証明書管理機能

認証局運用のセキュリティ

Gléas の管理画面にログインする際は、管理者専用 USB デバイスの所持と暗証番号 (PIN) による二要素認証が必須となっています。

管理者の操作ログは全て記録されその履歴は変更・削除することはできません。管理者が複数いる場合でも、管理者ごとに操作履歴が記録されます。さらにGléas は、どのユーザアカウントがいつどの端末に証明書をインポートしたかの記録を取得しています。
こうした機能はセキュリティ監査への対応や、操作ミス発生時の原因究明に活用できます。

アカウント管理

Gléas は、ユーザやコンピュータ、サーバなどの証明書発行対象を「アカウント」として管理します。アカウントをグループに所属させることで、組織や役割に応じた属性を付与できます。アカウントが所属できるグループ数に制限はないため、複雑な組織構造にも対応させることが可能です。

ユーザアカウントは CSV データのアップロードや、ディレクトリサービスからのインポートで一括作成することもできます。
また、アカウント作成後は多様な検索条件を用いて抽出し一括処理を行うといったことも可能です。

アカウント管理

テンプレート管理

Gléas は、証明書発行プロファイルを「テンプレート」として管理します。豊富に準備されたテンプレートをアカウントが所属するグループに適用していくことで、グループに参加するアカウントに発行する証明書のさまざまな属性 (例:証明書の鍵用途、有効期限、組織属性) を設定できます。

また、デフォルトのテンプレートのみを用いて証明書を発行する簡便な運用も可能となっております。その場合でも管理者によるテンプレートの変更や追加は可能なので、操作の習熟により証明書の発行プロファイルを任意に指定することができます。

認証デバイス管理

Gléas では USB トークンや IC カードといったスマートカードを「認証デバイス」として扱います。

Gléas の管理画面やユーザ画面で、認証デバイスへのクライアント証明書のインポートが行えます。また、認証デバイスのモデル名やシリアル番号、認証デバイスに証明書を格納した履歴なども管理でき、IC カード管理システムとしての機能も兼ね備えています。

認証デバイスを使っての鍵生成や証明書発行要求送信~証明書格納もサポートしており、より安全な運用も可能となっています。

メール通知

Gléas は証明書を発行した際にアカウントに紐付けられたメールアドレス宛てに、証明書発行をメールで通知する機能があります。

メールの記述内容はテンプレートファイルのアップロードにより編集可能で、ユーザアカウント名や姓・名を差し込むこともできます。
証明書の有効期限が近づいた際に、アラートメールを自動送信することも可能です。

セルフサービス

セルフサービス機能を使うと、Gléas のユーザ画面で、証明書利用者自身による Gléas へのアカウント登録申請や証明書発行/失効申請が行えます。

証明書の利用希望者から Gléas にアカウント登録申請があった場合、管理者が承認するか、あるいは Active Directory (AD) / LDAP へ ID 情報を問い合わせ確認ができれば承認が行われるというしくみになっています (AD / LDAP 連携はオプション) 。
さらに、申請者に対してメール認証を付加することも可能です。

セルフサービス-1

マルチテナント

Gléas は、全体管理者と複数のテナント管理者で共同で運用することもできるため、顧客向け証明書発行サービス用の運用インフラ、あるいは企業グループにおける統合認証インフラとしての利用にも適しています。

全体管理者とテナント管理者はそれぞれ権限が異なりっており、全体管理者は証明書テンプレートやテナント (グループ) に関する管理操作や、各テナントに発行可能な証明書数を割り振る役割を持ち、テナント管理者は管理者に指定されたテナントにおけるアカウント管理と証明書発行・失効などの管理操作を行う役割となります。

マルチテナント

モバイルデバイス管理

モバイルデバイス管理 (MDM) は、iPhoneやiPadを管理するため、構成プロファイル、無線 (OTA) 登録、Apple プッシュ通知サービスなど、iOS テクノロジーを基に構築されています。

Gléas の MDM は、管理下の iOS デバイスに対して、下記の操作をリモートで実行できます。

  • Gléas から発行された電子証明書を含む構成プロファイルのインストール
  • iOS デバイス情報の収集
  • リモートワイプ
  • デバイスロック
  • パスコードリセット
  • プロファイルの削除

例えばBYOD (社員の個人所有) の iOS デバイスに、メール・クラウドサービス・無線 LAN・リモートアクセスのためクライアント証明書をインストールしていた社員が退職する場合、管理者は構成プロファイルをリモート削除することで、その iOS デバイスを企業システムから遮断することが可能となります。

HSM 対応

Gléas は耐タンパ装置であるHSM (ハードウェア・セキュリティ・モジュール) に対応しています。HSM で認証局秘密鍵の保護をおこなうことで、非常に高いセキュリティレベルでの認証局運用が可能となり鍵漏洩リスクを極限まで低減できます。

対応製品

  • Entrust (nCipher) nShieldシリーズ