無線LANMDM / UEM

ネットワーク接続時にデバイスのセキュリティポリシーチェック

課題

  1. 社内ネットワークへのアクセスを、セキュリティポリシーを遵守している端末に限定したい
構成例

BYOD導入の拡大に伴い、ウィルスやマルウェアの社内ネットワークへの侵入を防ぐため、MDM / UEMによってデバイスのセキュリティ健全性をチェックする動きが広がっています。

構成例では、Workspace ONEへデバイスが加入すると、連携するGléasが端末識別情報を含むクライアント証明書を発行して、Workspace ONEを経由してデバイスへ配布されます。

デバイスがアクセスポイントを通じてネットワークにアクセスすると、Pulse Policy Secure(NAC)によって証明書認証が行われ、Pulse Policy Secureは証明書に記載された端末識別情報をもとに、Workspace ONEにデバイスのセキュリティポリシーの遵守状況を問い合わせ、問題のないデバイスだけが社内ネットワークへのアクセスを許可されます。

証明書のない端末は社内ネットワークへはアクセスできず、証明書があってもポリシー遵守に問題がある端末は、社内ネットワークから隔離されます。

関連ニュース

  1. 2018.07.17 Workspace ONEとPPSでの端末ポリシーチェック 技術資料

事例

Office 365MDM / UEM

外部MDM / UEMを経由した証明書配布と、クラウドサービスでの証明書認証

課題

  1. クラウドサービスへのアクセスを、会社管理下かつセキュリティポリシーを遵守している端末に限定したい
構成例

Office 365をはじめとするクラウドサービスへのアクセスを会社管理下の端末に限定するのであれば、端末インストール型の証明書認証は最適解のひとつです。
物理トークン型のワンタイムパスワードや、スマートフォンを使ったワンタイムパスワード認証では、端末認証とならないからです。

構成例では、AirWatch(現在のWorkspace ONE)へデバイスがMDM加入すると、連携するGléasが端末識別情報を含む電子証明書を発行し、AirWatchを経由してデバイスに配布します。
デバイスがOffice 365へアクセスすると、AirWatchに認証が委任され、AirWatchが証明書認証を行います。その際に、証明書に記載された端末識別情報をもとにデバイスのポリシー遵守状況を確認します。

AirWatch管理下のデバイスだけに証明書を配布することで、Office 365へアクセスできる端末を完全に限定し、Office 365使用時に、AirWatchによって端末の健全性(OSのバージョン、セキュリティソフトのアップデートなど)を担保することで、データ漏洩などのセキュリティ事故への強力な対策となります。

関連ニュース

  1. 2018.04.02 VMware Identity Managerでのクライアント証明書認証 技術資料
  2. 2017.12.20 AirWatchと連携したクライアント証明書発行配布 技術資料
無線LANActive Directory

証明書インポート可能な端末を厳密に限定

課題

  1. 十分なセキュリティ対策が担保できない私物端末でのLANアクセスの排除
構成例

ウィルス対策ソフトやActive Directoryの導入により、組織管理下にある端末はセキュリティを担保できるものの、管理外の私物端末でのLANやクラウドアクセスによって情報漏えいが引き起こされるケースがあります。

無線LANはいまも多くの組織でPKS(共通鍵)方式での認証が採用されていますが、その場合、私物端末によるLANアクセスを防ぐことができません。
また有線LANではLANケーブルを繋げば、認証なしでLANにアクセスできる環境も少なくありません

証明書認証を導入すれば、管理外の端末によるLANアクセスを防ぐことができますが、電子証明書の配布には十分な配慮が必要です。

Gléasは証明書のインポート時に証明書はファイル形式を取らずに直接端末に取り込まれるため、証明書を不正にコピーされることはありません。
またインポートワンス機能によって、一度インポートされた証明書が別の端末へインポートされるのを防ぎます。

仮に一度目のインポートを私物端末で行った場合は、本来使うべき管理下の端末でLANアクセスができないため、実務的には私物端末への証明書インポートを防いでいます。

しかし、厳密に管理下の端末のみに証明書認証によるLANアクセスをさせたい場合、Gléasは別の手段を用意しています。

Active Directoryなどで収集したWindows端末のフルコンピュータ名や、iOSデバイスのUDID/IMEI(端末識別情報)を、あらかじめGléasに登録し、未登録のWindowsやiOSによるGléasのユーザ画面アクセスがあっても、証明書取得を拒否する機能があります。

MACアドレスと比較してフルコンピュータ名やUDID/IMEIは詐称が困難です。インポートワンス機能と併用することにより、管理下の端末だけがLANアクセスできることになります。

関連ニュース

  1. 2018.02.06 Pulse Policy Secureでの802.1X EAP-TLS認証 技術資料
SSL-VPNクラウド

社外でのWindows利用時に自動SSL-VPN接続

課題

  1. 社外でのSSL-VPN接続手順が煩雑でユーザから不満が出ていた
  2. クラウドサービスの利用が増え、情報漏えいリスクが増えた
構成例

従来では社外からのLAN接続に使われてきたSSL-VPNも、近年ではクラウドアクセス時の認証にも使われるケースが増え、ますます重要度が高まっています。
そのため、SSL-VPN接続時の認証にID/パスワードだけではリスクが高いため、金融や医療など、特に高いセキュリティを要求される業界では別の認証方式が採用されています。

物理トークンやスマートフォンのアプリを使ったワンタイムパスワード方式は、高いセキュリティ性があるものの、SSL-VPN接続時に毎回違うパスワードの入力を求められるため、ユーザにとっては煩わしさがあります。

構成例では、Gléasからクライアント証明書を取得したデバイスが社外にあるとき、デバイスにインストールされたPulse ClientがDNS情報などをもとに社外にいることを検知し(Location Awarenessと呼ばれる機能)、自動的にPulse Connect SecureにSSL-VPN接続を開始します。

認証には電子証明書が使われるため、ユーザ操作を必要としません。

1枚の証明書が複数台の端末で使われるのを防ぐGléasのインポートワンス機能とエクスポート防止機能により、会社管理外の端末で使われる危険性を最小化しています
LAN外からの社内情報リソースやクラウドサービスへのアクセス頻度が高い組織にお勧めのソリューションです。

関連ニュース

  1. 2018.04.16 Pulse Connect Secureでの電子証明書認証 技術資料
  2. 2015.12.05 BIG-IP APMでの電子証明書認証 技術資料
無線LANActive DirectoryマルチOS

ユーザによる証明書発行申請と、Active Directory連携による証明書発行の自動化

課題

  1. 日常的に証明書発行のニーズがあり、発行作業の負担が大きい
  2. 既存のID管理基盤のデータを利用したい
  3. ユーザの属性(学部、学生/教職員など)に応じて証明書の内容を変えたい
構成例

学内LANへの接続に電子証明書認証(802.1X EAP-TLS)を使う場合、ユーザ(学生・教職員)の私物端末の買い替えや紛失のたびに、電子証明書の発行/失効を管理側がおこなうのは負担が重くなってしまいます。

Gléasは「セルフサービス機能」により、クライアント証明書発行/失効の申請をユーザ側に委ねることで管理側の負担を軽減できます。

構成図では、ユーザから証明書使用開始(失効/再発行)申請があると、GléasはActive Directory(AD)にアカウント情報を問い合わせ、その情報をもとにGléasにアカウントを作成し、証明書を発行します。

Gléasはユーザが所属するグループに応じて、電子証明書の属性を自動付与する「テンプレート機能」があります。例えば証明書の有効期限を学生は1年、短期留学生は3ヶ月、職員は5年とテンプレートで設定しておくことで、証明書の発行申請時にGléasはADの情報をもとに自動でユーザごとに適切な有効期限を設定します。

証明書の失効や再発行もユーザ操作で完結させることができるため、プライベート認証局運営に伴う管理側の負荷を抑えられます。また、公的な認証局から証明書を買ったり、マネージドPKIサービスを使う場合と比較すると、証明書の発行/失効のリードタイムを極小化できるため、ユーザ利便性において優れていると言えます。

事例

関連ニュース

  1. 2018.02.06 Pulse Policy Secureでの802.1X EAP-TLS認証 技術資料
  2. 2017.08.31 EnterprasでのEAP-TLS認証連携 技術資料
クラウドマルチテナント

自社サービスの一部としてGléasを活用、マルチテナント機能で証明書発行はエンドユーザが担当

課題

  1. ユーザ企業のセキュリティ向上のため、証明書認証を導入したい
  2. ユーザ企業の証明書発行/失効などの操作をユーザ企業の担当者に行わせたい
構成例

自社で運営するクラウドサービスへ証明書認証を付加する場合、Gléasの「マルチテナント」機能を使えば、エンドユーザの証明書発行/失効などの操作をユーザ企業の担当者に行わせることができます。
管理者としての操作はUSBトークンに格納された証明書とPINコードによって二要素認証が行われるため、管理画面へのアクセスは厳密に制御されます。

カスタマイズによっては証明書発行の申請だけができるユーザ企業管理者と、申請への承認ができるユーザ企業管理者などのように、権限を分けることもできます。

サービス事業者の管理者はユーザ企業用のテンプレート作成などの全体に関わる操作や、各ユーザ企業での証明書発行枚数の管理などができます。こちらもカスタマイズにより権限を調整できます。

事例

機能の詳しいご説明や、お見積り、ご相談をご希望の場合は
下記フォームよりお問い合わせ下さい。


お問い合わせ