。あるサービスはSMSや電話による2段階認証機能を提供していますし、別のサービスは一部のIPアドレスからしかログインできないように制御する機能を持っています。クライアント証明書による制御ができるサービスもあれば、セキュリティ面については機能を提供していないサービスもあります。このようにサービス毎に様々な機能が提供されており、それぞれバラバラなのが現状です。

もし、シングルサインオンサービスを導入していなければ、サービス毎にポリシーを決め、それぞれで対応していく必要があります。サービスによっては、期待通りの制御ができないケースもあります。例えば、「基本的にはIPアドレスでアクセスを制御したいが、一部のユーザに限っては社外からでもアクセスできるようにしたい。ただし、社外からアクセスできるのは特定の端末からのみとしたい。」という基本的な要件にさえ、応えられないサービスがほとんどです。セキュリティ関連機能は、本来そのサービスで提供したい機能とは異なるため、どうしても後回しとなります。この結果、最低限の機能提供に留めるケースが多くなるのは仕方がありません。

シングルサインオンのサービスを導入し、そこに集約してアクセス制御を実施しておけば、サービス毎に頭を悩ませる必要はなく、利用するサービスに対して横断的なポリシーでアクセスの制御をすることができます。Gluegent Gate は、シングルサインオンおよびアクセス制御を目的としたサービスであり、まさにそこが機能強化のポイントです。


今後、クラウドを積極的に活用することをご検討されているのであれば、是非グルージェントにもお声かけいただけるとうれしいです。

 Gluegent Gate

2016年11月22日火曜日

Office 365とワークフロー Gluegent Flow の連携

弊社では Gluegent Flow というクラウドワークフローサービスをご提供させていただいております。Gluegent Flow は Office 365 や G Suite と密接に連携する機能を持っており、クラウドならではの利便性を感じていただけるものになっております。今日は、中でも Office 365 と連携・連動する機能についてご紹介させていただきます。


アカウント連携

Office 365 にアカウントがあれば、自動的に Gluegent Flow にもアカウントが作成されます。このため、管理者は Office 365 のアカウントさえ管理すればよく、Gluegent Flow のアカウント管理等の作業は不要です。

認証連携

Gluegent Flow を利用する際に、認証は Office 365 と統合されており、Office 365 にログインした状態であれば、Gluegent Flow にアクセスするだけで、認証された状態となります。Office 365 にログインしていない状態で Gluegent Flow にアクセスした場合は、Office 365 のログイン画面に遷移します。シングルサインオンの設定などがある場合も、シングルサインオンの入り口に遷移する形となります。

組織階層連携

Exchange Online の配布グループやセキュリティグループを、組織階層としてGluegent Flow に自動同期します。 このため、Exchange Online のグループ設定のみで、組織階層を準備することができます。Gluegent Flow は、この組織階層構造によって、承認者や承認者を切り替えるなどの機能を備えており、承認者・決裁者をユーザ自身で選ばせるのではなく、自動的に判別させることが可能となっております。

このように、アカウントや組織関連を自動的に同期させることにより、管理者の手間やユーザの利便性を高めています。まだ、Office 365 の API の安定性・信頼性等の検証を進めている段階ですが、今後も Office 365 との連携を深めていく計画になっております。ご期待ください。




2016年11月15日火曜日

G Suite 導入に合わせて SSO を検討する際の忘れがちなポイント

G Suite や Office 365 などのグループウェアをはじめ、Salesforce などのクラウドサービスの利用を開始するにあたって、アクセス制御を検討されるケースは以前と変わらず多いです。最近はクラウドサービスを複数利用するケースも増えており、パスワード管理等のセキュリティ面、ユーザ利便性等の観点から、アクセス制御に加えてシングルサインオンについてもしっかりと検討されるケースが多くなって来ています。

弊社が提供する Gluegent Gate には、アクセス制御・シングルサインオン・ID統合管理の機能があり、上記のようなご相談を多数頂いております。ここでは、アクセス制御・シングルサインオンサービスを検討する際に忘れてはいけないポイントをご紹介させていただきます。

 Gluegent Gate

できる限り G Suite や Office 365と同時に導入する

現在、G Suite や Office 365 等のクラウドグループウェアの導入を検討されているのであれば、同じタイミングでシングルサインオンのサービスを導入するのが理想的です。ポイントとしては3点あります。

ひとつ目はセキュリティ面からの懸念です。これらのクラウドサービスは、モバイル向けのアプリケーションを提供していますが、アプリケーションのほとんどが、一度認証したらその後は認証なしで永続的にサービスを利用できるようになっています。技術的な言葉で言うと、アプリケーションがAPIアクセスの認可を持ってしまっている状態になります。この状態になると、あとからアクセス制御を導入しても、各アプリケーションの認可の取消をするまでは自由に使えてしまいます。この認可の取消の手間等を考えると、最初から制御しておくことが望ましいです。

ふたつ目は、ID/PWの再配布の手間の問題です。通常、グループウェアから「現在のパスワード」を抽出することはできないため、後からシングルサインオンを導入する場合には、グループウェアとは異なるPWを配布する必要性が出てきます。会社の規模等にもよりますが、管理者・ユーザ含めるとそれなりの手間(コスト)がかかる結果となります。

最後は、ユーザから見た場合の評価の問題です。いくらよりセキュアに・より安全にするためにとはいえ、以前使えていたものが使えなくなるというのは利便性の低下と受け止められます。場合によっては安全面を犠牲にして利便性のみに偏った声に押されてしまい、セキュリティ面での課題を抱えたまま利用を続けてしまうようなケースも出て来てしまいます。

このようなポイントから、クラウドの利用を開始するタイミング、特にグループウェア等の全社的に利用するサービスを導入するタイミングに合わせて、アクセス制御・シングルサインオンを導入するのが望ましいです。

シングルサインオンの対象となるサービスは必ず増える

シングルサインオンシステムの導入により、管理者サイドにもメリットがあります。

今後シングルサインオンの対象となるサービスは必ず増えることを念頭に置く必要があります。この視点を忘れると、いざ対象とするサービスを増やそうとした場合に、思わぬ課題が出て来てしまいます。シングルサインオン対象のサービスの追加は柔軟にできるのか、その際に必要となるコストはどの程度か、この辺りをきちんと整理して理解しておく必要があります。


もちろん、導入時の価格や導入時点で必要となる機能を最低限押さえておくという大前提はありますが、上記のようなことも参考にして検討いただくのが良いと思います。その際には Gluegent Gate も検討リストに加えていただけるとうれしいです。

 Gluegent Gate