日本製薬株式会社様
事業概要
国内複数個所に拠点を持つ、血漿分画製剤を中心に消化器領域薬、殺菌消毒剤等の事業領域に特化した製薬会社
日本製薬は大正10年創業。医薬品の研究開発、製造、販売を行っています。大阪府泉佐野市、千葉県成田市に工場があり、血漿分画製剤を中心に消化器の検査薬などを製造しています。
「企業として守らなければいけない情報がある」、そう語るのは同社の情報システムグループのマネジャー徳田隆司氏。今回は、PCを持ち歩くMRに対しPC認証強化システム「DigitalPersona AD」の使用を意識することなく利便性とセキュリティを高めた方法を、徳田氏とともに情報システムを担当する酒井篤志課長代理、安達隆浩氏に伺いました。
また最後に付録企画として「DigitalPersona AD」の構築支援を行ったアステック株式会社 中平敬幸氏のコメントを掲載しています。
経理部 情報システムグループ
課長代理:酒井 篤志氏
安達 隆浩氏
「いま持っているデバイスでセキュリティを高めたい」
- 悩んだ末に見つけたのが「DigitalPersona AD」だった
徳田氏:
製薬業界には、医薬品に関する製造品質、安全性など厳しい基準があり、これを遵守する必要があります。
当たり前ですが、情報(データ)の取り扱いに関してもセキュリティを担保する事が必須ではありますが、利用者の利便性を向上させる事を目指しています。
「とても満足しています」とグループマネージャー徳田 隆司氏
酒井氏:
MRはPCを持って病院等を訪問しているのですが、以前はセキュリティを考えて他の認証製品を利用していました。しかし、紛失や破損等により認証ができなくなる事が発生しておりました。リカバリ策も用意していましたが、非常に手間がかかっていました。
徳田氏:
長らく認証製品を利用はしていたのですが、「もっと利便性を高め、且つセキュリティを確保できる認証方法があるのでは」と考え、PC更新のタイミングで社内調査に着手しました。
安達氏:
先ず顔認証に目を向けました。最近のPCはカメラを内蔵していますが、暗い環境では認証ができないので、外勤がメインのMRには向いていないと考えました。指紋認証も候補として考えましたが、こちらも指紋リーダーを内蔵しているPCとソフトの相性から認証精度が下がるケースもある事がわかりました。また、こうした生体認証は個人情報のためどのように管理するかも課題となりました。
酒井氏:
一方、非接触型でICカード認証も考えましたが、カードリーダーを内蔵しているPCがなかなか見つからないことや、外付けのカードリーダーを持ち歩くのは不便であることから採用を見送りました。そんな中、情報収集を行っていたところ、ヒューマンテクノロジーズ様から「DigitalPersona AD」をご提案頂きました。結果として「DigitalPersona AD」には指紋認証やICカード認証以外にも幾つかの認証方法が用意されており、中でもBluetooth認証に注目しました。
「PCとスマートフォンのBluetooth機能を利用」
- デバイスを増やさずセキュリティを担保できたBluetooth認証
安達氏:
Bluetooth認証ではPCにスマートフォンを近づけてペアリングを行った上で、PCにパスワードを入力すれば認証ができます。Bluetoothは最近のPCなら標準搭載されていますし、既に社用携帯として支給されているスマートフォンと組み合わせることで、他のデバイスを持つ必要がありません。二要素認証を取り入れる事でMRの負荷がかかる事を懸念しておりましたが、「MRに負荷をかけず、現行のセキュリティを強化する」という目標を達成する事ができました。
「MRに負荷をかけずに認証強化を実現できました」と安達 隆浩氏
酒井氏:
実は「スマートフォンが認証に使えたらいいのにね」と冗談で話していました。
弊社ではスマートフォンを支給していますし、ワンタイムパスワードも利用していました。スマートフォン端末がそのまま認証に使えるBluetooth認証はまさに理想通りでした。
徳田氏:
そうは言っても、破損や紛失が「起きない」とは言えません。回避策として、「DigitalPersona AD」の秘密の質問(「復元の質問」機能)を利用しました。設定した秘密の質問に回答をすればログインが可能になります。ただ、PCを開く度に入力するのは面倒ですよね。
この「面倒」にもこだわりました。もし秘密の質問のほうが簡単だったら、MRは回避策のほうで認証してしまいます。利用者が「面倒だな」と感じないようにしたい。しかし、セキュリティも確保したい。そのためにはこうした工夫も大事です。
また社内で説明会を行った際、スマートフォンとPCとのペアリング時に、参加者全員のスマートフォン情報がペアリング候補として出てしまい、自分のスマートフォンを探すのに時間を要しました。導入を検討されている企業様には参考にして頂ければと思います。
酒井氏:
あと、弊社ではセキュリティソフトのSSO機能と競合してしまっていました。そこはセキュリティソフトのSSO機能をオフにして対処しましたが、原因を特定するまで時間がかかったので参考にしてもらえたら嬉しいです。それ以外のトラブルは起きていません。
「MRから好評です」
- 思わぬ副次的効果もあった
安達氏:
当初想定していた要件をすべて満たしてくれました。
セキュリティ部分は担保できたので、今後は更なるIT化を推進したいと考えています。
「スマートフォンが認証に使える、まさに理想通りでした」と酒井 篤志氏
酒井氏:
将来的に「DigitalPersona AD」のBluetooth認証機能との組み合わせ認証手段の拡張があったら嬉しいかもしれません。
世の中の流れとして、定期的なパスワード変更ではなく、長く複雑なパスワードへの変更を要求されますが、これを「DigitalPersona AD」で管理しておけたら嬉しい。例えば、Bluetooth認証とPINコードとの組み合わせでWindowsログオンが使えると嬉しいですね。
徳田氏:
将来的な要望はいろいろありますが、MRから好評なのでとても満足しています。あと予想していなかった効果としては、ユーザ認証でスマートフォンが必須となった事で、スマートフォンの故障率が下がったということもありました。
手軽に使いたい、でもセキュリティを担保したい。「DigitalPersona AD」のBluetooth認証ならそれが実現できると思います。
【付録企画】
「限られた時間の中で最大公約数を見つけた」
- Active Directory(AD)完全統合が意味すること
アステック株式会社
ICTソリューション1部 中平 敬幸氏
日本製薬様のインタビューに加え、付録企画として「DigitalPersona AD」の構築支援を行ったアステック株式会社様にもお話を頂戴することができました。
中平氏:
今回は、認証に関する利便性やセキュリティといった要件に加え、導入するシステムが迅速で容易に構築できることがポイントとなっていました。
我々の柔軟さや技術力が求められる一方、「DigitalPersona AD」はADサーバーに完全統合されているため、新たなサーバー設置や環境構築が無く、限られた期間の中で構築を行うことができました。
またグループポリシーで一括設定することができるので、各PCに設定を行う手間がありません。ADサーバーに認証情報が保管されているので、直ぐにPCを利用可能な状態へセットアップすることができ運用負荷が軽減されたようです。
加えて「DigitalPersona AD」のシングルサインオン(SSO)機能もグループポリシーで管理することができます。PCへ二要素認証でサインインした後に、アプリケーションへのログインがBluetooth認証で自動に行われるので、毎度パスワードを打つ必要がなくなり、利便性が上がったと伺いました。
最後に「DigitalPersona AD」のサポートチームから的確なアドバイスや、かなり細かい質問にも真摯にご対応頂けたので原因の特定の際に非常に助かりました。