構築事例:二要素認証の手法を取り入れたNextcloudの導入
今回は、自動車関連会社にオープンソースのファイルサーバ「Nextcloud」を導入した事例についての記事です。お客様は、外部のお客様とのファイルのやり取りをオンラインストレージで行うために導入を検討されていました。クラウドサービスのファイルサーバは安全面に心配があることや価格も高いため、オンプレミスで利用できるシステムへ変更し、さらに二要素認証を導入しました。
- お客様が悩まれていた課題
- 外部のお客様とファイルのやりとりをするツールがない
- ファイルサーバを安全に外部から利用できるものを探している
- セキュリティ面が不安
- +導入企業プロフィール
- ★
導入企業業種
製造(自動車)
ユーザー規模
約200名
利用OS
Ubuntu 20.04
導入月
2021 年 2 月
デージーネットが提案した「二要素認証の手法を取り入れたNextcloudの導入」
OSSのオンラインストレージのNextcloudを提案
Nextcloudとは、DropboxやGoogle Driveのようなオンラインストレージを構築できるオープンソースソフトウェアです。Nextcloudはオンプレミスとクラウドのどちらでも構築が可能です。それぞれ構築した場合のメリットとして、クラウドで構築した場合、外からでもデータベースに接続が可能なため、外出先やリモートワーク先から接続することや、組織外の人ともファイル共有ができるようになります。オンプレミスで構築した場合には、組織のポリシーに従って運用することができ管理がしやすくなります。
上記を説明し、クラウドサービスのサーバーは金額面や個人情報の漏えい等のセキュリティ面で懸念点があることから、今回はNextcloudをオンプレミス環境に構築することにしました。また、外出先での利用に対応できるようシステムを追加し、さらにセキュリティ対策として二要素認証を導入しました。オンプレミス環境に構築したためセキュリティ面でも安心してやり取りが可能になります。
二要素認証とは
ここで、二要素認証について簡単に解説します。二要素認証とは、本人認証の技術として広まっている多要素認証の一つです。近年増えている第三者からの不正アクセスや不正ログインによる個人情報の流出などの被害を防止するため、対策として注目されています。一般的に、セキュリティ対策として用いられる認証の要素は、次の3つとなります。
- 本人だけが知っている情報
(ユーザー名、パスワードなど/知識)
- 本人だけが持っているもの
(乱数表、ワンタイムパスワードなど/所有)
- 本人の特性
(指紋、静脈、網膜、虹彩、顔など/生体)
二要素認証は、上記の3つの要素の中から、種類の異なる2つの情報を組み合わせる方式で安全性を強化します。混同されることが多いセキュリティ対策として「二段階認証」があります。こちらは、ID/パスワードの他に、セキュリティコードや秘密の質問の答えなどを送信し、2回にわたって認証を行うことをいいます。異なる要素を組み合わせる場合もありますが、同じ要素の中の2つの情報を用いて二段に分けて認証する場合もあります。これに対し二要素認証は、ID/パスワードなど知識要素の他に、本人のみが所有している情報、又は生体認証と呼ばれている指紋認証や顔認証のような生体的な特徴の提示が必須である点で違いがあります。不正や紛失をしにくくより強固な認証の仕組みといえます。しかし生体認証は、始めるにあたって導入に専用の端末が必要なためコストがかかるなどのデメリットもあります。
社員はAD認証+二要素認証を利用
お客様は、社内でWindowsファイルサーバを利用していましたが、外出時には利用ができないという問題がありました。今回外出時に外からもブラウザでフォルダの画面を表示させたいとのことで、Nextcloudを経由してWindowsサーバにログインすることを提案しました。またなりすましの可能性もあるためセキュリティ対策として、WindowsファイルサーバへのAD認証に複数の認証をプラスするため、Google Authenticatorによるワンタイムパスワードを組み合わせた二要素認証を導入しました。Google Authenticatorは、デバイスの画面上で一時的なパスワードを生成するソフトウェアトークンと、サーバ側での検証の仕組みを提供しています。
従来のユーザ名とパスワードでのAD認証は、前述した認証の要素の「本人だけが知っている情報」にあたります。そして、ワンタイムパスワードは「本人だけが持っているもの」です。この2つを組み合わせて認証を行うことで、コストを抑えながらなりすましのリスクを低くして安全性の高い二要素認証のシステムを実現しました。
外部のお客様にはワンタイムURL+パスワードを利用
Nextcloudでは、ユーザー登録していない社外の方とファイル共有するために、URLを発行することができます。URLを発行する際にはユーザー名ごとに編集の権限も設定でき、大容量のファイルのダウンロード用として作成することや、お互いにファイルを編集し情報を共有する場所として使うこともできます。また、URLの有効期間の設定も可能となります。外部のお客様とファイルを共有する際は、ファイルのやりとりを安全に行えるように、パスワードの入力に加えてワンタイムURLを利用する方法にしました。ワンタイムURLの発行ごとにパスワードが自動で設定されるため、安全にファイルをダウンロードすることが可能になりました。
Nextcloudのプラグインを活用
Nextcloudはアカウントごとにファイルが保存されるので、管理者がログインしても、通常は別のアカウントのファイルにアクセスすることはできません。そこで、管理者が別のユーザがどのようなファイルを保管しているのかを確認することができるように、Nextcloudの公式アプリの一つである、Impersonateプラグインをインストールしました。Nextcloudは、基本的な機能に加えて、プラグイン・アプリと呼ばれる拡張機能を導入することで、より便利に使えるようになります。Impersonateプラグインを利用したことで管理者がユーザで代理ログインを行えるようになり、ユーザがやり取りしているファイルを閲覧することができるようになり利便性が向上しました。また二要素認証では、Two-Factor TOTP Providerというプラグインのアプリを用いてトークンを発行してワンタイムパスワードができるようにしました。
システムバックアップ
サーバを納品する前にオープンソースソフトウェアのシステムバックアップツールRelax-and-Recoverを使用して、システムバックアップを取得しました。Relax-and-Recoverとは、Linuxシステムのバックアップを実装するための管理ツールです。システムブートができるレスキューイメージを作成することができ、容易にLinuxシステムのリカバリを行えます。またバックアップイメージはメディア(DVD)で納品するようにし、サーバに復旧不可能な障害が発生した場合、バックアップイメージからリストアできるようにしました。そしてシステムリカバリの手順をまとめ、手順書を作成しお客様自身でリカバリを行えるように工夫しました。
導入後の結果
【Webセミナー】OSSのおすすめメーリングリストシステム紹介セミナー
日程: | 10月23日(水)Webセミナー「BigBlueButton」を使用します。 |
内容: | OSSで実現可能なメーリングリストシステムをご紹介します。 |
ご興味のあるかたはぜひご参加ください。 |
二要素認証の手法を取り入れたNextcloudの導入の関連ページ
- Nextcloud〜オンラインストレージ〜
- OSSのオンラインストレージサービスNextcloudとownCloud機能比較
- Google Authenticator〜OSSのワンタイムパスワード〜
- 構築事例:Google AuthenticatorとFreeRADIUSを使ったOTP認証
- OSSのシステムバックアップツール〜Relax-and-Recover〜