オージス総研のご紹介 オージス総研データセンター全景 社名 代表者 設立 株式会社オージス総研 取締役社長平山輝 1983 年 6 月 29 日 資本金 4 億円 ( 大阪ガス株式会社 100% 出資 ) 売上実績 509 億円 ( 連結 ) 257 億円 ( 単独 ) ( 2009 年度 ) 従業

OpenSSO&OpenAMコンソーシアム 技術セミナー

OSS活用型認証基盤構築事例のご紹介

（認証基盤の作り方と広げ方）

株式会社オージス総研

IT基盤ソリューション第一部

八幡 孝

2010年11月18日

オージス総研のご紹介

社名

株式会社オージス総研

代表者

取締役社長 平山 輝

設立

1983年6月29日

資本金

4億円（大阪ガス株式会社100%出資）

売上実績

509億円（連結） 257億円（単独）

（※2009年度）

従業員数

2,841名（連結） 1,186名（単独）

（※2010年3月31日現在）

連結対象

さくら情報システム（株）、（株）宇部情報システム、

（株）システムアンサー、 OGIS International, Inc.

事業内容

ソフトウェア開発､情報処理サービス、

コンピュータ機器･ソフトウェアの販売

オージス総研の組織図

（

2010年４月現在）

ｴﾈﾙｷﾞｰｿﾘｭｰｼｮﾝ 第二部 ｴﾈﾙｷﾞｰｿﾘｭｰｼｮﾝ 第二部 ｴﾈﾙｷﾞｰｿﾘｭｰｼｮﾝ 第一部 ｴﾈﾙｷﾞｰｿﾘｭｰｼｮﾝ 第一部 ｴﾈﾙｷﾞｰｿﾘｭｰｼｮﾝ 第四部 ｴﾈﾙｷﾞｰｿﾘｭｰｼｮﾝ 第四部 ｴﾈﾙｷﾞｰｿﾘｭｰｼｮﾝ 第三部 ｴﾈﾙｷﾞｰｿﾘｭｰｼｮﾝ 第三部 組み込みｿﾘｭｰｼｮﾝ部 組み込みｿﾘｭｰｼｮﾝ部 ｴﾝﾀｰﾌﾟﾗｲｽﾞｿﾘｭｰｼｮﾝ 第一部 ｴﾝﾀｰﾌﾟﾗｲｽﾞｿﾘｭｰｼｮﾝ 第一部 ｴﾝﾀｰﾌﾟﾗｲｽﾞｿﾘｭｰｼｮﾝ 第二部 ｴﾝﾀｰﾌﾟﾗｲｽﾞｿﾘｭｰｼｮﾝ 第二部 計画部 ﾋﾞｼﾞﾈｽ ｲﾉﾍﾞｰｼｮﾝ ｾﾝﾀｰ 社長 ＰＣＲ部 ＰＣＲ部 プラットフォームサービス本部 ソリューション開発本部 ＩＴ基盤ｿﾘｭｰｼｮﾝ第一部 ｸﾞﾛｰﾊﾞﾙ ﾋﾞｼﾞﾈｽ推進部 ｸﾞﾛｰﾊﾞﾙ ﾋﾞｼﾞﾈｽ推進部 計画部 東日本営業部 中部日本営業部 西日本営業部 OGｸﾞﾙｰﾌﾟ営業部 営業企画部 営業本部 技術部 技術部 ＱＡ統括部 ＱＡ統括部 ｴﾝﾀｰﾌﾟﾗｲｽﾞｿﾘｭｰｼｮﾝ 第三部 ｴﾝﾀｰﾌﾟﾗｲｽﾞｿﾘｭｰｼｮﾝ 第三部 ｻｰﾋﾞｽﾋﾞｼﾞﾈｽ第一部 ｻｰﾋﾞｽﾋﾞｼﾞﾈｽ第一部 ｴﾝﾀｰﾌﾟﾗｲｽﾞｿﾘｭｰｼｮﾝ 第四部 ｴﾝﾀｰﾌﾟﾗｲｽﾞｿﾘｭｰｼｮﾝ 第四部 ﾋﾞｼﾞﾈｽｿﾘｭｰｼｮﾝ 第一部 ﾋﾞｼﾞﾈｽｿﾘｭｰｼｮﾝ 第一部 ﾋﾞｼﾞﾈｽｿﾘｭｰｼｮﾝ 第二部 ﾋﾞｼﾞﾈｽｿﾘｭｰｼｮﾝ 第二部 ﾋﾞｼﾞﾈｽｿﾘｭｰｼｮﾝ 第三部 ﾋﾞｼﾞﾈｽｿﾘｭｰｼｮﾝ 第三部 ﾄﾖﾀｿﾘｭｰｼｮﾝ部 ﾄﾖﾀｿﾘｭｰｼｮﾝ部 ｱﾄﾞﾊﾞﾝｽﾄ ﾓﾃﾞﾘﾝｸﾞ ｿﾘｭｰｼｮﾝ部 ｱﾄﾞﾊﾞﾝｽﾄ ﾓﾃﾞﾘﾝｸﾞ ｿﾘｭｰｼｮﾝ部 経理部 経理部 経営企画部経営企画部 ｴﾝﾀｰﾌﾟﾗｲｽﾞ･ｵｰﾌﾟﾝｿｰｽ・ｾﾝﾀｰ ｿﾌﾄｳｪｱ工学ｾﾝﾀｰ ＩＴ基盤ｿﾘｭｰｼｮﾝ第二部 ＩＴ基盤ｿﾘｭｰｼｮﾝ第二部 ｻｰﾋﾞｽﾋﾞｼﾞﾈｽ第二部 ｻｰﾋﾞｽﾋﾞｼﾞﾈｽ第二部 ＩＴ基盤ｿﾘｭｰｼｮﾝ第三部 ＩＴ基盤ｿﾘｭｰｼｮﾝ第三部 ｿｰｼﾝｸﾞﾋﾞｼﾞﾈｽ部 ｿｰｼﾝｸﾞﾋﾞｼﾞﾈｽ部 ｸﾗｳﾄﾞ ｲﾝﾃｸﾞﾚｰｼｮﾝ ｾﾝﾀｰ 技術統括 ｾｷｭﾘﾃｨ統括 ｺﾝﾌﾟﾗｲｱﾝｽ統括

エンタープライズ・オープンソース・センター （

EOSC）

のご紹介

• ＳＩやサービスビジネスなどへのOSS

利用実績、ノウハウの蓄積

• オージス総研におけるOSS活用の

促進、先端技術の提供

ミッション

• OSSの動向調査

• OSSリファレンススタックの整備

• 商用プロダクトとの相互運用性検証

• オープンソースコミュニティへの貢献

• 次世代ソリューションへのOSS適用

技術開発

• OSSライセンスリスクの削減

診断ソリューション・サービスの提供

取り組み

2009年4月設立

OGIS OSS リファレンススタック

OS RDBMS

PostgreSQL

Java EE アプリケーションサーバ JBoss Enterprise Application Platform (Hibernate, JBoss Messaging, Tomcat )

RDBMS MySQL HTTPD Apache 統合監視 Hinemos 分散ストレジ DRBD HAクラスタ Heartbeat バグトラッキング Trac 構成管理 Subversion Web UI テスト自動化 Selenium

Enterprise Service Bus

Mule ESB

Mule関連

S2Mule（Serser2連携）

Transport （SAP, JPA、SSH等）

クラウド連携 （Amazon S3, EC2, Force.com） メッセージキュー JBoss Messaging Web サービス Apache CXF DIコンテナ Seaser2 O/R マッパ S2Dao Web Tier SAStruts ルールエンジン JBoss BRMS ワークフロー jBPM 統合開発環境 Eclipse 帳票出力 Jasper Reports ビジネスインテリジェ ンス Jasper Server 継続ビルド Hudson ポータル Liferay ア プ リ ケ ーシ ョン ア プ リ ケ ーシ ョンコ ア 運用・監視・セキュリティ イ ン テ グ レーシ ョン イ ン フ ラ ス ト ラ ク チ ャ 開発支援 プロジェクト支援 CMS Alfresco メッセージキュー Apache AcitiveMQ 統合監視 Hyperic HQ 統合監視 Zabbix BPEL Intalio | BPMS シングルサインオン OpenSSO（AM）

ThemiStruct

シリーズとして

提供

アジェンダ

1. 大阪ガスの認証基盤 2. 認証基盤展開の歴史 3. 認証基盤実現のねらい・メリット 4. 認証基盤のアーキテクチャ 5. 認証基盤を活用する 6. なぜOSS活用なのか？ 7. 開発したSSOソフトウェアのアーキテクチャ 8. 今後の展開 9. ソリューション展開の方向性 10. ThemiStruct-WAM としてのソリューション化 11. ThemiStruct-WAM のアーキテクチャ 12. ThemiStruct-WAM での機能エンハンスメント 13. 弊社での他の構築実績 14. まとめ

1. 大阪ガスの認証基盤

用途に応じて、5つの認証基盤を構築

1. 社内システム向け

2. 代理店システム向け

3. 携帯アプリケーション向け

4. B2B顧客向け

5. マイ大阪ガス（一般家庭顧客向け）

いずれもOSS活用型、リバースプロキシ構成で実現

1. 大阪ガスの認証基盤

社内システム向け

– 社内ポータル（Liferay）、社内業務アプリ（Web）利用時の認証 – アプリ単位でのアクセス制御 – 社員証を使った認証（PKI） – グループ会社向けへも提供

代理店システム向け

– 代理店向け業務アプリ（Web）利用時の認証、アクセス制御 – PKI と ID/パスワード の併用

携帯アプリケーション向け

– iモード用Webアプリ利用時の認証 – 携帯電話向けの操作が簡易となる認証方式

B2B顧客向け

– 法人契約顧客向けアプリ（Web）利用時の認証、アクセス制御

マイ大阪ガス（一般家庭顧客向け）

– 大阪ガス利用の家庭ユーザ向けの情報サイトの認証 – 複数の情報画面（アプリ）間でのシングルサインオン

総ユーザ数

約25,000ユーザ

総アプリケーション数

約600システム

「マイ大阪ガス」 URL： http://www.osakagas.co.jp/my-page/index.html

2. 認証基盤展開の歴史

社内向け認証基盤を商用の認証製品 を使って構築 開発標準を文書化 代理店向け認証基盤を商用の認証製品を使って構築 社内向け認証基盤へ、社員証（PKI）を使った認証機能を追加 社内向け認証基盤の社員証認証機能を運用開始 携帯向け認証基盤をOSSを組合せて開発、構築 （初期バージョン） B2B向け認証基盤をOSSを組合せて開発、構築 （PC対応開始） 社内向け認証基盤をOSS化する開発、検証に着手 （PC本格対応） 社内向け認証基盤のOSS活用型への移行完了 マイ大阪ガスサービス開始 代理店向け認証基盤のOSS活用型への移行完了 携帯向け認証基盤の最新化完了予定 2002年度 2003年度 2004年度 2005年度 2006年度 2007年度 2009年度 2010年度

3. 認証基盤実現のねらい・メリット

セキュリティリスクの軽減

– ID管理、認証処理の一元管理 – システム単位でのアクセス制御の一元管理 – アカウントポリシー、パスワードポリシーの一元管理 – システムへのアクセス記録の一元管理

開発のコスト削減

– 認証機能、アクセス制御機能の個別実装が不要 • 特にID管理、認証処理 – セキュリティポリシー変更時の個別開発が不要 • 認証方式の変更

ユーザの利便性向上

– ユーザID/パスワードが統一される – 一度のログインで複数アプリケーションをシームレスに利用可能 – ユーザサポートコストの低減

4. 認証基盤のアーキテクチャ

人事システム 利用者情報 メタディレクトリ ID管理システム LDAP Active Directory フレームワーク 共通ライブラリ 認証ゲートウエイ フロ ント エ ンド 統合 バックエ ンド統合 人事システムと連動した タイムリーなID作成、削除、 ユーザ属性やロールの更新 業務アプリケーション, etc… 統一されたID、パスワード、あるいは 認証デバイスで端末ログオンやWeb アプリの利用が可能 共通のログイン画面 一度のログインでアプリ を横断的に利用可能 認証されたユーザ名やユーザ のロールに関する情報の提供 アプリでユーザのアクセス権情報や ユーザ属性を活用するI/Fの提供 認証、ロールの情報 へのアクセス 認証、ロール、属性 などの一元更新 アカウントポリシーの一元管理 アプリへのアクセス権を一元管理 _{電子証明書} 発行サービス

5. 認証基盤を活用する

セキュリティリスクの軽減 開発コストの削減 ユーザの利便性の向上

認証基盤を作る

アプリケーションをつなぐ

アプリケーションを集める

広げる・永く使い続ける

ねらい メリット  SSO製品の導入  IDM製品の導入  接続方式の決定・設定  アプリケーションの修正  認証基盤側でのカスタマイズ対応  共通基盤としての利用ルール整備  接続方式のパターン化・標準化  開発担当向けガイドの提供  レビュー等による標準外構成の除外

?

コスト サポート

6. なぜOSS活用なのか？

コスト削減

– ユーザ数増加によるライセンス費用、保守費用の増加が抑制できる。

コンシューマ向けサイト運用においても費用負担を大幅軽減

構成の柔軟性

– オープンソースソフトウェアの活用により、特定のソフトウェア、ハードウェアへの 依存度が減り、構成の柔軟性が確保される。

商用

UNIXサーバからLinuxサーバへの変更、集約へ道筋

長期間サポート

– オープンソースであるため、徹底的な原因究明が可能。 – ソースコードを使った長期間サポートが可能。

長い目で見た信頼性向上の実現

7. 開発したSSOソフトウェアのアーキテクチャ

Open LDAP mod_auth_form PHP 認証画面 機能 mod_rewrite コンテンツ書換え 機能 HTTPリクエスト ヘッダ挿入機能 フレームワーク MySQL Web アプリ Web アプリ Web アプリ ユーザリポジトリ セッションデータベース 認証機能 認可機能 リバースプロキシ 処理機能 Apache HTTP Server OSS活用 独自開発

8. 今後の展開

センター内既存環境 _{システム運用} エンジニア 認証システム ThemiStruct-WAM （リバースプロキシ版、 OpenAM版） ID管理システム ThemiStruct-IDM 統合サーバ 個別分散サーバ ホスト Private Cloud 環境 サ ー バ ー 貸 そ う か （ H a a S ） 個別分散サーバ グループ会社向け 共用サービス（メール、グループウェア、etc.） 弊社 データセンター Internet Public Cloud アプリケーション環境として使うもの サービスを使うもの アプリケーション機能を使うもの Public Cloud ・認証情報の連携 ・アカウント（ID）情報 の連携 1. グループ向けクラウドを使ったグループ全体最適 2. パブリッククラウドサービスを使った効率的な業務 アプリケーションの構築 3. センター内既存アプリ、クラウド上のアプリの連携 による、高度な業務システムの実現

9. オージス総研ソリューションの方向性

エージェント型構成への対応

– パッケージ製品を使ったアプリケーションへの対応の必要性 – Ajax利用のアプリケーションへの対応の必要性

エージェント型構成に対応することで、コンテンツ書き換え機能の個別

カスタマイズの必要性を回避

– リバースプロキシ型の構成の場合、コンテンツ内URLの書き換えが必要 – アプリケーションがURLの書き方のガイドを守っていない場合、個別対応が必要 – JavaScript内のURL書き換えは一般的に困難なケースが多い

外部クラウドサービスとの認証連携への対応

– Salesforce.com / Force.com上のアプリケーションとの連携、SSO – Google Appsとの連携、SSO

平たく言えば、SAMLを使った認証連携への対応

10.

ThemiStruct-WAM

としてのソリューション化

アクセス管理ソリューション

OpenSSO/OpenAM + リバースプロキシエンジン

– SAML連携機能、エージェント型構成に OpenSSO/OpenAM で対応

– 認証機能を OpenSSO/OpenAM へ統合

– 大阪ガス向けで開発したリバースプロキシエンジンを採用

+ OpenAM機能の独自エンハンスメント

ThemiStruct-IDM

と組み合わせ、認証、アクセス管理の

トータルソリューションとして展開

11.

ThemiStruct-WAM

のアーキテクチャ

LDAP or Active Directory OpenAM Agent Tomcat mod_rewrite コンテンツ書換え 機能 HTTPリクエスト ヘッダ挿入機能 OpenAM Web アプリ Web アプリ Web アプリ ユーザリポジトリ 認証機能 認可機能 リバースプロキシ 処理機能 Apache HTTP Server Web Server OpenAM Agent Java App Server

Web アプリ

Apache

独自開発 OSS活用

12.

ThemiStruct-WAM

での機能エンハンスメント

長いパスワードが利用できる機能

– 16文字より長いパスワードでの認証が可能に

認証用パスワードをアプリケーションに伝達できる機能

– 認証時に入力したパスワードを、アプリケーションに伝達

– アプリケーションへの認証代行を行なう機能で利用

IISエージェントフィルタ対応機能

– IIS + Java App Server を AJP で連携するための追加機能

13. 弊社での他の構築実績

私立大学さま

– 概要： 学内システムのシングルサインオン環境を新規に構築

– ユーザ数： 30,000ユーザ

– アプリケーション数： 5システム

– エージェント型構成での実現

住宅設備メーカーさま

– 概要： 小規模向け商用認証基盤ソフトウェアからのリプレースを実施

– ユーザ数： 2,000ユーザ

– アプリケーション数： 2システム

– リバースプロキシ型構成での実現

・・・他にも複数のお客様で構築が進行中・・・

ThemiStruct

シリーズとは

Themis

– テミス。ギリシャ神話上の法・掟の女神。「不変なる掟」との意味も。

Struct

– ストラクチャ。構造。（IT）基盤の意味。

合わせてIT基盤上の掟（=ガバナンス、セキュリティ）を守るもの

という意味を込めています。

オージス総研が提供する、

OSS（オープン・ソース・ソフトウェア）を活用した

IT基盤ソリューション全体を指すブランド名です。

テ ミ ス ト ラ ク ト

ThemiStruct

シリーズラインナップ

ThemiStruct-IDM

(IDentity Management) ID管理ソリューション

ThemiStruct-WAM

(Web Access Management) アクセス管理ソリューション

• リバースプロキシ版 • エージェント版

ThemiStruct-CM

(Certificate Management) 電子証明書発行ソリューション

ThemiStruct-MONITOR

システム監視ソリューション テ ミ ス ト ラ ク ト

ThemiStruct

アクセス 管理 電子 証明書 ＩＤ管理 システム 監視

ThemiStruct

シリーズ ソリューション概要

ソリューション名称 概要 ThemiStruct-IDM IDentity Management ID管理ソリューション ユーザのアカウント情報を一元管理し、アカウントの作成、更新、削除を 自動化（プロビジョニング）する機能を提供。 SalesforceやGoogle Appsへのプロビジョニングにも対応。 ThemiStruct-WAM

Web Access Management

アクセス管理ソリューション ユーザが一度認証を受ければ、他の許可されているシステムへのログイ ン・利用が可能になるWebアプリケーションのシングルサインオン環境を 提供。 お客様の環境に合わせてリバースプロキシ版とエージェント版をご用意。 SalesforceやGoogle Appsへのシングルサインオンにも対応。 ThemiStruct-CM Certificate Management 電子証明書発行ソリューション 電子証明書を利用した、クライアント端末認証のための仕組みを提供。 ThemiSturct-MONITOR システム監視ソリューション システムの稼働監視（サーバ、プロセス、サービスなど）、パフォーマンス 監視、ログ監視をする機能を提供。 クラウドサービスの安定稼働を実現するSOA基盤監視にも対応。 テ ミ ス ト ラ ク ト テ ミ ス ト ラ ク ト － ア イ デ ィ エ ム テ ミ ス ト ラ ク ト － ワ ム テ ミ ス ト ラ ク ト － シ ー エ ム テ ミ ス ト ラ ク ト － モ ニ タ ー

ThemiStruct

が目指しているもの

必要な機能を厳選し、オープンソースソフトウェアを広範に利用することで

それぞれのお客様に

「フィットした価値」 を 「適正な価格」 でご提供

ユーザ数に依存したライセンス費用・保守費用

ではなく、一律の価格体系で利用できる

カスタマイズにも柔軟に対応できる

永く使っていただける

大阪ガスをはじめとし、複数の企業向け構築実績を基に、オープンソースソフトウェアをベースと して必要な機能を自社開発し、製品としてオージス総研が提供しています。 テ ミ ス ト ラ ク ト

お

客

様

の

メ

リ

ッ

ト

14. まとめ

認証基盤実現のねらい・メリット

– セキュリティリスクの軽減

– 開発コストの削減

– ユーザの利便性向上

認証基盤の作り方・広げ方

– 認証基盤を作る

– 標準やガイドを作って、アプリケーションをつなぐ、集める

– 広げる、永く使い続ける

【お問合せ先】

株式会社オージス総研

東日本営業部 TEL 03-5440-4771 E-mail info@ogis-ri.co.jp

ご清聴ありがとうございました