 |
| 図●中京テレビ放送では、LANで認証を受けると、Windowsログオンを含めた全アプリケーションへの認証でID/パスワードの入力をしなくてすむ |
新ネットワークは、バックボーンにギガビット・イーサネットを用いたスター型構成。物理的には一つだが、論理的には独立した三つの仮想LAN(VLAN)に分かれている。最大の特徴は、末端のスイッチを束ねるフロア・スイッチに「認証VLAN」機能付きの製品を採用したこと。認証VLANとは、パソコンをLANに接続する際、IDとパスワードなどでの認証を要求する機能である。中京テレビではVLANごとにID/パスワードを分け、認証を行っている(詳しくは、本号の特集を参照)。
認証VLANの導入でセキュリティを強化したが、一つ大きな問題があった。ID/パスワードが増え、使い勝手が悪くなってしまったのである。
同社は以前から、グループウエアにログインすると、視聴率システムなどのクライアント/サーバー・システムや、出退勤管理などのWebシステムへのログインを自動的に行う「シングル・サインオン」を独自に作り込んでいた。Windowsログオンを合わせ、ユーザーは2種類のID/パスワードを利用していた。セキュリティ強化のため、2種類のパスワードはともに、月に一度は変更するのがルールである。
ここに営放システム用と認証VLAN用が加わり、合計でパスワードは四つになってしまった。営放システムは「パッケージ製品なので、自社のシングル・サインオンの仕組みを組み込めなかった」(技術局情報システム部の鈴木則泰部長)。
すべての認証を1回ですませられるようなシングル・サインオン製品を探したが、「Webシステムしか対応しない、認証VLANで必要なLDAPサーバーと連携できない、各クライアントにユーザー情報を登録する必要があるなど、自社の要件に合わなかった」(技術局情報システム部の廣瀬茂貴氏)。ユーザー情報の登録は、通常は問題にはならない。しかし同社は、各パソコンはだれでも利用できる体制を採っている。ユーザーを追加するには、その人が使う可能性のあるパソコンすべてに登録が必要となる。
最終的には、エクスジェン・ネットワークスの「EXGEN Password Assistant」を選んだ(販売はシイエム・シイ)。要件の多くをカバーし、国産なので柔軟なカスタマイズが期待できる。価格も安かった。
仕組みはこうだ。パソコン起動時に認証VLANのID/パスワードを入力して認証されれば、後はすべてのログインは必要ない(図[拡大表示])。認証VLANとWindowsログオン以外のパスワードは乱数にし、定期的に変更している。これらの情報は暗号化してLDAPサーバーで管理しており、認証VLANでのログイン後、暗号化したままクライアントのメモリーに展開する。各システムを利用する際は、Password Assistantが復号化したパスワードをサーバーに送る。構築費用は、シングル・サインオンとLDAP管理用ソフト、カスタマイズで700万円である。
