企業(エンドユーザ)

無線LANMDM/EMM

ネットワーク接続時の外部MDM/EMMを経由したセキュリティポリシーチェック

課題
  1. 社内ネットワークへのアクセスを、セキュリティポリシーを遵守している端末に限定したい
  2. MDM/EMMから証明書(構成プロファイル)を配布することでユーザ作業を軽減したい
構成例

BYOD導入の拡大に伴い、ウィルスやマルウェアの社内ネットワークへの侵入を防ぐため、MDM/EMMによってデバイスのセキュリティ健全性をチェックする動きが広がっています。

GléasとMDM/EMMを連携させることで、MDM/EMMへデバイスが加入すると、端末識別情報を含むクライアント証明書が発行され、MDM/EMMによってデバイスへプッシュ配信されます。

デバイスがネットワークにアクセスすると、ネットワークアクセスコントローラ(NAC)によって証明書認証が行われ、NACは証明書に記載された端末識別情報をもとにMDM/EMMにセキュリティポリシーの遵守状況を問い合わせ、問題のない端末だけがネットワークアクセスを許可されます。

関連ニュース

  1. 2018.07.17 Workspace ONEとPPSでの端末ポリシーチェック 技術資料

企業(エンドユーザ)

Office 365MDM

外部MDM/EMMを経由した証明書(構成プロファイル)配布と、クラウドサービスでの証明書認証

課題
  1. クラウドサービスへのアクセスを、会社管理下の端末に限定したい
  2. クラウドサービスへのアクセスを、セキュリティポリシーを遵守している端末に限定したい
  3. MDM/EMMから証明書(構成プロファイル)を配布することでユーザ作業を軽減したい
構成例

Office 365をはじめとするクラウドサービスへのアクセスを会社管理下の端末に限定するのであれば、端末インストール型の証明書認証は最適解のひとつです。
トークン型のワンタイムパスワードやスマートフォンを使ったワンタイムパスワード認証では、端末認証とならないからです。

VMWare Workspace ONEなどのMDM/EMMを利用する場合、電子証明書(構成プロファイル)をGléasとAPI/SCEPなどにより連携したMDM/EMMから配布できます。
MDM/EMMからGléasに証明書発行要求を送り、発行された証明書(構成プロファイル)は、MDM/EMMから管理下の端末にプッシュ配信できます。

MDM/EMMから証明書を配布することで、クラウドサービスなど情報資産へアクセスできる端末を完全に限定し、クラウドサービス接続時に、MDM/EMMによって端末の健全性(OSのバージョン、セキュリティソフトのアップデートなど)を担保することで、データ漏洩などのセキュリティ事故への強力な対策となります。

また、Gléasで生成される構成プロファイルにはクライアント証明書に加えてActiveSync、Wi-Fi、VPNなどの設定を含めることができます。
ユーザの負担なく、高度なセキュリティ性を備えたモバイル設定をMDMによるプッシュ配信で完結できます。

関連ニュース

  1. 2018.09.10 BlackBerry WorkでのEAS証明書マッピング認証 技術資料
  2. 2018.08.23 MobileIronと連携したクライアント証明書発行配布 技術資料
  3. 2018.06.12 AirWatchとPulse Secureでの端末ポリシーチェック 技術資料
  4. 2017.12.20 AirWatchと連携したクライアント証明書発行配布 技術資料
  5. 2016.09.26 Office 365とADFSでのクライアント証明書認証 技術資料

官公庁

無線LANActive Directory

証明書インポート可能な端末を厳密に限定

課題
  1. 十分なセキュリティ対策が担保できない私物端末でのLANアクセスの排除
構成例

ウィルス対策ソフトの導入により、組織管理下にある端末はセキュリティを担保できるものの、管理外の私物端末でのLANやクラウドアクセスによって情報漏えいが引き起こされるケースがあります。

無線LANはいまも多くの組織でPKS(共通鍵)方式での認証が採用されていますが、その場合、私物端末によるLANアクセスを防ぐことができません。
また有線LANではLANケーブルを繋げば、認証なしでLANにアクセスできる環境も少なくありません

証明書認証を導入すれば、管理外の端末によるLANアクセスを防ぐことができますが、電子証明書の配布には十分な配慮が必要です。

Gléasは証明書のインポート時に証明書はファイル形式を取らずに直接端末に取り込まれるため、証明書を不正にコピーされることはありません。
またインポートワンス機能によって、一度インポートされた証明書が別の端末へインポートされるのを防ぎます。

仮に一度目のインポートを私物端末で行った場合は、本来使うべき管理下の端末でLANアクセスができないため、実務的には私物端末への証明書インポートを防いでいます。

しかし、厳密に管理下の端末のみに証明書認証によるLANアクセスをさせたい場合、Gléasは別の手段を用意しています。

Active Directoryなどで収集したWindows端末のフルコンピュータ名や、iOSデバイスのUDID/IMEI(端末識別情報)を、あらかじめGléasに登録し、未登録のWindowsやiOSによるGléasのユーザ画面アクセスがあっても、証明書取得を拒否する機能があります。

MACアドレスと比較してフルコンピュータ名やUDID/IMEIは詐称が困難です。インポートワンス機能と併用することにより、管理下の端末だけがLANアクセスできることになります。

関連ニュース

  1. 2018.02.06 Pulse Policy Secureでの802.1X EAP-TLS認証 技術資料

企業(エンドユーザ)

SSL-VPNクラウド

社外でのWindows利用時に自動的にSSL-VPN接続を確立し、情報漏えい対策を万全に

課題
  1. 社外でのSSL-VPN接続手順が煩雑でユーザから不満が出ていた
  2. クラウドサービスの利用が増え、情報漏えいリスクが増えた
構成例

従来では社外からのLAN接続に使われてきたSSL-VPNも、近年ではクラウドアクセス時の認証にも使われるケースが増え、ますます重要度が高まっています。
そのため、SSL-VPN接続時の認証にID/パスワードだけではリスクが高いため、金融や医療など、特に高いセキュリティを要求される業界では別の認証方式が採用されています。

物理トークンやスマートフォンのアプリを使ったワンタイムパスワード方式は、高いセキュリティ性があるものの、SSL-VPN接続時に毎回違うパスワードの入力を求められるため、ユーザにとっては煩わしさがあります。

ユーザに負担なく高いセキュリティを確保するには、パルスセキュア社のSSL-VPNアプライアンスであるPulse Connect SecureとGléasの連携が考えられます。

Pulse Connect SecureのLocation Awareness機能を使うと、PCは社外にいると認識された場合、Pulse Secure Clientが自動的にSSL-VPN接続を確立します。
認証には電子証明書が使われるため、ユーザ操作を必要としません。

Gléasの証明書は、1枚の証明書が複数台の端末で使われるのを防ぐインポートワンス機能とエクスポート防止機能により、会社管理外の端末で使われる危険性を最小化しています
LAN外からの社内情報リソースやクラウドサービスへのアクセス頻度が高い組織にお勧めのソリューションです。

関連ニュース

  1. 2018.04.16 Pulse Connect Secureでの電子証明書認証 技術資料
  2. 2017.05.30 SafeNet認証サービスとSSL-VPN装置での証明書認証 技術資料
  3. 2017.04.19 Office 365とPulse Connect Secureでの電子証明書認証 技術資料

大学/研究機関

無線LANActive DirectoryマルチOS

ユーザによる証明書発行申請と、Active Directory連携による証明書発行の自動化

課題
  1. 日常的に証明書発行のニーズがあり、発行作業の負担が大きい
  2. 既存のID管理基盤のデータを利用したい
  3. ユーザの属性(学部、学生/教職員など)に応じて証明書の内容を変えたい
構成例

学内LANへの接続に電子証明書認証(802.1X EAP-TLS)を使う場合、ユーザ(学生・教職員)の私物端末の買い替えや紛失のたびに、電子証明書の発行/失効を管理側がおこなうのは負担が重くなってしまいます。Gléasは「セルフサービス機能」により、クライアント証明書発行/失効の申請をユーザ側に委ねることで管理側の負担を軽減できます。

ユーザから証明書使用開始(失効/再発行)申請があると、GléasはActive Directory(AD)にアカウント情報を問い合わせ、その情報をもとにGléasにアカウントを作成し、証明書を発行します。

Gléasはユーザの属性に合わせて、電子証明書の属性を自動付与する「テンプレート機能」があります。例えば証明書の有効期限を学生は1年、短期留学生は3ヶ月、職員は5年とテンプレートで設定しておくことで、証明書の発行申請時にGléasはADの情報をもとに自動でユーザごとに適切な有効期限を設定します。

証明書の失効や再発行もユーザ操作で完結させることができるため、プライベート認証局運営に伴う管理側の負荷を抑えられます。また、公的な認証局から証明書を買ったり、マネージドPKIサービスを使う場合と比較すると、証明書の発行/失効のリードタイムを極小化できるため、ユーザ利便性において優れていると言えます。

事例

関連ニュース

  1. 2018.02.06 Pulse Policy Secureでの802.1X EAP-TLS認証 技術資料
  2. 2017.08.31 EnterprasでのEAP-TLS認証連携 技術資料

企業(サービス事業者)

マルチテナント

自社サービスの一部としてGléasを活用、マルチテナント機能で証明書発行はエンドユーザ自身で管理

課題
  1. ユーザ企業のセキュリティ向上のため、証明書認証を導入したい
  2. ユーザ企業の証明書発行/失効などの操作をユーザ企業の担当者に行わせたい
構成例

自社で運営するクラウドサービスへ証明書認証を付加する場合、Gléasの「マルチテナント」機能を使えば、エンドユーザの証明書発行/失効などの操作をユーザ企業の担当者に行わせることができます。
管理者としての操作はUSBトークンに格納された証明書とPINコードによって二要素認証が行われるため、管理画面へのアクセスは厳密に制御されます。

カスタマイズによっては証明書発行の申請だけができるユーザ企業管理者と、申請への承認ができるユーザ企業管理者などのように、権限を分けることもできます。

サービス事業者の管理者はユーザ企業用のテンプレート作成などの全体に関わる操作や、各ユーザ企業での証明書発行枚数の管理などができます。こちらもカスタマイズにより権限を調整できます。

事例

機能の詳しいご説明や、お見積り、ご相談をご希望の場合は
下記フォームよりお問い合わせ下さい。


お問い合わせ