NTTアドバンステクノロジ

ノーパスワードと電子サインによる安全性向上と業務効率化

既存システムとの連携でさらなる 安全性向上と業務効率化を実現する セキュリティソリューション

(2018年9月号掲載)

セキュリティビジネスの展開に注力するNTTアドバンステクノロジ(NTT-AT)は、電子サインとノーパスワードによる業務効率化と安全性向上を視野に、「セキュリティビジネス最新動向セミナー」を開催しました。本稿では、同セミナーの講演内容をベースに、NTT-ATの最新セキュリティソリューションと自社システムとを連携したユースケースを紹介します。

脅威環境の変化」と「ビジネス貢献の視点」を
踏まえたモデル変革と専門家人材の育成が急務

セキュリティビジネスを重点分野の一つと位置づけるNTT-ATは、2018 年7 月17日、「セキュリティビジネス最新動向セミナー~ノーパスワードでノーストレス!セキュアな社内システム連携事例のご紹介~」を開催しました。最新のセキュリティソリューションとその社内ユースケースの紹介とあって、本セミナーには約100名の聴講者が訪れました。

NTT-AT セキュリティ事業本部顧問の笠原久嗣フェロー・CISSP は、「セキュリティイノベーションとビジネスモデル変革」をテーマに、基調講演を行いました。笠原顧問は、NTT コミュニケーションズにおいて法人向けセキュリティビジネスの立ち上げ、情報セキュリティ専門家資格のグローバルスタンダードの“CISSP”(Certified InformationSystems Security Professional)資格制度の日本導入に尽力。NTT エレクトロニクスを経て現在はNTT-AT でセキュリティプロフェッショナル人材のプロデュースに努めています。

NTTアドバンステクノロジ株式会社
セキュリティ事業本部
顧問 フェロー ISSP 笠原 久嗣

基調講演で笠原顧問は、標的型攻撃やランサムウェア、GDPR(EU 一般データ保護規則)、仮想通貨(クリプトカレンシー)のセキュリティ、ブロックチェーンをはじめとする最近のセキュリティキーワードの概要や、セキュリティ業界で世界最大のカンファレンス「RSA2018」での見聞結果を説明しつつ、「脅威環境の変化」と「ビジネス貢献の視点」の両面からのモデル変革の必要性を指摘(図1)。脅威環境の変化への対応策としては、本年4月に第1.1 版が正式リリースされた米国立標準技術研究所(NIST)の『サイバーセキュリティフレームワーク』が参考になるとして、「特定(Identify)」「防御(Protect)」「検知(Detect)」「対応(Respond)」「復旧(Recover)」から構成される「フレームワーク・コア」について解説しました。

図1 モデル変革の必要性

また、「ビジネス貢献の視点」については、セキュアな仕掛け(How)で業務効率化(What)と競争優位(What)を実現するサービスとして、自身がNTTコミュニケーションズ時代に取り組んだ「モバイルコネクト」と「セキュアコネクト」の2つのサービスについて紹介しました。

さらに、モデル変革を行うためには、「技術、人、プロセス、組織、ビジネス戦略、法規制など、多面的かつ包括的な視点からセキュリティ対策を考えるとともに、総合的に脅威やリスクを特定し、分析し、対応ができる人材が求められるほか、経営者目線でビジネスに貢献するセキュリティ技術&マネージング戦略を構築できる専門人材が求められるとして、高度セキュリティ専門家のグローバルスタンダードであるCISSPの資格取得を奨励し、「競争に勝つためのセキュリティを考えるのがCISSP!」と強調。NTT-AT は2 年ほど前はまだCISSP保有者9名だったのが、現在56名までの体制になってきており、今年度末には100名の体制を作って、社会やお客様に貢献していける人材集団としてやっていこうということで現在取り組んでいます」と強調しました。

#NoPasswordsを実現するID 認証サービス「Trusona」

NTT-AT は2018年1月より、優れたユーザーエクスペリエンス、高度なセキュリティを実現し、パスワードを一切使用しないセキュアなID認証サービス「Trusona」の提供を開始しました。この革新的なID認証サービスを開発・提供している米Trusona社のアジア担当マネージングディレクターの田中一成氏は、「Trusonaによるパスワード不要な世界」と題する講演を行いました

Trusona社
アジア担当マネージングディレクター
田中 一成

Trusona社について田中氏は、「創業者のOri Eisenはバンクオブアメリカの金融犯罪担当部門、ベリサイン、アメックスのセキュリティーセンター長を経て、デバイスのパラメータをリアルタイムで100種類以上吸い上げて認証するエンジンを開発する41st Parameter 社を創業。このエンジンは、NTT データの“CAFIS Brain” という不正検知サービスで採用されました。この41st Parameter社がExperian社に買収されたタイミングで、デバイスパラメータの活用方法として、Trusonaを考えつきました。相談役のFrank Abagnaleは、スピルバーグの『Catch Me If You Can』のモデルになった人物で、Oriとは昔からの友人です。Oriがプロトタイプを作り、Frank Abagnaleがセキュリティホールの有無をチェックするという形でプロダクトを作り上げています」とTrusona社について説明。続いて、「1964 年に開発されたID/ パスワード技術が今も最前線で使用されています。新しい認証技術の“FIDO(ファイド、Fast IDentity Online)” が注目されていますが、生体認証のためにスマートフォンにアプリをインストールして、指紋や顔、声などを登録する必要があります。ID/ パスワードに慣れたユーザーにこの作業を課すのはかなりハードルが高い。ID/ パスワードを使っていること自体が脅威となった現在、デバイスのパラメータ技術でID/ パスワードをなくすというTrusonaは優れたID認証サービスです。インターネットに繋がっているサービスであれば、何でもID/ パスワードをなくすことができます」と力説しました。

Trusonaは、使いやすさに拘ったこととオムニチャネル対応の2 つの大きな特長を持っています。Trusonaのモバイルアプリケーションを利用することでID/ パスワードを入力する代わりに、端末のパラメータ情報を利用して認証します。アプリは無料でダウンロードでき、iOS版もAndroidも日本語版がリリースされています。

図2 にTrusonaによる#NoPasswords Webログインのイメージを示します。Web、車、ATM、ネットテレビといった画面が表示されるものにはQRコードが表示され、それをモバイルアプリをインストールしたスマートフォンでスキャンして“許可” をクリックするだけでログインできます。QRコードはTrusona社が開発したワンタイムQRコードで、25 秒に1 回更新されます。また、コールセンターやVPN、IoT 機器など画面表示のない場合はアプリに通知がくるので、“許可” をクリックするとログインできます。

図2 Trusonaによる#NoPasswords Webログインイメージ

Trusona SDKにより、企業・団体が提供する様々な認証システムとTrusona のアプリケーションを連携させることも容易に可能です。例えば銀行のアプリに組み込んだ場合、#NoPasswords顧客登録はユニークなIDであれば、メールアドレス、お客様番号、口座番号、なんでもOKです。登録するとメールが飛んでくるので、“Eメール確認” ボタンをクリックするだけで顧客登録完了です。顧客登録が完了すると“NoPasswords Login” がモバイルアプリに表示されるので、“許可” ボタンをクリックするだけでログインできます。こんなに簡単です。

図3 なりすましを防止するアンチリプレイ機能の概要

Trusonaは、特許申請中の“なりすましを防止するアンチリプレイ機能” を実装しています(図3)。“許可” をクリックする、ここにセキュリティの仕組みが入っています。田中氏は、「“許可” をクリックした時間、場所(X/Y)、モーションセンサーの加速度、方位といったパラメータをリアルタイムに吸い上げ、過去の履歴と一致した場合は認証が拒否されるという仕組みになっています。過去の認証履歴のパラメータを全件チェックしています」と解説しました。

既存システムとの連携については、例えば認証サーバーとの接続は標準的なSAMLやOpenID、RESTful APIに対応しているので、比較的簡単に接続できます。また、Okta、PingFederate、Active Directory、ADFS、FORGEROCKといったSSO(シングルサインオン)サーバーとは標準で接続可能です。さらにSSOサーバーのほかにもOffice365 やsalesforce、WordPress、IONIC、さらにはF5とかDocuSignなどのソリューションとも接続検証済です。

最後に田中氏は、「Trusona採用理由のNo.1 は、UX(User
Experience)の向上です。ID/ パスワードがなくなることで顧客満足度は確実に向上します。その次がID/ パスワードがないので安全ですということです。最終的にはコールセンターですとかサポートの業務が効率化されコストが削減できるということです」と述べ、講演を締め括りました。

「DocuSign®」ですべてのマニュアル業務をデジタル化-ビジネスを安全・確実に-

次に、電子サインのリーディングプラットフォーム「DocuSign」を開発・
提供する米DocuSign社の日本法人であるドキュサイン・ジャパンの三瓶寛一リージョナル・バイスプレジデントが登壇し、「セキュリティとコンプライアンスに守られた電子サインサービス」をテーマに講演しました。NTT-AT は、自社内業務プロセスへの導入に加え、2018年2月よりDocuSignのASP サービスを開始。自社の最近の売れ筋商材であるRPA( ロボティック・プロセス・オートメーション)ツール「WinActor」との連携により、ビジネス変革を大きく加速することを目指しています。

ドキュサイン・ジャパン株式会社
リージョナル・バイスプレジデント
三瓶 寛一

三瓶氏は、「米DocuSign社は2003年に起業して以降15年間、DTM(デジタル・トランザクション・マネジメント)サービスのリーダーとして事業を拡大してきました。2018年4月にIPOを果たし、さらに全世界で活用していただくことを目指しています。ドキュサイン・ジャパンは約2年前に設立され、着実にお客様を拡大してきています。なお、創業者の一人のTom Gonserは現在、先ほどのTrusona社のテクニカルボードアドバイザーに就任しています。ここでも両社は密な関係にあります」と説明。続いて、「100%デジタルをキーワードに業務のペーパーレス化・フルデジタル化を実現するDocuSignは、経営課題解決の近道です。ビジネスの見える化、業務の近代化、そして価値化(速く、安く、安全に)を実現します。プロセスのデジタル化と比べ、外部との書類のやりとりなどの業務トランザクションは未だ電子化されていません。良くて、E メールにPDF を添付するといった形です。DocuSignはこの部分を電子化し、ペーパーレス化するサービスです。欧米ではペーパーレス化が予想以上に進んでおり、複写機・複合機も軒並み1,000億円単位で売上ダウンしています」と強調しました。

DocuSignは、ごく簡単な仕組みということもあって、世界中に広がっています。図4にサービス領域の概要を示しますが、「準備」「署名捺印」「実行」「管理」の4つのプロセスに関し、甲と乙の1:1だけでなく、1:10でも1:100でも、クラウド上でオンラインで合意することができます。DocuSign のサービスは、電子署名から始まりましたが、現在は業務のプロセスとかワークフロー、セキュリティ/コンプライアンスといったものを一通り網羅し、業務全体のデジタル化を支援するサービスへと進化してきています。これを実現するプラットフォームによって、MicrosoftやORACLE、salesforce、Google、SAPをはじめ主要な業務アプリケーションと容易に連携することが可能です。

図4 DocuSign のサービス領域

例えば、ユーザーが毎日使っているアプリの画面で次のシステムへ移るためのボタン押すだけでDocuSignと連携して、関係者にメールが送信されるので、DocuSignにログインして署名捺印するといった形です。次のユースケースの講演でご紹介するように、現在、NTT-ATとはWinActorと連携する形で人がパソコンを操作する環境をも含め完全自動化するところまで、レベルを上げていくことを試みています。

DocuSignの価値について三瓶氏は、「“早く、安く、安全に” が最大の価値です。ROI(投資利益率)はだいたい700%~ 800%というベンチマーク結果が出ています。また、セキュリティとコンプライアンスについては、例えばDocuSignはGDPRに対応していることから、対応が間に合わないお客様は、DocuSignのプロセスを使って自社業務をGDPRに適応しています。DocuSign は、セキュリティとコンプライアンスの仕組みを第三者として提供し、それを認証し、認定しています。こういった価値が世界中のお客様に評価され、40 万社2 億人のユーザーに利用され、1 日のトランザクション数は110 万に上っています。これだけのトランザクションが処理できるネットワークリソース/サービスリソースを持ち、大事なビジネスのトランザクションをマネージしているというのがDocuSignの大きな特長であり強みです」と力説しました。

世界中で多くの業種でDocuSignの活用が加速しており、日本でも導入が拡大。日本では、不動産関連企業から始まり最近ではレガシー企業でも導入されるようになってきているという。講演の最後で三瓶氏は、数多くの国内導入事例の中から、権利ビジネスの根幹となる契約書業務をデジタル化したエイベックス社の例を紹介しました。様々な取引先との契約が年間数千件を超え、しかも1 件の契約書で複数の契約者がいることが多いという特徴を持つ契約業務をデジタル化し、デジタルワークフローにより複数回覧もスマートフォンによる署名(または捺印)でスムーズに契約締結できるようなりました。これまで関係者の数だけかっていた印紙代がなくり、1 カ月以上かっていた契約プロセスが早いときは当日で完了できるようになりましたという。

最後に三瓶氏は「米調査会社大手のForrester Research社は、“最も強力なブランドとマーケットシェアリダーであるDocuSignは今や動詞になっている” と称しています。日本でも、“DocuSignする。” を広めていきたいと思います」とビジネスの抱負を述べました。

WinActorとDocuSign連携で、約5人年の稼動削減とビジネス変革が可能に

NTT-AT のセキュリティ事業本部ソリューション開発ビジネスユニットの石丸勝洋主任技師は、DocuSignのユースケースとして、「NTT-ATのDocuSign活用事例:WinActor連携を軸にした取り組み」を紹介しました。

石丸氏は、「私どもでは“紙をなくす、はんこをなくす”を視野に、社内DTM施策の効果確認のために2017年4月に人材派遣個別契約でDocuSignのトライアルを開始。7 月には事業部とバックオフィス間でやり取りする紙ベースの処理についても、セキュリティ事業本部内でスモールスタートし、そのうえで全社展開を図りました。さらに、DocuSignへのアップロードに意外に手間がかかっていることが分かりましたので、そこはWinActorを活用して全自動化しようということで、現在全社内への完全自動化の展開を行っています」と概要を説明。DocuSignの評価ポイントについては、「着目した一番の利点が既存の書類、既存の伝票をそのまま利用して、すぐに簡単にペーパーレスを実現できるという点です。次に電話と同じで送る側に課金され、お客様や契約先にはメールで通知されるというフローですので課金はされません。このため使ってみませんかと言いやすい、わかりやすいシステムです。もう1 つが、署名者の認証はメールアドレスとアクセスコードで行うため電子証明書のインストールは不要で、大変軽い認証の方法になっています。なお認証を補強するために、Trusona社の田中様が説明されたTrusonaと連携したSSOの仕組みも取り入れています」と強調しました。

人材派遣個別契約への社内トライアルを通して明らかとなった導入効果としては、処理日数が約1/3に削減したことと、郵送(書留)費用が不要になり、トライアル効果から想定される年間4000契約への適用を行った場合の直接効果は、約650万円になりますという。石丸氏はDocuSign導入のメリットとして、以下の点をあげています。

・輸送にかかるコストと時間を大幅に削減

・印刷不要、書類紛失のリスクも0

・世界188 カ国で利用されており、海外へも一瞬で送信

・社内システムの更改は不要

・場所に縛られない働き方

・取引先への負担が少ない

図5 NTT-AT における社内伝票へのWinActor・DocuSign適用

続いて石丸氏は、純国産RPAツール「WinActor」の機能・特長を説明しつつ、DocuSignと連携した社内伝票への適用例について紹介しました(図5)。共有サーバーに置かれた全社の伝票を、WinActorをインストールした複数台のPC が自動的にDocuSignにアップロードし、DocuSignからのメール通知に基づき承認者等が署名用の端末でサインするというシンプルなシステムとなっています。WinActor とDocuSignの連携効果について石丸氏は、「社内での事業部側伝票処理時間計測で得られた結果として、約5 人年の稼動削減が得られることが分かりました。また副次的効果として、これまで統一されていなかった社内処理を規格化できたことと、バックオフィスと事業部で重複していた作業を削減できたことも大きな効果です」と述べるとともにDocuSignの今後の展開について、「私どものDocuSign ASP サービスは、トランザクションの単位である電子的な封筒(エンベロープ)数単位で提供しているため、スモールスタートが可能です。DocuSign適用に向けた各種調査も含めたトライアルを実施し、価値を実感していただければと思います」と訴求しました。

Trusona とBIG-IP APM連携およびDocuSignとのSSO連携で、利便性の飛躍的向上を実現

最後の講演では、セキュリティ事業本部IP プロダクツビジネスユニットの渡久地政宏氏が、「Trusona連携事例のご紹介」と題し、Trusonaと連携した2 つのサービスについてデモを交えて紹介しました。

1つは、NTT-ATが販売するF5のSSO・SSL-VPN機能を備えたアクセス管理製品「F5 BIG-IP Access PolicyManager(以下、BIG-IP APM)」と、Trusonaを組み合わせ、従来のID/パスワードを使用しないVPNアクセスへのセキュアな認証ソリューションです。

渡久地氏は、「パソコンやスマートデバイスを用いて外出先から社内システムにアクセスするニーズが増大する一方で、ID/パスワードによるアクセス認証では、IDやパスワード流失によるセキュリティ面での懸念が指摘されています。この課題を解決し、ID/パスワードを使用しないセキュアなVPNアクセスを実現するために私どもは、独自のアンチリプレイ技術により強固なセキュリティを確保するTrusonaのNoPasswordsソリューションと、社外から社内環境へのリモートアクセスするためのSSL-VPN装置であるBIG-IP APMを組み合わせることにより、安全で便利なVPNへのアクセス方法を実現するソリューション(図6)を提供しています。TrusonaとBIG-IPAPMの連携方法は、BIG-IP APMにアクセスしてログオンボタンをクリックすると、Trusona サーバーにリダイレクトされ、スマートフォンの画面に動的QRコードが表示されます。スマートフォンの専用アプリでQRコードをスキャンするとスマートフォンの位置情報などが送信され、アンチリプレイ技術で同じ情報がないことを確認し、TrusonaとBIG-IP APMがSAMLで連携したSSOによりアクセスが許可されるという仕組みです。これにより、安全で便利なVPNアクセス方法を実現。またID/パスワードが不要となったことで、管理者の負担も軽減しました」と説明しました。

図6 TrusonaとF5BIG-IP APM連携の概要

2 つ目の連携事例は、TrusonaとDocuSignの連携によるセキュアな電子署名サービスです。渡久地氏は、「TrusonaとDocuSignを連携することで、パスワードの入力なしにDocuSignへのログインが可能となり、書類作成者および承認者は効率よく作成、署名、承認をすることができます。TrusonaとDocuSignの連携方法は、DocuSignにメールアドレスを入れてログオンボタンをクリックするとTrusonaサーバーにリダイレクトされPC画面に動的QRコードが表示されます。あとはF5 BIG-IP APMとのSSOによる連携の仕組みと同じです。このように、同じアプリで複数の認証サービスに利用可能で、自社アプリにAPIで組み込むことも可能です」と紹介しました。

閉会の挨拶に登壇したセキュリティ事業本部の福井将樹営業SE 部門長は、「セキュリティ対策は非常に重要ですが、そのためにビジネスのスピードとか柔軟性が失われるようでは、結局は冒頭の基調講演でお話したようなビジネスに貢献するセキュリティ対策ではないと思っています。本日ご紹介したソリューションはいずれも弊社内に導入し、効果を実感したものです。実際、私もセミナーを聞きながらスマホで8件ほど決済をしましたが、自信を持って皆様にお勧めできるものです」と述べ、締め括りました。


NTT アドバンステクノロジ株式会社 セキュリティ事業本部 営業SE 部門【左から】
部門長 福井 将樹、ソリューション開発ビジネスユニット主任技師 石丸 勝洋
マネージドサービスビジネスユニット主任 田本 裕子
IP プロダクツビジネスユニット主任技師 遠藤 章浩、主任 渡久地 政宏

NTT アドバンステクノロジ株式会社 セキュリティ事業本部 営業SE 部門【左から】
部門長 福井 将樹、ソリューション開発ビジネスユニット主任技師 石丸 勝洋
マネージドサービスビジネスユニット主任 田本 裕子
IP プロダクツビジネスユニット主任技師 遠藤 章浩、主任 渡久地 政宏

2020 とその先の社会を見据え、また労働人口減少も背景とし、ビジネスのスピードアップと省力化は、セキュリティ強化と共に求められる課題です。NTT アドバンステクノロジでは、これらをそれぞれ単独ではなく、総合的に解決すべき課題と捉え、ソリューションの開発・提供を進めています。今後もデジタル改革の中核となるデジタルトランザクション、ノーパスワード、業務自動化について、皆様のお役に立てるソリューションを提供してまいります。」(石丸勝洋)

お問合せ先

NTT アドバンステクノロジ株式会社

セキュリティ事業本部 ソリューション開発ビジネスユニット

TEL:044-589-6512 E-mail:docusign-sales.sch@ml.ntt-at.co.jp