2018年2月27日火曜日

ID/PWだけで大丈夫?2段階認証は当たり前の時代に

ここ数年、セキュリティに関する多くの問題が露見してきています。コンピュータネットワークに関するセキュリティ問題の歴史は古く、1986年にはコンピュータウィルスの第一号が生み出されています。30年以上経った今、その規模や影響力、危険度がどんどん大きくなってきているのは、みなさんも感じておられると思います。
数年前までは大騒ぎだった個人情報流出事件は、とうとう30億人規模にまで達しました。WannaCry に代表される、身代金を要求するタイプのランサムウェアの流行。はたまた、インターネット上の通信技術等に関する脆弱性の指摘も増えてきており、ユーザ自身ではどうしようもない問題も多く発生しています。

一方で、ユーザ自身で身を守れる脅威もあります。今日は、最低限身を守るひとつの方法として、簡単ながら2段階認証のお話をさせていただきます。G Suite や Amazon などを利用されている方は既にご存知だと思いますが、多くのサービスで「2段階認証」という考え方が採用されています。通常の ID/パスワードに加えて、もうひとつセキュリティ要素を追加し、より安全にするという考え方です。

サービスによって2段階目は色々とありますが、特定のメールアドレスにコードを送信したり、SMSや音声通話でコードを伝えたり、Google Authenticator のようなOTPアプリを利用するなどが一般的です。インターネットバンキング等でも、このような考え方は広まってきていますね。

1月30日に、IPA:情報処理推進機構が「情報セキュリティ10大脅威 2018」を発表しましたが、「インターネットバンキングやクレジットカードの不正利用」「ウェブサービスへのログイン」など、ID/パスワードが漏洩・推測されることで、不正にログインされてしまう事件が増えています。昨年などは、芸能人の iCloud に不正にログインしているような事件がありました。このようなリスクについては、2段階認証で防げるケースが多くあるかなと思います。

私も個人で利用するサービスは出来る限り2段階認証の設定をしています。また、パスワード管理ツールなどを利用してIDやパスワードをかなり複雑にし、2段階認証の設定ができないサービスも、より安全に利用する工夫をしています。

さて、当社の Gluegent Gate は組織で利用するSSO/アクセス制御のサービスですが、IPアドレス制限や端末制限などの各種機能の中で、2段階認証の機能を提供しています。通常の SAML サービスであれば、そのサービスが2段階認証機能を提供していなくても、Gluegent Gate の2段階認証機能で強化することができます。SAMLに対応していないようなレガシーシステムでも、Gluegent Gate の代理認証機能も合わせて利用してSSO傘下に置くことで、セキュリティの強化が実現できます。

利便性とセキュリティの両面が強化できる、Gluegent Gate を是非、ご検討くださいませ。

 Gluegent Gate

2018年2月20日火曜日

Gluegent Flow 活用例:入力フォーム値によって自動処理の内容を切り替えるには?

クラウド型ワークフローであるGluegent FlowはG Suite(旧Google Apps)やOffice 365と連携し、クラウド上で様々なワークフローを実現できるサービスです。 Gluegent Flowには申請・承認といったユーザによる操作時に予め決めた処理内容を自動実行する「自動処理機能」を兼ね揃えています。
G Suite版ではこの自動処理機能を使い、決裁時に申請内容をスプレッドシートに出力したり、入力フォームイメージをGoogleドキュメントとしてGoogle Driveに保存することができ、ワークフローデータの二次利用先としてG Suiteを有効活用できます。
通常、自動処理は処理を定義した順序に従って上から順番に実行するものですが、場合によっては入力フォームの値によって自動処理の処理順序を変えたいケースも出てくるかと思います(例えば、報告書の保存先を所属部署毎のフォルダに振分けたい等) 

今回は、Gluegent Flowの自動処理において、入力フォーム値によって処理内容を切り替える方法と、そのメリットについてご説明します。

Gluegent Flowの自動処理を切り替える方法

入力フォーム値によって自動処理内容を切り替えるためには、その1つである「次を飛ばす」自動処理を利用します。この自動処理を活用されている方はあまりいらっしゃらないでしょう。しかし、この「次を飛ばす」自動処理を活用することで自動処理の流れに「分岐」を導入することが可能となります。
「次を飛ばす」自動処理は、「指定した条件に合致した場合、後続する自動処理タスクを指定した数だけスキップする」ことができます。つまり、指定した条件に合致した場合、後続の自動処理を処理しないという振る舞いができるのですが、この振る舞いを利用することで自動処理の流れに「分岐」を導入することができるようになります。

今回は日報の上長確認完了後、Google Driveの部署フォルダ毎にGoogleドキュメントとして保存する自動処理を行うサンプルを用いて説明していきます。

報告書をGoogle Driveに出力・保存するためには、以下のような自動処理が必要です。
  1. Google ドキュメントとして出力する(ドキュメント作成自動処理)
  2. 上記で出力したファイルを指定したフォルダへ移動する(Google Docsの移動自動処理)
問題となるのは上記2で、この処理を行う際に報告者の所属部署に応じて移動先フォルダを切り替えるようにしなければなりません。 しかし「Google Docsの移動自動処理」には移動先フォルダを切り替えることができるような設定はありません。 そこで、「次を飛ばす」自動処理の登場です。
次を飛ばす自動処理で以下のような設定を行います。

  • スキップする条件:入力フォームの「報告者所属部署」の値が「営業部」と異なる場合
    • 入力フォーム値を表現するため、${報告者所属部署} のようにプレースホルダ形式で記述します
  • スキップ数:1
    • 後続のスキップする自動処理の定義数を指定します
上記の設定を行うと、「報告者所属部署」が営業部の場合は、スキップする条件に合致しないため、後続の自動処理を実行します。一方、営業部でない場合は条件に合致するため、後続の自動処理を「スキップ数」分だけ飛ばします。つまり、「次を飛ばす」自動処理の後続に条件に応じて実行させたい自動処理を定義し、条件に合わない場合は処理しない、ということができるようになります。 これを踏まえ、複数の部署に対する振分け処理を定義したサンプルが以下です。

  1. Google ドキュメントとして出力する(ドキュメント作成自動処理)
  2. フォーム「報告者所属部署」=営業部の場合の処理
  3. 上記1で出力したドキュメントをフォルダ「営業部」へ移動する(Google Docsの移動自動処理)
  4. フォーム「報告者所属部署」=開発部の場合の処理
  5. 上記1で出力したドキュメントをフォルダ「開発部」へ移動する(Google Docsの移動自動処理)
  6. ※部署の数だけ上記の処理を定義する※
上記の設定により、入力フォーム値に応じて条件分岐による自動処理が可能となります。

次を飛ばす自動処理を利用するメリット

Gluegent Flowの「次を飛ばす」自動処理を利用することで以下のメリットを享受できます。
  • 条件分岐の概念が利用できるため、自動処理の実行可否が可能となる
    • 上記の例のように部門毎の振分けに限らず、ある条件下の場合のみ自動処理を実行する、ということが可能となります。
  • 自動処理の出力先に応じて申請モデルを分けて定義する必要がなく、ひとつに纏められる
    • 実行している処理内容は同じなのに、出力先が異なるため、申請モデルまたは実行ボタンの定義を分けている方もいらっしゃるかと思いますが、上記の定義を利用することで同一の申請モデル・実行ボタンにまとめることができます。
上記の通り、Gluegent Flowの自動処理をより強力にすることができますが、あまりに複雑な定義を行うと、かえって複雑性が増してしまい、メンテナンス性が落ちてしまうリスクがあります。ご注意下さい。


以上、Gluegent Flowの「次を飛ばす」自動処理を利用することにより、自動処理に対して条件分岐が利用できる方法をご紹介しました。 既にGluegent Flowで自動処理をご利用いただいている方は是非参考にしてみてください。



2018年2月13日火曜日

SAMLに対応していないサービスでもSSOしたい

Gluegent Gateは、SAMLに対応していないサービスでも、SSOできるように、「代理認証」というオプションを提供しています。今回は、その仕組みを簡単にご紹介いたします。社内に新旧の複数のサービスが乱立していて、全部SSOできるようにしたいというようなニーズにお応えいたします。

Gluegent Gateと連携するサービス

Gluegent Gate は、G Suite や Office 365、Boxなどのクラウドサービスと連携します。これらのサービスは、SSOだけでなく、対象サービスが提供するAPIを経由して、アカウントやグループの連携を行うことも可能です。ただ、数あるクラウドサービスすべてに対応できてるわけではありませんので、Gluegent Gateで対応していないクラウドサービスでSSOしたいというニーズに応えるために、汎用SAMLというオプションをご用意しています。この機能や例は、以下の記事でご紹介しました。


では、SAML2.0に対応していないサービスや、レガシーなシステムの場合は、SSOを諦めざるを得ないのでしょか。Gluegent Gateでは、そのようなニーズにも対応するため、「代理認証」というオプションをご用意しています。

「代理認証」の仕組み

代理認証は、その名前の通り、Gluegent Gate が代理で認証することで、SSOを実現します。Webサービスは、そのサービスで特有のログイン用URLに対して、ユーザのIDとパスワードを送ることで認証します。通常は自分のブラウザでそれを行いますが、代理認証では、あらかじめGluegent Gate に情報を設定しておくことで、代理で認証処理を行います。利用のイメージは以下のようになります。

  1. あらかじめGluegent Gate に設定されている対象サービスへのログインURL(以下)にアクセス
    https://auth.gluegent.net/sso/clientlogin.php?sso_app=<アプリケーションID>&tenant=<テナントID>
    ※ Gluegent Gate にログインしていない場合は、Gluegent Gate のログイン画面が表示され、ログインを促される。
  2. Gluegent Gate は、設定値をつかって、対象サービスに代理で認証しにいく。
  3. 認証に成功したら、利用者のブラウザに対象サービスのログイン済みの情報をセットする。
  4. 対象サービスを利用する。
Gluegent Gate にログインしていますので、SSO設定済みの他のサービスはそのまま使えます。

代理認証の利用パターン

昨今のクラウドサービスの豊富さを考えると、これまで使ってきた多くのサービスはクラウドサービスに転換が可能でしょう。G SuiteやOffice 365で、業務で必要な機能を広くカバーします。さらに機能に特化した、Dropboxや、Box、Salesforceなどを特定の部署に追加するなどの使い方です。これらは、Gluegent Gate で対応していますし、未対応のクラウドサービスでも、汎用SAMLオプションを利用して、SSOを実現できます。 ただ、業務の内容によっては、どうしても、SAMLに対応していないサービスも利用したい場合があります。社内で利用するサービス全体にSSOを実現して、高いセキュリティを保とうとしても、一つでもSSOできていないものがあると、セキュリティの穴になります。そのようなケースでは、代理認証を使って、SSOの中にいれてしまいましょう。 代理認証オプションでは、ユーザは対象サービスのパスワードを知る必要がありません。管理者がGluegent Gate で設定することができますので、他のサービスと合わせて、認証の可否を一括して制御することができます。 このようなサービスを抱えている場合は、是非ご相談ください。

   Gluegent Gate


2018年2月6日火曜日

Gluegent Gadgets の G Suite の「新しいサイト」対応について 続報

以前、当ブログの記事「Gluegent Gadgets の G Suite の「新しいサイト」対応について」でもお伝えしたように、Google Sites で「新しいサイト」が利用できるようになっています。当社が提供するGluegent Gadgets についても、新しい情報をご提供できるようになったため、ここでご報告させていただきます。

「新しいサイト」と「以前のサイト」についての Google からの公式アナウンスは、およそ以下の通りでした。
  • 2017 年に、以前の Google サイトから新しい Google サイトへ移行するためのおすすめの方法を提供予定
  • 2018 年より、以前の Google サイトの段階的なサービス終了について、日程や詳細な情報のお知らせを開始予定
  • 現段階では具体的なサービス終了日は確定していないが、終了日の少なくとも 1 年前にはお知らせを実施

また、個別の問合せにおいて以下のような回答を得ていました。
  • Site のガジェットは利用者が多いため、そう簡単に廃止できる機能ではないと考えている。

その後に、Google Sites への埋め込みガジェットに関連して、Google から以下のような案内が出ています。

当社開発用の G Suite においても、新しいサイトにて上記の G Suite Update Blog の記事通りに埋込み型のHTMLやJavaScriptが挙動する状態となり、当社が提供する Gluegent Gadgets が、新しいサイトでも技術的に問題なく動作することが確認できました。埋め込み方法等はこれまでと変わりますが、機能面ではこれまで同様のものをご提供できると考えております。
※ リリース日等については、未定となっております。




今回の「新しいサイト」のポイントのひとつとなっている「レスポンシブ」についても、Gluegent Gadgets も積極的に対応させるよう検討しており、現在引き続き検証を進めております。スマートフォンやタブレットなど、デバイスが多様化する中、いかなるデバイス同士でも情報がスムースに共有できるよう、Gluegent Gadgets も進化する計画を立てております。