SSL-VPN

SSL-VPNでの多要素認証

VPNアプライアンスでの認証がセキュリティの要に

SSL-VPNにおける認証手段には、近年の標的型攻撃の増加や、SSL-VPNアプライアンスを、Office 365などクラウドサービスへのシングルサインオン(SSO)ゲートウェイとして利用するケースが増えるにつれて、パスワード以外の認証要素を加えた二要素(多要素)認証の導入が進んでいます。

二要素認証の選択肢として、SMSでのワンタイムパスワード、スマホアプリ認証、マトリクス認証などが挙げられますが、SSL-VPNに接続するデバイスを会社管理下の端末だけに限定したい場合は電子証明書認証が最適です。

他の選択肢の場合は端末を限定できませんが、電子証明書であればデバイス認証となるため、管理外の端末によるVPN接続を排除したい企業や官公庁に導入が進んでいます。

SSL-VPNとGléasを連携する利点

SSL-VPNへ接続するデバイスを限定するために電子証明書認証を採用する場合、電子証明書をどのように配布するかは十分検討する必要があります。証明書をメールで配布する場合、ファイルそのものをコピーできてしまうため、管理外の端末で証明書を使われてしまう恐れがあります。

Gléasの証明書配布は、ユーザ用ウェブ画面に端末がアクセスすることで行われます。この際、電子証明書は直接デバイスに取り込まれ、ファイル形式で端末に残らないため、証明書をインポートした端末から別の端末に不正にコピーされることはありません。

登録済みの端末にだけ証明書を配布

また、Gléasのインポートワンス機能を使えば、一度インポートされた証明書は、別のデバイスで再度ユーザ用ウェブ画面にアクセスしてもインポートできなくなります。そのため、複数の端末で同じ証明書が使われることはありません。

また、WindowsやiOSデバイスであれば、Gléasに端末識別情報が事前に登録された端末にのみ、証明書のインポートを許可する運用も可能です。

Gléasは主要なSSL-VPNアプライアンス、ロードバランサ、アプリケーションデリバリーコントローラ(ADC)との連携実績があり、その設定例を本サイトで公開しています。

Pulse Connect Secure、BIG-IP APM、Cisco ASAとGléasを連携する場合、iOSでの証明書のインポート時に、VPNの接続設定(接続名、ホスト名、オンデマンド接続先)を同時にインポートできるため、クライアント側でのキッティングの負荷を軽減できます。

また、Gléasの発行する電子証明書は、リモートアクセスだけでなく、無線LANやOffice 365などのクラウドサービスでの認証にも、1枚の証明書で対応できます。

Gléasとの連携を確認したSSL-VPNアプライアンスは下記のとおりです。

Pulse Connect Secure(パルスセキュア)
BIG-IP APM(F5)
BIG-IP LTM(F5)
Cisco ASA(シスコシステムズ)
NetScaler(シトリックス)
SonicWALL(ソニックウォール)
Thunder ADC(A10ネットワークス)
Juniper MAG(ジュニパーネットワークス)

記載のないSSL-VPN、ADC、リモートアクセス製品については、連携検証をさせていただくこともできますので、お問い合わせください。

Location Awarenessによる自動VPN/証明書認証ソリューション

Location Awarenessによる自動VPN/証明書認証

メジャーなSSL-VPNアプライアンスでは、Location Awarenessと呼ばれるネットワーク認識機能に対応しています。この機能を利用して、社外にいる端末は自動的にSSL-VPN接続を開始し、その際の認証に電子証明書を使うことで、ユーザ操作なしでSSL-VPN接続を自動確立することができます。

① 事前にGléasからWindowsへ電子証明書をインポート
② SSL-VPNクライアントがDNS情報などをもとに社外にいることを認識
③ 自動でSSL-VPN接続を開始
④ 電子証明書認証(有効な証明書がなければ接続拒否)
⑤ 端末のセキュリティ健全性チェック(不健全であれば接続拒否)

Windowsログオン時のパスワードあるいは生体認証によって個人を特定し、電子証明書によって端末が特定されます。その上で、SSL-VPN機器側で端末のセキュリティ状態をチェックして、問題がない端末にのみ接続を許可する設定にすれば、ユーザに負担をかけずに安全性を確保できます。

SSL-VPN接続をしている端末が社内ネットワーク内に移動した場合、自動でSSL-VPN接続を切断することもできます。

社外でのインターネット利用にSSL-VPNを導入したものの、接続の手間が敬遠され利用率が上がらないケースや、社内にいるにもかかわらずSSL-VPN接続をして帯域を圧迫するようなケースで有効なソリューションです。

Per-App VPN

BYODの普及に伴い、モバイルデバイス管理(MDM)によって、特定のアプリのみVPN通信が許可されるPer-App VPNが注目を集めています。詳しくはコラム Per-App VPNとは で解説をしています。

旧来のVPNとPer-App VPN

事例

関連ニュース