【事例】認証方式などの違いでアクセス権限を変更，社外からの利用に制限---大成建設（上）

2002.09.10

大成建設は2002年4月，社員向けポータル・サイトを再構築した。セキュリティを確保するため，社員全員にハードウエア・トークンを配布。ポータル・サイトへのアクセス制御に利用した。認証方法やアクセス経路の違いによるセキュリティ・レベルごとに，社員に提供する権限を変更する仕組みを作り込んだ。トークンを忘れて出社した社員や，インターネット経由で接続する社員には，限られた範囲の権限のみを与える。

（実森仁志＝hjitsumo@nikkeibp.co.jp）

図1●情報ポータルへのアクセス方法/認証方法によって社員に提供する権限を変化させる
情報ポータルをどこから利用しようとしているか，本人認証にハードウエア・トークンを利用しているか否かに応じて，ポータル・システムで社員に提供する権限を変化させる。具体的には，承認や審査など，会社に対する影響の大きな作業は，安全性が高い場合しか実行を許さない。

　大成建設は2002年4月，社員向けのポータル・サイト「Taisei Information Portal Site」を再構築した。社員は，このWebサイトを通じて，電子メール・システム，会社の業務連絡システム，決済システムなどに一元的にアクセスできる。

　セキュリティを高めるため，同じ社員でも，認証方式やアクセス経路によって，ポータル・サイトへのアクセス権限を変える仕組みを作り込んだ（図1[拡大表示]）。例えば，社員全員に配布したハードウエア・トークンを使って本人認証し，LANや専用線などによる社内ネットワークからアクセスする場合には，決済や承認などの重要な処理も実行できる。しかしハードウエア・トークンを使っても，インターネット経由でアクセスする場合には，セキュリティ上のリスクがあるものとみなし，限られた範囲しか利用できない――などの制御をする。

本人認証の強化が必要に

　大成建設がポータル・サイトの再構築を検討し始めたのは，2001年4月ごろ。基幹系システムの再構築と並行し，96年から稼働していた既存のポータル・サイトを再構築することにした。

　再構築にあたり大成建設は，ポータル・サイトを利用する際のセキュリティを強化することにした。ポータル・サイトを利用するのは，全国88カ所の拠点にいる社員だけではない。建設工事現場など，1500カ所を超える作業所からも利用する。この作業所のセキュリティに，注意を払う必要があった。こうした作業所には，取引先や請負先の人がひんぱんに出入りする。複数企業がかかわる大規模な建設工事では，ライバル企業の社員と同じ作業所を共有しなければならないこともある。「ユーザー名とパスワードだけの認証では危険きわまりない」（社長室情報企画部長の木内里美氏）。社員本人であることを確実に認証し，適切な情報のみを提供できる仕組みが必要だった。

SecurIDを採用

写真1●大成建設が全社員に配ったハードウエア・トークン
RSAセキュリティの「SecurIDカード」に，オリジナルのプリントを施した。

写真2●ポータル・サイトのログイン画面
ユーザー名，個人識別用の暗証番号（PIN），ワンタイム・パスワードを入力する必要がある。

　本人認証を強化するために採用することにしたのは，RSAセキュリティの認証システム「SecurID」である。1万2000名の社員全員に「SecurIDカード」というハードウエア・トークンを配布（写真1）。ポータル・サイトへのアクセス制御に利用することにした。決定したのは，2001年9月のことだ。

　SecurIDカードの液晶パネルには，1分ごとに変化する社員固有のワンタイム・パスワードが表示される。このワンタイム・パスワードと，SecurIDカードの所有者本人であることを示すPIN（個人識別用の暗唱番号）をポータル・サイトのログイン画面（写真2）に入力することで，社員は本人であることを証明する。刻々と変化するワンタイム・パスワードを知るには，SecurIDカードを持つ必要がある。単純にユーザー名とパスワードで本人認証する場合よりも，セキュリティ・レベルは高くなる。

　採用する決め手になったのは，システム導入/運用にかかる初期費用が1億円強と，ほかの選択肢に比べて安かったことである。比較の対象にしたのは，（1）PC本体のUSB（汎用シリアル・バス）ポートに装着するタイプのハードウエア・トークン，（2）PKI（公開カギ基盤）ベースのICカード，（3）人間の生体情報を利用するバイオメトリクス――などの認証技術だった。

　（1）は，トークン自体は安上がりだったが，PCとOSの移行コストが高くつく。Windows95クライアントなど，USBインタフェースを使えないマシンが，同社の社内には数多くあった。（2）は，各クライアントにICカードの読み取り機を導入する必要があるうえ，社内に認証局を設置しなければならなかった。2億～3億円規模の初期投資は，実現できるセキュリティ・レベルに対して過剰と判断した。（3）は理想的だったが，現段階では認証精度とコストから，時期尚早と考えた。「新技術の登場や普及を見越し，3年間だけ一定のセキュリティを維持できれば十分と割り切った」（社長室情報企画部次長の水上保氏）。

　携帯電話やPDA（携帯情報端末）からポータル・サイトを利用するときに活用できる認証方式であることも，SecurIDを選択する理由になった。