応用シーン

社内 WiFi へのアクセスを会社管理下の端末に限定するのであれば、端末インストール型の証明書を使う認証は最適解です。

構成例では、デバイスがMDM （Workspace ONE）　の管理下になると、連携する　Gléas　が端末識別情報を含む電子証明書を発行し、MDM より　WiFi　接続プロファイルとともにプッシュ配信します。端末がアクセスポイントに接続試行すると RADIUS サーバは EAP-TLS による証明書認証を行いますがその際に証明書の端末識別情報をもとにデバイスのポリシー遵守状況も確認します。

MDM 管理下のデバイスだけに証明書を配布することで、社内 LAN へアクセスできる端末を限定し、端末の健全性（OSのバージョン、セキュリティソフトのアップデートなど）をチェックすることで、データ漏洩などのセキュリティインシデントへの強力な対策となります。

Microsoft 365 をはじめとするクラウドサービスや、リモートアクセスの利用を会社管理下の端末に限定するのであれば、端末インストール型の証明書認証は最適解のひとつです。ワンタイムパスワードやマトリックス認証では、端末認証とならないからです。

構成例では、デバイスがMDM （Workspace ONE）　の管理下になると、MDM と連携する　Gléas　が端末識別情報を含む電子証明書を発行し、MDM　を経由してデバイスに配布します。デバイスが　Microsoft 365 へアクセスすると、アイデンティティ・プロバイダー (WorkSpace ONE) に認証連携され証明書による認証を行います。その際に、証明書に記載された端末識別情報をもとにデバイスのポリシー遵守状況をチェックします。

MDM 管理下のデバイスだけに証明書を配布することで、クラウドサービスやリモートアクセスの利用が可能な端末を限定し、さらに 端末の健全性 （OS のバージョン、セキュリティソフトのアップデートなど） をチェックすることで、データ漏洩などのセキュリティインシデントへの強力な対策となります。

自社で運営するクラウドサービスへ証明書認証を付加する場合、Gléasの「マルチテナント」機能を使えば、エンドユーザの証明書発行/失効などの操作をユーザ企業の担当者に行わせることができます。

管理者としての操作はUSBトークンに格納された証明書とPINコードによって二要素認証が行われるため、管理画面へのアクセスは厳密に制御されます。

カスタマイズによっては証明書発行の申請だけができるユーザ企業管理者と、申請への承認ができるユーザ企業管理者などのように、権限を分けることもできます。

サービス事業者の管理者はユーザ企業用のテンプレート作成などの全体に関わる操作や、各ユーザ企業での証明書発行枚数の管理などができます。こちらもカスタマイズにより権限を調整できます。

従来では社外からのLAN接続に使われてきたSSL-VPNも、近年ではクラウドアクセス時の認証にも使われるケースが増え、ますます重要度が高まっています。そのため、SSL-VPN接続時の認証にID/パスワードだけではリスクが高いため、金融や医療など、特に高いセキュリティを要求される業界では別の認証方式が採用されています。

物理トークンやスマートフォンのアプリを使ったワンタイムパスワード方式は、高いセキュリティ性があるものの、SSL-VPN接続時に毎回違うパスワードの入力を求められるため、ユーザにとっては煩わしさがあります。

構成例では、Gléasからクライアント証明書を取得したデバイスが社外にあるとき、デバイスにインストールされたVPNクライアントがDNS情報などをもとに社外にいることを検知し（Location Awarenessと呼ばれる機能）、自動的にSSL-VPN接続を開始します。認証には電子証明書が使われるため、ユーザ操作を必要としません。

1枚の証明書が複数台の端末で使われるのを防ぐGléasのインポートワンス機能とエクスポート防止機能により、会社管理外の端末で使われる危険性を最小化していますLAN外からの社内情報リソースやクラウドサービスへのアクセス頻度が高い組織にお勧めのソリューションです。