SSL-VPNでの認証

SSL-VPN

SSL-VPNによる通信の暗号化は、高度なセキュリティ性を持ちながら、一般的なウェブブラウザやメールソフトが使える強みがあり、リモートアクセスの仕組みの中で主流となっています。

認証手段には、パスワード認証が多く採用されていましたが、近年の標的型攻撃の増加や、SAML対応のSSL-VPN機器をOffice 365などのクラウドサービスへのシングルサインオン(SSO)のゲートウェイとして利用するケースが増えるにつれて、パスワード以外の認証要素を加えた二要素(多要素)認証を導入が進んでいます。

二要素認証の選択肢として、SMSでのワンタイムパスワード、スマホアプリ認証、マトリクス認証などが挙げられますが、SSL-VPNに接続するデバイスを会社管理下の端末だけに限定したい場合は電子証明書認証が最適です。

他の選択肢の場合は端末を限定できませんが、電子証明書であればデバイス認証となるため、管理外の端末によるVPN接続を排除したい企業や官公庁に導入が進んでいます。

SSL-VPNとGléasを連携する利点

SSL-VPNへ接続するデバイスを限定するために電子証明書認証を採用する場合、電子証明書の配布方法は十分検討する必要があります。
証明書をメールで配布する場合、ファイルそのものをコピーできてしまうため、管理外の端末に証明書を使われてしまう恐れがあります。

Gléasの証明書配布は、ユーザ用ウェブ画面に端末がアクセスすることで行われます。
この際、電子証明書はファイル形式を取らずに直接端末に取り込まれます。
ファイル形式で端末に残らないため、証明書をインポートした端末から別の端末に不正にコピーされることはありません。

また、Gléasのインポートワンス機能を使えば、一度インポートされた証明書は、別の端末で再度ユーザ用ウェブ画面にアクセスしてもインポートできなくなります。
そのため、複数の端末で同じ証明書が使われることはありません。

また、WindowsやiOSデバイスであれば、Gléasに端末識別情報が事前に登録された端末にのみ証明書を発行する運用も可能です。

Gléasは主要なSSL-VPN装置、ロードバランサ、アプリケーションデリバリーコントローラ(ADC)との連携実績があり、その設定例を当ページで公開しています。

Pulse Connect Secure、BIG-IP APM、Cisco ASAとGléasを連携する場合、iOSでの証明書のインポート時に、VPNの接続設定(接続名、ホスト名、オンデマンド接続先)を同時にインポートできるため、クライアント側でのキッティングの負荷を軽減できます。

また、Gléasの発行する電子証明書は、リモートアクセスだけでなく、無線LANやOffice 365などのクラウドサービスでの認証にも、1枚の証明書で対応できます。

対応製品

  • Pulse Connect Secure(パルスセキュア)
  • BIG-IP APM(F5)
  • BIG-IP LTM(F5)
  • Cisco ASA(シスコシステムズ)
  • NetScaler(シトリックス)
  • SonicWALL(ソニックウォール)
  • Thunder ADC(A10ネットワークス)
  • Juniper MAG(ジュニパーネットワークス)
  • FirePass(F5)

記載のないSSL-VPN、ADC、リモートアクセス製品については、連携検証をさせていただくこともできますので、
フォームよりお問い合わせください。

Location Awarenessによる自動VPN/証明書認証ソリューション

メジャーなSSL-VPN機器にはLocation Awarenessと呼ばれるネットワーク認識機能があります。
この機能を利用して、社外にいる端末は自動的にSSL-VPN接続を開始し、その際の認証に電子証明書を使うことで、ユーザ操作なしでSSL-VPN接続を自動確立することができます。

Windowsログオン時のパスワードあるいは生体認証によって個人を特定し、電子証明書によって端末が特定されます。
その上で、SSL-VPN機器側で端末のセキュリティ状態をチェックして、問題がない端末にのみ接続を許可する設定にすれば、ユーザに負担をかけずに安全性を確保できます。

SSL-VPN接続をしている端末が社内ネットワーク内に移動した場合、自動でSSL-VPN接続を切断することもできます。

  1. ① 事前にGléasからWindowsへ電子証明書をインポート
  2. ② SSL-VPNクライアントがDNS情報などをもとに社外にいることを認識
  3. ③ 自動でSSL-VPN接続を開始
  4. ④ 電子証明書認証(有効な証明書がなければ接続拒否)
  5. ⑤ 端末のセキュリティ健全性チェック(不健全であれば接続拒否)

社外でのインターネット利用にSSL-VPNを導入したものの、接続の手間が敬遠され利用率が上がらないケースや、社内にいるにもかかわらずSSL-VPN接続をして帯域を圧迫するようなケースでお悩みの場合は、フォームよりお問い合わせください。

事例

関連ニュース

  1. 2018.06.12 AirWatchとPulse Secureでの端末ポリシーチェック 技術資料
  2. 2018.04.16 Pulse Connect Secureでの電子証明書認証 技術資料
  3. 2017.05.30 SafeNet認証サービスとSSL-VPN装置での証明書認証 技術資料
  4. 2017.04.19 Office 365とPulse Connect Secureでの電子証明書認証 技術資料
  5. 2016.12.05 NetScalerでの電子証明書認証 技術資料
  6. 2016.06.07 リモートアクセスのセキュリティセミナー 出展
  7. 2015.12.05 BIG-IP APMでの電子証明書認証 技術資料
  8. 2015.04.17 SonicWALL Aventailでの電子証明書認証 技術資料
  9. 2013.02.05 BIG-IP Edge GatewayとiOSでの電子証明書認証 技術資料
  10. 2012.11.15 VMware Viewへの電子証明書認証 技術資料
  11. 2012.08.24 MAGからGoogle Appsへのシングルサインオン 技術資料
  12. 2011.11.16 iOSからMAGを経由したActiveSync 技術資料
  13. 2011.11.15 MAGとJunos Pulseでの設定 技術資料
  14. 2011.09.22 AndroidとCisco ASAでの電子証明書認証 技術資料
  15. 2011.04.08 iOSとCisco ASA5500での証明書認証 技術資料
  16. 2011.02.23 iOSとFirePassでの電子証明書認証 技術資料
  17. 2011.02.23 BIG-IP Edge Gatewayでの証明書認証 技術資料
  18. 2010.08.31 iOSからFirePassを経由したActiveSync 技術資料

機能の詳しいご説明や、お見積り、ご相談をご希望の場合は
下記フォームよりお問い合わせ下さい。


お問い合わせ