企業(エンドユーザ)

SSL-VPNクラウド

社外でのWindows利用時に自動的にSSL-VPN接続を確立し、情報漏えい対策を万全に

課題
  1. 社外でのSSL-VPN接続手順が煩雑でユーザから不満が出ていた
  2. クラウドサービスの利用が増え、情報漏えいリスクが増えた
構成例

従来では社外からのLAN接続に使われてきたSSL-VPNも、近年ではクラウドアクセス時の認証にも使われるケースが増え、ますます重要度が高まっています。
そのため、SSL-VPN接続時の認証にID/パスワードだけではリスクが高いため、金融や医療など、特に高いセキュリティを要求される業界では別の認証方式が採用されています。

物理トークンやスマートフォンのアプリを使ったワンタイムパスワード方式は、高いセキュリティ性があるものの、SSL-VPN接続時に毎回違うパスワードの入力を求められるため、ユーザにとっては煩わしさがあります。

ユーザに負担なく高いセキュリティを確保するには、パルスセキュア社のSSL-VPNアプライアンスであるPulse Connect SecureとGléasの連携が考えられます。

Pulse Connect SecureのLocation Awareness機能を使うと、PCは社外にいると認識された場合、Pulse Secure Clientが自動的にSSL-VPN接続を確立します。
認証には電子証明書が使われるため、ユーザ操作を必要としません。

関連ニュース

  1. 2017.05.30 SafeNet認証サービスとSSL-VPN装置での証明書認証 ホワイトペーパー
  2. 2017.04.19 Office 365とPulse Connect Secureでの電子証明書認証 ホワイトペーパー
  3. 2016.03.03 Pulse Connect Secureでの電子証明書認証 ホワイトペーパー

大学/研究機関

無線LANActive DirectoryマルチOS

ユーザによる証明書発行申請と、Active Directory連携による証明書発行の自動化

課題
  1. 日常的に証明書発行のニーズがあり、発行作業の負担が大きい
  2. 既存のID管理基盤のデータを利用したい
  3. ユーザの属性(学部、学生/教職員など)に応じて証明書の内容を変えたい
構成例

学内LANへの接続に電子証明書認証(802.1X EAP-TLS)を使う場合、ユーザ(学生・教職員)の私物端末の買い替えや紛失のたびに、電子証明書の発行/失効を管理側がおこなうのは負担が重くなってしまいます。Gléasは「セルフサービス機能」により、クライアント証明書発行/失効の申請をユーザ側に委ねることで管理側の負担を軽減できます。

ユーザから証明書使用開始(失効/再発行)申請があると、GléasはActive Directory(AD)にアカウント情報を問い合わせ、その情報をもとにGléasにアカウントを作成し、証明書を発行します。

Gléasはユーザの属性に合わせて、電子証明書の属性を自動付与する「テンプレート機能」があります。例えば証明書の有効期限を学生は1年、短期留学生は3ヶ月、職員は5年とテンプレートで設定しておくことで、証明書の発行申請時にGléasはADの情報をもとに自動でユーザごとに適切な有効期限を設定します。

証明書の失効や再発行もユーザ操作で完結させることができるため、プライベート認証局運営に伴う管理側の負荷を抑えられます。また、公的な認証局から証明書を買ったり、マネージドPKIサービスを使う場合と比較すると、証明書の発行/失効のリードタイムを極小化できるため、ユーザ利便性において優れていると言えます。

事例

企業(エンドユーザ)

Office 365MDM

外部MDMを経由した証明書(構成プロファイル)配布と、クラウドサービスでの証明書認証

課題
  1. クラウドサービスへのアクセスを、会社管理下の端末に限定したい
  2. MDMから証明書(構成プロファイル)を配布することでユーザ作業を軽減したい
構成例

Office 365をはじめとするクラウドサービスへのアクセスを会社管理下の端末に限定するのであれば、端末インストール型の証明書認証は最適解のひとつです。
トークン型のワンタイムパスワードやスマートフォンを使ったワンタイムパスワード認証では、端末認証とならないからです。
VMWare AirWatchなどのMDM/EMMを利用する場合、証明書(構成プロファイル)をGléasとAPI連携したMDM/EMMから配布できます。

MDM/EMMからAPI経由でGléasに証明書発行要求を送り、発行された証明書(構成プロファイル)をMDMプッシュにより管理下の端末に配信できます。
Gléasで生成される構成プロファイルにはクライアント証明書に加えてActiveSync、WiFi、VPNなどの設定を含めることができます。
ユーザの負担なく、高度なセキュリティ性を備えたモバイル設定をMDMによるプッシュ配信で完結できます。

企業(サービス事業者)

マルチテナント

自社サービスの一部としてGléasを活用、マルチテナント機能で証明書発行はエンドユーザ自身で管理

課題
  1. ユーザ企業のセキュリティ向上のため、証明書認証を導入したい
  2. ユーザ企業の証明書発行/失効などの操作をユーザ企業の担当者に行わせたい
構成例

自社で運営するクラウドサービスへ証明書認証を付加する場合、Gléasの「マルチテナント」機能を使えば、エンドユーザの証明書発行/失効などの操作をユーザ企業の担当者に行わせることができます。
管理者としての操作はUSBトークンに格納された証明書とPINコードによって二要素認証が行われるため、管理画面へのアクセスは厳密に制御されます。

カスタマイズによっては証明書発行の申請だけができるユーザ企業管理者と、申請への承認ができるユーザ企業管理者などのように、権限を分けることもできます。

サービス事業者の管理者はユーザ企業用のテンプレート作成などの全体に関わる操作や、各ユーザ企業での証明書発行枚数の管理などができます。こちらもカスタマイズにより権限を調整できます。

事例

機能の詳しいご説明や、お見積りをご希望の場合は
各地の販売パートナーをご紹介いたします。


お問い合わせ