ネットワークに接続する端末のセキュリティ健全性チェック

企業でのBYOD導入が進むなか、VMware Workspace ONEなどのMDM / UEMを使って、会社所有/個人所有を問わずモバイルデバイスを管理する動きが広がっています。
MDM / UEMのセキュリティポリシー(OSのバージョン、ディスク暗号化、パスコード、ウィルス対策ソフトなど)を遵守した端末だけが、ネットワークへの接続を許可される環境を構築できます。
ネットワークアクセスコントローラは、デバイスにインポートされたクライアント証明書によって、デバイスを特定し、MDM / UEMにポリシー遵守状況を問い合わせることができます。

構成例

関連ニュース

  1. 2018.07.17 Workspace ONEとPPSでの端末ポリシーチェック 技術資料

EAP-TLSの認証局としてGléasを使うメリット

企業での無線LANの認証には、事前共有鍵方式やMACアドレス認証ではなく、ユーザごとに認証をかける802.1X方式が推奨されます。
802.1Xの認証方式としてMD5/LEAP/PEAP/TTLS/TLSがありますが、最高レベルのセキュリティ性を持つのがEAP-TLSです。

EAP-TLSは、RADIUSサーバとクライアント端末の双方が電子証明書を保持し、公開鍵暗号方式によるサーバとクライアント相互の認証とパケットの暗号化が行われるため、盗聴・改ざん・なりすましを防ぎ、有効な証明書を持つ端末だけがネットワークに接続を許可されます。

※ Remote Authentication Dial In User Serviceの略
EAP-TLSの構成図
EAP-TLSでの相互認証

Gléasは、RADIUSサーバ用のサーバ証明書と、クライアント証明書をテンプレート機能によって簡単に発行・管理できます。
ユーザの所属や属性に応じて、証明書のサブジェクトや有効期限を設定できます。
ユーザのアカウント情報はCSVでの一括取り込みができます。

クライアントはWindows、iOS、macOS、Android、に標準で対応しています。

EAP-TLSでは、クライアント証明書の配布方法について熟慮が必要です。
管理側が把握しないデバイスにクライアント証明書がインストールされてしまった場合には、情報漏えいの危険性があるからです。

Gléasでは、利用するデバイスでGléasのユーザ用ウェブ画面にアクセスし、デバイスの証明書ストアに証明書をインポートします。
証明書ストアにインポートされた証明書は、他の端末にコピーされることはありません。

また「インポートワンス機能」を使うと、一度インポートされた証明書は、それ以降ユーザ用ウェブ画面にアクセスしても、Gléasは二度目以降のインポートを拒否します。

なお、Gléasから証明書をインポートする際に、Wi-Fiの設定を同時に取り込む設定ができます。
ユーザはデバイスで無線LANのSSIDを選択するだけで、クライアント証明書が自動で選択されるため、ユーザ負担を軽減できます。

Gléasとの連携を確認したRADIUSサーバは下記のとおりです。

  • ネットワークポリシーサーバー (マイクロソフト)
  • Pulse Policy Secure(パルスセキュア)
  • Cisco Secure ACS(シスコシステムズ)
  • Enterpras(ステラクラフト)
  • Fullflex EG(アクセンス・テクノロジー)
  • ClearPass(アルバ・ネットワークス)

上記以外のRADIUSサーバでも、多くの場合は連携が可能です。お問い合わせフォームよりご相談ください。

Gléasで発行したクライアント証明書は、無線LANだけでなく、Office 365などのクラウドサービスでの認証や、リモートアクセス/VPNでの認証を1枚の証明書で対応できます。

事例

関連ニュース

  1. 2018.07.17 Workspace ONEとPPSでの端末ポリシーチェック 技術資料
  2. 2018.02.06 Pulse Policy Secureでの802.1X EAP-TLS認証 技術資料
  3. 2017.08.31 EnterprasでのEAP-TLS認証連携 技術資料
  4. 2013.04.11 アルバネットワークスのワイヤレスLAN製品に対応 ニュース
  5. 2012.08.21 iOSとWindows ServerでのEAP-TLS認証 技術資料
  6. 2011.10.28 Cisco Secure ACSでの802.1X(EAP-TLS)認証 技術資料
  7. 2011.06.29 Androidでの無線LANの電子証明書認証 技術資料
  8. 2011.01.20 Fullflex EG7で802.1X EAP-TLS認証 技術資料

機能の詳しいご説明や、お見積り、ご相談をご希望の場合は
下記フォームよりお問い合わせ下さい。


お問い合わせ