応用シーン

ネットワーク接続時にデバイスのセキュリティポリシーチェック 無線LAN MDM / UEM連携

課題

社内ネットワークへのアクセスを、セキュリティポリシーを遵守している端末に限定したい

Office 365をはじめとするクラウドサービスへのアクセスを会社管理下の端末に限定するのであれば、端末インストール型の証明書認証は最適解のひとつです。物理トークン型のワンタイムパスワードや、スマートフォンを使ったワンタイムパスワード認証では、端末認証とならないからです。

構成例では、Workspace ONEへデバイスがMDM加入すると、連携するGléasが端末識別情報を含む電子証明書を発行し、Workspace ONEを経由してデバイスに配布します。デバイスがOffice 365へアクセスすると、Workspace ONEに認証が委任され、証明書認証を行います。その際に、証明書に記載された端末識別情報をもとにデバイスのポリシー遵守状況を確認します。

Workspace ONE管理下のデバイスだけに証明書を配布することで、Office 365へアクセスできる端末を完全に限定し、Office 365使用時に、Workspace ONEによって端末の健全性(OSのバージョン、セキュリティソフトのアップデートなど)を担保することで、データ漏洩などのセキュリティ事故への強力な対策となります。

関連ニュース

事例

外部MDM / UEMを経由した証明書配布と、クラウドサービスでの証明書認証 Office 365 MDM / UEM連携

課題

クラウドサービスへのアクセスを、会社管理下かつセキュリティポリシーを遵守している端末に限定したい

Office 365をはじめとするクラウドサービスへのアクセスを会社管理下の端末に限定するのであれば、端末インストール型の証明書認証は最適解のひとつです。物理トークン型のワンタイムパスワードや、スマートフォンを使ったワンタイムパスワード認証では、端末認証とならないからです。

構成例では、AirWatch(現在のWorkspace ONE)へデバイスがMDM加入すると、連携するGléasが端末識別情報を含む電子証明書を発行し、AirWatchを経由してデバイスに配布します。デバイスがOffice 365へアクセスすると、AirWatchに認証が委任され、AirWatchが証明書認証を行います。その際に、証明書に記載された端末識別情報をもとにデバイスのポリシー遵守状況を確認します。

AirWatch管理下のデバイスだけに証明書を配布することで、Office 365へアクセスできる端末を完全に限定し、Office 365使用時に、AirWatchによって端末の健全性(OSのバージョン、セキュリティソフトのアップデートなど)を担保することで、データ漏洩などのセキュリティ事故への強力な対策となります。

関連ニュース

サービスとして認証局を運用、証明書発行・失効はエンドユーザ自身が操作 クラウドサービス マルチテナント

課題

ユーザ企業のセキュリティ向上のため、証明書認証を導入したい
ユーザ企業の証明書発行/失効などの操作をユーザ企業の担当者に行わせたい

自社で運営するクラウドサービスへ証明書認証を付加する場合、Gléasの「マルチテナント」機能を使えば、エンドユーザの証明書発行/失効などの操作をユーザ企業の担当者に行わせることができます。

管理者としての操作はUSBトークンに格納された証明書とPINコードによって二要素認証が行われるため、管理画面へのアクセスは厳密に制御されます。

カスタマイズによっては証明書発行の申請だけができるユーザ企業管理者と、申請への承認ができるユーザ企業管理者などのように、権限を分けることもできます。

サービス事業者の管理者はユーザ企業用のテンプレート作成などの全体に関わる操作や、各ユーザ企業での証明書発行枚数の管理などができます。こちらもカスタマイズにより権限を調整できます。

事例

証明書インポート可能な端末を厳密に限定 無線LAN

課題

十分なセキュリティ対策が担保できない私物端末でのLANアクセスの排除

ウィルス対策ソフトやActive Directoryの導入により、組織管理下にある端末はセキュリティを担保できるものの、管理外の私物端末でのLANやクラウドアクセスによって情報漏えいが引き起こされるケースがあります。

無線LANはいまも多くの組織でPKS(共通鍵)方式での認証が採用されていますが、その場合、私物端末によるLANアクセスを防ぐことができません。また有線LANではLANケーブルを繋げば、認証なしでLANにアクセスできる環境も少なくありません。

証明書認証を導入すれば、管理外の端末によるLANアクセスを防ぐことができますが、電子証明書の配布には十分な配慮が必要です。

Gléasは証明書のインポート時に証明書はファイル形式を取らずに直接端末に取り込まれるため、証明書を不正にコピーされることはありません。またインポートワンス機能によって、一度インポートされた証明書が別の端末へインポートされるのを防ぎます。

仮に一度目のインポートを私物端末で行った場合は、本来使うべき管理下の端末でLANアクセスができないため、実務的には私物端末への証明書インポートを防いでいます。しかし、厳密に管理下の端末のみに証明書認証によるLANアクセスをさせたい場合、Gléasは別の手段を用意しています。

Active Directoryなどで収集したWindows端末のフルコンピュータ名や、iOSデバイスのUDID/IMEI(端末識別情報)を、あらかじめGléasに登録し、未登録のWindowsやiOSによるGléasのユーザ画面アクセスがあっても、証明書取得を拒否する機能があります。

MACアドレスと比較してフルコンピュータ名やUDID/IMEIは詐称が困難です。インポートワンス機能と併用することにより、管理下の端末だけがLANアクセスできることになります。

関連ニュース

社外でのWindows利用時に自動SSL-VPN接続 SSL-VPN クラウドサービス

課題

社外でのSSL-VPN接続手順が煩雑でユーザから不満が出ていた
クラウドサービスの利用が増え、情報漏えいリスクが増えた

従来では社外からのLAN接続に使われてきたSSL-VPNも、近年ではクラウドアクセス時の認証にも使われるケースが増え、ますます重要度が高まっています。そのため、SSL-VPN接続時の認証にID/パスワードだけではリスクが高いため、金融や医療など、特に高いセキュリティを要求される業界では別の認証方式が採用されています。

物理トークンやスマートフォンのアプリを使ったワンタイムパスワード方式は、高いセキュリティ性があるものの、SSL-VPN接続時に毎回違うパスワードの入力を求められるため、ユーザにとっては煩わしさがあります。

構成例では、Gléasからクライアント証明書を取得したデバイスが社外にあるとき、デバイスにインストールされたVPNクライアントがDNS情報などをもとに社外にいることを検知し(Location Awarenessと呼ばれる機能)、自動的にSSL-VPN接続を開始します。認証には電子証明書が使われるため、ユーザ操作を必要としません。

1枚の証明書が複数台の端末で使われるのを防ぐGléasのインポートワンス機能とエクスポート防止機能により、会社管理外の端末で使われる危険性を最小化していますLAN外からの社内情報リソースやクラウドサービスへのアクセス頻度が高い組織にお勧めのソリューションです。

関連ニュース

2015.12.05 BIG-IP APMでの電子証明書認証 技術資料