~「サイバートラスト デバイスID(端末非依存デバイス証明書発行管理サービス)」とは!?~「5分で分かる橋川ミチノリの業務改善」 コラム 第33回

  • 2019/8/22
はじめに

東京オリンピック・パラリンピック開幕まであと1年を切りました。来年の今頃は日本中が大いに盛り上がっていることを想像するワクワクしますね。先月弊社は「テレワーク・デイズ2019」実施団体に登録しました。自らテレワークの実施を推進していくとともに、お客様にもテレワークに関するソリューションをご提供していきますので何なりとご相談ください。さて、このテレワークは「『いつでも、どこでも、誰でも』業務をできるようにすること」が至上命題だと思います。この点では、数年前から言われている働き方改革やワークスタイル変革とほぼ同義になるかと思いますが、 「1人1端末時代」では、この『いつでも、どこでも、誰でも』だけで十分だったと思います。しかし現在は1人が複数台の端末を所有していることが多く、また、複数台保有していなかったとしてもBYOD(Bring Your Own Device)により個人端末を業務にも利用する可能性もありますので、新たに『どんな端末からでも』という文言を追記する必要が出てきていると思います。

『いつでも、どこでも、誰でも、どんな端末からでも』には”ヒト“と”端末“の特定が必要

新たに“どんな端末でも”を実現するには、管理側が“どの端末にどの程度の権限を与えるのか”をきちんと管理できる必要があります。コンピュータセキュリティの基本的概念に

  • 認証(Authentification):本人確認
  • 承認/認可(Authorization):アクセス権限(制限)
  • アカウンティング(Accounting):ユーザー情報収集・ログの記録

の3つがあり、これらの頭文字を取って一般的に『トリプルA』と呼ばれていますが、特に最初の『認証』が重要になります。残念ながら前述の「1人1端末時代」の名残があるためか、どうも『認証』=『”ヒト”の特定』に偏向しているように思います。実際に現在利用されている認証方式は「”ヒト”の特定」はできても「”端末”の特定」まではできないものがほとんどです。また『MACアドレス認 証』についてはツールを利用すればPC/スマートフォンを問わず簡単に変更できるので事実上”認証の用を為さない”とされ始めています。

認証には『”ヒト“の特定』と『”端末“の特定』が必要

クライアント証明書認証なら二要素認証も実現できる

そこで現在導入する企業が増えているのが『”端末”の特定』もできる「クライアント証明書」による認証です。上記の表の通り、 『”ヒト”の特定』は勿論のこと、 『”端末”の特定』もOSの種類を問わず実施することができます。これにより、”ヒト”と”端末”の情報が一致しなければアクセスができないという二要素認証を確立することができます。また万が一端末を紛失・盗難した場合は証明書を失効させれば良いのでセキュリティの面でも安心です。

も重要で大変なのは端末展開

良いこと尽くめのクライアント証明書認証ですが、端末展開が最も重要かつ大変な作業になります。端末に証明書を配布してインストールするためには、大別して下記の2通りの方法がありますが、どちらの方法も一長一短があり、ややもすると却って「安全でない端末の認証」や「管理者側のオーバーワーク」を招いてしまいます。

  1. ユーザーがクライアント証明書をダウンロードまたはメールで配布
    →ユーザーが証明書をコピーして未許可端末にインストールする可能性がある。
  2. 管理者が全てのユーザー端末をキッティング
    →管理者に膨大な負荷が掛かる。

そこで管理者が許可した端末だけにクライアント証明書を自動的に配布できる仕組みが必要になるのです。

どちらの端末展開方法も却って社内セキュリティを低下させる原因になり得る

「サイバートラスト デバイスID」は端末展開が楽

そのクライアント証明書配布の問題をクリアできるのが、 “デバイス証明書発行管理サービス”である「サイバートラスト デバイスID」です。このサービスには下記の特長があります。

  1. 厳格な端末管理を実現できること
    許可された端末だけにインターネット経由で証明書を自動登録できる
  2. マルチデバイス対応
    Windows、macOS、iOS搭載端末、Android搭載端末に対応
  3. マルチネットワークアクセス対応
    SSL-VPN、IPsec-VPN、有線LAN、無線LAN、Webアプリケーションなどに対応

また、iPhone/iPadについては認証だけではなく、クライアント証明書を使ってポリシーを強制適用させることができます。以前のコラムで触れましたように日本は個人端末においても業務端末においてもiOS偏重国です。 通常、iOS独自の端末固有情報である、

  • IMEI(International Mobile Equipment Identify)
  • UDID(Unique Device identify)

を使って端末認証・管理をしていくのは技術的に難しいことなのですが、「サイバートラスト デバイスID」では問題なくそれができ、下図のようなポリシー強制適用までもできてしまうのです。

iPhone/iPadへのポリシー強制適用

クラウドサービスやシングルサインオンのセキュリティ強化にも有効]

更に「サイバートラスト デバイスID」はAD(Active Directory)と連携して端末にチケット/トークンを発行し、そのチケット/トークンを以て初めてクラウドサービスやサーバにアクセスさせる(下図上半分)ようにしたり、SSO(シングルサインオン)サービスと連携してSSOサービスを利用できる端末を制限したり(下図下半分)したりすることもできます。

AD連携(上半分)とSSOサービス連携(下半分)

奇しくもオリンピック・パラリンピックイヤーと同じ2020年にサービス提供が開始される5G(第5世代移動通信システム)の利用が広まると、ますます“人”と“端末”の特定は重要性を増し、それらをきちんと管理できていない企業は社会的信頼を失う可能性が高まるでしょう。テレワーク・働き方改革・ワークスタイル変革と、きたるべき5G時代に乗り遅れないために是非「サイバートラスト デバイスID」をご検討ください。


導入事例

「Cisco ISE」+「サイバートラスト デバイスID」導入事例「サイバートラスト株式会社様」


関連情報

【レポート】徳丸 浩 氏登壇!導入事例に学ぶセキュアモバイル環境構築セミナー

【レポート】DSol Power Day2019東京

更新情報

更新情報

ログインステータス

Return Top