安全・確実な電子証明書配布

電子証明書認証は非常に強固な認証方式ですが、証明書をどう配布するかが課題です。
電子ファイル(PKCS#12)でのメール配布では通信経路にファイルが残ってしまい、不正コピーの恐れがあります。
また、管理側の許可なく管理外のデバイスに証明書をインポートされる危険性もあります。

Gléasの証明書配布は、ユーザ用ウェブ画面にアクセスしたデバイスの証明書ストアに直接証明書をインポートさせます。
電子証明書は、秘密鍵が「エクスポート不可」としてストアに格納され、ファイルとして保存されないため、他の端末にコピーされることはありません。

インポートワンス機能

インポートワンス機能を有効にすると、一度端末にインポートされた電子証明書は、それ以降にユーザ用ウェブ画面にアクセスしてもインポートはできなくなります。
本機能によってGléasは管理外の端末に電子証明書がインポートされるのを防ぎます。

インポートワンス

証明書をインポートできる端末の限定

Active Directoryなどで収集したWindows端末のフルコンピュータ名や、購入時にリセラーより提供されるiOSのUDID/IMEI(端末識別情報)を、あらかじめGléasに登録し、登録のある端末だけに証明書インポートを許可することができます。
その場合、未登録のWindowsやiOSによるGléasのユーザ画面アクセスがあっても、Gléasは証明書取得を拒否します。

MACアドレスと比較してフルコンピュータ名やUDID/IMEIは詐称が困難です。インポートワンス機能と併用することにより、証明書取得を管理下の端末だけに限定できます。

メール通知

Gléasは、電子証明書を発行すると、アカウントに紐付けられたメールアドレスに、証明書発行をメールで通知する機能があります。

メールテンプレートは任意に変更可能です。ユーザの姓名やアカウント名を差し込むこともできます。
また、証明書の有効期限が近づいた際に、管理者やユーザへアラートメールを自動送信する設定ができます。

管理機能

証明書管理

証明書の検索

Gléasは、証明書の要求・作成・失効・有効期限切れまでのライフサイクルを管理します。
複数の条件で証明書を検索し、一覧表示・一括操作できます。

アカウント管理

アカウントの抽出

Gléasは、ユーザやコンピュータ、サーバなど、証明書発行の対象を「アカウント」として管理します。
アカウントをグループに参加させることで、組織や役割、属性を与えられます。
アカウントが所属できるグループの数は無制限です。複雑な組織構造にも対応できます。

ユーザアカウントはCSVによって一括作成することもできます。
さまざまな条件でアカウントを抽出し、一括処理を実行できます。

テンプレート機能

Gléasは、証明書の内容とポリシーを「テンプレート」で管理します。
アカウントが参加するグループにテンプレートを設定することで、グループに参加するアカウントに発行できる証明書の枚数や、有効期限、サブジェクトなどを設定できます。

テンプレートを組み合わせることで、アカウントが所属するグループに合わせた証明書が発行されます。
テンプレートの初期設定は、導入時のコンサルティングによって設定されます。
また、管理者によるテンプレートの変更や追加が可能です。

デバイス管理

Gléasの管理画面で、認証デバイスへの電子証明書のインポートができます。
また、USBトークンやICカードなどの認証デバイスのシリアルと名前を管理できます。

認証デバイスに証明書を格納した履歴や、認証デバイスを利用したユーザーの履歴を管理できます。
認証デバイスでの鍵生成や証明書要求作成もサポートしています。

管理画面のセキュリティ

Gléas管理者としてログインするには、管理者専用USBトークンとパスワードによる二因子認証が必要です。

管理者の操作履歴は全て記録されています。削除することはできません。
管理者が複数いる場合でも、USBトークンに格納された電子証明書により、管理者ごとに操作履歴が記録されます。

またGléasは、いつ誰がどの端末に証明書をインポートしたのかログをとっています。
セキュリティ監査への対応や、操作ミス発生時の原因究明などに活用できます。

セルフサービス

セルフサービスオプションを使うと、Gléasのユーザ画面(UA)で、ユーザ自身によるアカウントの登録申請や証明書発行/失効申請と、発行されたクライアント証明書のインポートができます。

アカウントの作成申請時に、メールアドレスの存在確認を行うこともできます。証明書発行に、管理者の承認を要するか、自動発行とするかを選択できます。

大学や研究機関など、証明書を利用するユーザやデバイスの追加/削除が頻繁に行われるケースで採用されています。

セルフサービス

事例

Active Directory/LDAP連携

GléasはCSVファイルによってActive DirectoryやLDAPと連携できます。
Active Directory/LDAP上のユーザ属性と、Gléasのユーザグループをマッピングし、ディレクトリの情報に合わせて自動的にGléasのグループに参加させることができます。

グループに参加したユーザに発行される証明書には、テンプレートによって証明書の有効期間の設定、サブジェクトなどの付与がされます。

また、ユーザ画面(UA)へのログイン時に、GléasはActive Directory/LDAPに認証を委任できます。
パスワードの管理をActive Directory/LDAPで一元化できるため、管理者・ユーザ双方の負担を軽減できます。

Active Directory/LDAP連携

事例

関連ニュース

  1. 2017.06.06 LDAP Managerからの証明書発行・失効操作 技術資料
  2. 2016.06.26 Office 365とADFSでのクライアント証明書認証 技術資料
  3. 2014.11.10 VANADISシリーズに対応 アップデート

MDM/EMM連携

iOSやAndroidだけでなく、Windows、macOS、Chrome OSを含めた企業内のモバイルデバイスの増加に伴い、MDM/EMMを導入する企業が増えています。

いくつかのMDM/EMMは、サービス内に認証局機能を持たせていますが、クラウドサービスやLAN、リモートアクセスなど、複数の認証用途に対応するには、サービス内の認証局では対応できない場合があります。

そのため、MDM/EMMでは3rdパーティの認証局との連携機能を持たせている場合があり、またGléasも外部MDM/EMMとの連携APIを持っています。

ユーザがデバイスをMDM/EMMにチェックインさせると、MDM/EMMはユーザのステータスに応じてGléasに証明書発行依頼を送ります。
Gléasは証明書発行依頼に適したテンプレートで証明書を発行しMDM/EMMに証明書を送ります。
この際、証明書と同時にActiveSync、無線LAN、VPNなどの設定を構成プロファイルとして含めることができます。

MDM/EMMはデバイスに証明書をプッシュ送信します。
ユーザはデバイスをチェックインするだけで、証明書だけでなく、メールや無線LAN、リモートアクセスへの接続設定が自動でインストールされるため、キッティングの負担を大幅に軽減できます。

またGléasとWorkspace ONE(VMware AirWatch)を連携させ、AirWatch経由でクライアント証明書を配布し、VMware BoxerアプリによるExchange ActiveSyncの証明書認証の構成を取ることができます。

MDM/EMM連携

関連ニュース

  1. 2018.06.12 AirWatchとPulse Secureでの端末ポリシーチェック 技術資料
  2. 2018.04.02 VMware Identity Managerでのクライアント証明書認証 技術資料
  3. 2017.12.20 AirWatchと連携したクライアント証明書発行配布 技術資料
  4. 2016.01.29 BizMobile Go!でのiOSへの電子証明書配布 アップデート

マルチテナント

Gléasは1台のサーバで、複数テナントの証明書の管理が簡単にできます。
グループ会社を統括する企業またはサービスプロバイダがGléasを運用し、テナントとなる子会社またはユーザ企業が自社の管理者を設置することもできます。

それぞれ異なるポリシーの証明書を発行できます。

テナントごとに独立した認証局を構築することもできます。(オプション)

事例

モバイルデバイス管理

モバイルデバイス管理(MDM)は、iPhoneやiPadを管理するため、構成プロファイル、無線(OTA)登録、Appleプッシュ通知サービスなど、iOSテクノロジーを基に構築されています。

GléasのMDMは、管理下のiOSデバイスに対して、下記の操作をリモートで実行できます。

  • Gléasから発行された電子証明書を含む構成プロファイルのインストール
  • 電子証明書の更新
  • インストールされているアプリ情報の収集
  • アプリケーション配布
  • リモートワイプ
  • デバイスロック
  • パスコードリセット

BYOD(社員の個人所有)のiOSデバイスから、メール、クラウドサービス、無線LAN、ファイルサーバなどへのアクセスのためクライアント証明書を含む構成プロファイルをインストールしていた社員が退職する場合、管理者は構成プロファイルをリモートワイプすることで、当該iOSデバイスをシステムから遮断できます。

事例

関連ニュース

  1. 2017.12.20 AirWatchと連携したクライアント証明書発行配布 技術資料
  2. 2016.01.29 BizMobile Go!でのiOSへの電子証明書配布 アップデート

HSM対応

GléasはHSM(ハードウェア・セキュリティ・モジュール)に対応しています。
耐タンパー装置であるHSMで認証局の鍵の生成・保護をおこなうことで、高いセキュリティレベルを備える認証局運用が可能となり、
セキュリティリスクを極限まで低減できます。

  • ジェムアルト(セーフネット) Lunaシリーズ
  • タレス nShieldシリーズ

機能の詳しいご説明や、お見積り、ご相談をご希望の場合は
下記フォームよりお問い合わせ下さい。


お問い合わせ