Boxでは、社内ネットワークからのアクセスだけでなく、外出先や自宅からのアクセスや、社外の取引先や顧客によるアクセスを認め、機動的な運用をすることが、クラウド上にあるコンテンツマネジメントプラットフォームの利点として期待されている。
この運用を実現するために、Boxのログインページには誰でもアクセスすることができ、メールアドレス(ID)とパスワードで認証する方式となっている。これはクラウドサービスとしての利点でもあるが、二要素認証などを活用しない限り、不正なアクセスを防ぐ認証方式は「パスワード」だけであり、「パスワードの使いまわし」「単純なパスワードの利用」といったパスワード運用の弱点がつきまとう。
今回の連携ソリューションは、不正アクセスなどのセキュリティ懸念から、クラウドの利用を積極的に進められなかった企業、既にBoxを利用していてさらにセキュリティ対策を講じたいと考える企業に対して、トークンを利用しないワンタイムパスワードによるセキュリティ強化を可能にするという。
また、IDプロビジョニングにも対応しており、PassLogic/OTPプラットフォーム側でユーザ情報を追加すれば、そのユーザ情報が自動的にBox側にも反映される仕組みとなっている。
「PassLogic」は、「パスロジック認証」方式により、ハードウェアトークンやソフトウェアトークンなどの認証用デバイスを必要とせず、Webブラウザだけで強固なワンタイムパスワードを利用できる本人認証システムになる。社内システムやクラウドサービスの認証に利用することで、場所と端末を限定せずに、業務システムへの認証を強化し、不正アクセスをシャットアウトする。
LDAPによるID管理サービスとの同期や、複数の業務システムへのシングルサインオンやアクセスコントロール機能も搭載しており、組織の業務システムの認証強化と業務・管理効率アップをワンストップで実現するという。
「PassLogic」による認証強化の概念図
「パスロジック認証」は、ブラウザ上に表示される乱数表の中から、利用者ごとに設定されている“位置”および“順番”(シークレットパターン)に沿って数字を抽出し、つなげることでパスワードを生成する仕組み。乱数表を表示するたびに表内の数字が変わるため、パスワードとなる数字も毎回変わり、ワンタイムパスワードとなる。第3者が乱数表を見ても数字を抽出する位置がわからなければ、パスワードを判別できない。
