...

PDF ダウンロードはこちら - ジェイズ・コミュニケーション

by user

on
Category: Documents
33

views

Report

Comments

Transcript

PDF ダウンロードはこちら - ジェイズ・コミュニケーション
Juniper Networks MAGシリーズで構築する
ビジネスにスマートデバイスを活かす 安心・
安全なリモートアクセスと
安全に
使える!
認証強化ガイド
iPhoneやiPadに代表されるスマートデバイスが猛烈な勢いで普及している昨今、
ビジネスの世界でもこうしたスマートデバイスを積極的に活用することで
“いつでも、 どこでも、 どのデバイスでも”業務を遂行できるようにし
自社の競争力向上につなげようとする動きが活発化している。
なかでも社員が私物として所有するスマートデバイスを業務でも使用する
BYOD(Bring Your Own Device : 私物利用)に対する関心は、
経営者側からも従業員側からも高まりをみせている。
ではこの進むマルチデバイス時代に企業はどのようなセキュリティ対策を
採るべきなのだろうか? ここではその具体例を解説する。
BYOD時代のキーワードは“N対N”
なぜスマートデバイスを使って“いつでも、
どこでも、
どのデバイスでも”会社のネットワークにアクセスし
て仕事ができるようにする必要があるのか──その
答えのキーワードは「N対N」だ。まず、N対Nの最
初のNは、社会に普及しているクライアント側のデ
バイスが多様になっている現実を指す。先述した
iPhoneやiPadをはじめ、AndroidやWindows系プラ
ットフォームのスマートデバイス、それにPCも含め
たマルチデバイス環境が一般化したことで、企業側
にもマルチデバイスへの対応が迫られているのであ
る。もう1つのNは、クライアントからアクセスする
先の多様化だ。従来であれば業務上でアクセスす
る必要があるサービスを提供するのは社内システム
に限られていたが、今では社外のクラウド・サービ
スの利用も急速に増えてきている。つまり、サービ
スの提供側もまたマルチとなっているのである。
1
スマートデバイスに欠かせない、もう一歩踏み込んだアクセス管理術
SSL-VPNとプライベート認証を
組み合わせてN対Nを実現
SSL-VPNクライアント「Junos Pulse」を用
スするにはSSL-VPNは必須だ。加えてスマ
いることでマルチデバイスにも対応。電子
ートデバイスの普及により社用と私用デバ
証明書やパスワードとの連携により認証を
イスが混在する環境では、セキュリティ上
この数年でビジネスでのクラウド・サー
強化したり、セキュリティポリシーにマッチ
考慮すべき要素も増えている。だからこそ、
ビス利用が急速に拡大した。さらには、多
しない端末からのアクセスを拒否・制限し
クライアント証明書により許可済みのデバ
様なワークスタイルがさまざまな現場で取
たりすることが可能となる。 イスを特定する仕組みが求められる。さら
り入れられるなど、社会的背景が徐々に変
に、認証した後のデバイスの管理も忘れて
わってきたことを受け、国内企業でもスマ
一方のGléasは、SSL-VPNにおける認証
はならない。これらの課題をトータルでカ
ートデバイスの活用機運が一気に高まって
強化を実現する電子証明書を発行・管理す
バーするのがMAGシリーズとGléasの連携
いる。いまやビジネスを成功させる鍵は、
るプライベート認証局(CA)製品だ。Gléas
ソリューションだ。
N対NのN同士をいかに適切に組み合わせ
ではiPhone・iPadでエンタープライズシス
るかにかかっているといっても過言ではな
テムを利用するためのセキュリティポリシ
さらに厳格なセキュリティを求める場合
い。ただここで注意しなければならないの
ーや制限、VPN構成情報などの設定情報
は、電子証明書と合わせてもう1つ別の認
は「社員からの多様なアクセス形態に対し
をまとめた構成プロファイルのインポート
証方式を組み合わせた、多要素認証を導入
て、いかに統一されたセキュリティポリシ
機能を標準装備している。これにより社員
する事例も多くある。とりわけスマートデ
ーを適用するか」である。
は、証明書を含む構成プロファイルを簡単
バイスのビジネス利用では、端末にひもづ
な操作で安全にスマートデバイスへインポ
いた認証と利用者個人にひもづいた認証を
ートすることができる。また、iOS向けの
組み合わせることが理想的だ。
とりわけ、社員がスマートデバイスから
直接クラウドにアクセスしてしまった場合
MDM機能も備えており、トラブルの発生
には、会社のゲートウェイを通過せずに通
や廃棄などの際にはデバイスロックやリモー
このほかにもMAGシリーズとGléasを利
信が可能となる。これでは、企業側からは
トワイプなどを行うことも可能となっている。
用すれば、SAML連携によってGoogle Apps
多要素認証とSAML連携も
可能な認証強化ソリューション
などのクラウド・サービスにシングルサイ
ンオンが可能となるなど、まさにN対Nの利
のなので、社員にとっての使い勝手を損な
どのようなデバイスであってもオフィス
性を提供する。このソリューリョンの具体
わないような配慮も必要だ。使う人が特に
以外の場所から社内ネットワークにアクセ
的な利用方法や効果などに解説しよう。
一切の管理が及ばなくなってしまい、セキ
ュリティ上の深刻なリスクを生じかねない。
とはいえビジネスツールとして導入するも
用環境にふさわしいユーザビリティと安全
意識せずとも高度なセキュリティを確保で
きる施策が重要である。
●SSL-VPN通信とは?
そこでジェイズ・コミュニケーションが
推奨するのが、クライアント証明書とSSL-
HTTPSによる通信
VPNを組み合わせた認証強化ソリューショ
ンの導入だ。具体的には、まずSSL-VPNを
使いオフィス外からのアクセスであっても
通信の安全性を確保したうえで、クライア
ント証明書によって許可されたデバイスの
みを認証するのである。これは、ジュニパ
ーネットワークスが提供するSSL-VPNアプ
ライアンス「Juniper Networks MAGシリ
ーズ」と、JCCH・セキュリティ・ソリュー
ション・システムズの認証局アプライアン
ス「Gléas(グレアス)
」を組み合わせること
で実現するものだ。MAGシリーズは、中小
企業やブランチオフィスなど小規模のユー
ザーから大企業やサービスプロバイダーと
いった大規模なユーザーまでに対応してお
り、さまざまな環境からのネットワーク接
続に対してアクセスコントロールと認証ポ
リシーを同時に実 行することができる。
暗号化にSSLを使用し、HTTPSで通信を行うVPN(仮想プライベートネットワーク)
。サーバー側にSSL-VPN機器を用意すれば、
クライアント側は一般的なブラウザでSSL-VPN接続を利用できる
●クライアント証明書による認証とは?
通常の ID・パスワード方式
通常のID・PASS方式
ID
●●●●●●●
PASS
●●●●●●●
悪意のある
第三者
クライアント証明書
クライアント証明書
クライアント証明書は、サ
ーバーが認証した特定の
クライアント機器に与えら
れるデジタル証明書のこ
と。この証明書が付与さ
れたクライアントからしか
接続できないので、通常
のID・PASS方 式よりも
セキュアだ
C A S E
S T U D Y
社外からiPadで仮想デスクトップやGmailを利用してみよう
いつでも、どこでも、仕事ができる環境を実現した鈴木君(仮名)の1日
iPhoneやiPadのようなスマートデバイスを
で商品カタログをみせる程度である。全社
会社の業務でも活用するためには、クライ
的に本格導入したマイナビ工業はなかなか
のホーム画面にある「Junos Pulse」起動す
アント証明書によって許可されたデバイスか
"わかっている"企業だといえるだろう。
ると、マイナビ工業のイントラネットで利用
どうかを認証するとともに、SSL-VPNでオ
リモートアクセスの設定は
クリック1回で簡単に完了
フィス外からのアクセスであっても通信の安
全性を確保するのが重要であることを前ペ
ージで解説した。ここでは実際にそうした
Pulse 』アイコンをタップして……」
。iPad
できる社内システムのブックマークが並ん
でいる。その中からGoogle Appsの表示を
をタップすると、鈴木君の業務用メールの
鈴木君はまず、情報システム部からの指
受信トレイが表示された。未読メールの中
環境でのアクセスがどのように行われるの
示に従い、社外から安全に会社のリソース
に得意先からの重要な問い合わせを見つけ
かを、架空の企業に勤めるある営業マンの
へアクセスできるように、iPadの設定を行
た彼は、すぐに返信すべく、iPadを使って
ビジネスシーンを追ってみることにしよう。
う。マイナビ工業では、iPadのリモートア
文章を打ち込みだした。
会社が営業マンにiPadを支給
仕事のやり方を改善する好機
クセスセキュリティにデバイス証明書によ
る認証を採用しているので、鈴木君も社内
で構成プロファイルのインストールを行っ
仮想デスクトップで外出先から
自席のPCにある資料を確認
鈴木君は、都内にあるマイナビ工業に就
た。iPadのブラウザから指定されたURLへ
職して3年目の営業マン。この度マイナビ工
とアクセスすると「Gléas」
「UA」と表記さ
を入れて作成した資料のうちの1つを印刷
業では、iPadを全社的に導入。すべての社
れたユーザー認証ページが表示された。あ
し忘れていたのだ。
「残業してまで作った
と、ここで思わぬ大失態に気付く。気合
員に配布して社外からでも社内ネットワー
らかじめ教えられていたユーザーIDとパス
資料なのに、デスクトップに置きっぱなし
クにアクセスできる環境を整えた。それに
ワードでログインして「構成プロファイルの
だ」
。これまでだったら、完全にアウトの状
より、社員はどこからでも、メールをセキュ
ダウンロード」と書かれたボタンを押す。こ
況だが、今日はiPadを持っている。
「そうだ、
アに利用したり、仮想デスクトップにアクセ
れだけで外出先からiPadを使う準備はOK
iPadから会社にある自分のPCに仮想デスク
スして社内リソースを活用したりといったこ
だ。SSL-VPNも使える状態になっている。
トップでアクセスして、資料のデータを見
とが可能となった。 企業がiPadを導入する
のは今ではそれほど珍しいことではなくな
ってきている。しかし、その多くは外出先
られるはずだ !」
。鈴木君は、急いでCitrix
アポイント前に
メールをチェック
Receiverのアイコンをタップ。しばらくす
ると、仮想デスクトップのログイン画面が
鈴木君がiPadを抱
表示された。Citrix Receiver用のIDとパス
えて外回りに出かけ
ワ ー ド で ロ グ オ ン す る と、 そ こ に は
た日の昼下がり、次
Windows 7のデスクトップが表示される。
の訪問先との約束ま
あとは、いつもの資料のフォルダにアクセ
で少し時間があるこ
スして必要な資料を確認。iPadでそのまま
とに 気 づ い た 彼 は、
プレゼンすることに決めた。
カフェで一休みしな
iPadでのプレゼンが功を奏したのか、商
がらメールをチェッ
談はうまくいったようだ。端からみると彼
クすることにした。
「え
はいとも簡単にiPadで社内リソースを活用
っと、メールをチェッ
しているようだが、実は高度なセキュリテ
クす るに は、
『Junos
ィ技術が連携し支え合っているのである。
●鈴木君のiPad活用ポイント
情報システム部からiPadを受け取る
iPadの設定(証明書のインストール)
外出(カフェでメールチェック)
Point!
Point!
資料の携行し忘れに気づく
リモートデスクトップで会社PCにアクセス
そのままオンスクリーンでプレゼン
帰社
Point!
無事に鈴木君のプレゼンは終わった……
この成功の舞台裏は次ページ
2
安心・安全・快適なiPadによるモバイルアクセスの“舞台裏”
を果たします。各種設定は、端末の利用時
架空の企業、マイナビ工業に勤める若手
営業マン・鈴木君が、会社から支給された
に入力するパスコードをはじめとする、さま
iPadで会社のネットワークにアクセスした
ざまなセキュリティ設定を、あらかじめ管
り、メールを利用したりして効果的に仕事
理者が意図した通りに端末に適用すること
を進めるストーリーをお届けした。いとも
ができます。
簡単に仕事でのモバイル活用を成し遂げた
JCCH・セキュリティ・ソリューション・
様子に「確かにすごく便利そうだけど、こ
システムズのプライベート認証局アプライ
んなに簡単でセキュリティは大丈夫なの?」
アンス「Gléas(グレアス)
」は、iPhoneや
という疑問を持たれた方もいることに違い
iPadでエンタープライズシステムを利用す
ない。そこで鈴木君が何気なく行った操作
るためのセキュリティポリシーや制限、
の裏で展開されている高度なセキュリティ
VPN構成情報などの設定情報をまとめた構
技術について、ジェイズ・コミュニケーシ
成プロファイルの作成およびインポート機
ョン 営業本部 マーケティング部の佐藤恭
能を標準装備しています。
平氏に説明してもらった。
鈴木君がブラウザでアクセスした「UA」
というページは「Gléas」で作成された構成
ジェイズ・コミュニケーション
営業本部 マーケティング部
佐藤恭平氏
安全な利用を支える
セキュリティ設定のインストール
プロファイルをiPadにインポートするため
のユーザー専用画面となります。管理者が
鈴木君用に作成した構成プロファイルを正
── 最初に鈴木君はリモートアクセスの設
しくインポートするために、あらかじめ管理
定を行うためにiPadに「構成プロファイル」
者が用意したユーザーIDとパスワードでロ
というものをダウンロードしていましたが、
グインする必要があります。そのあと、構
これは一体どういうものなのでしょうか。
成プロファイルのインストールボタンをタ
ップするだけで、iPadにクライアント証明
佐藤氏 : 構成プロファイルというのは、ク
書のインポートと各種設定が完了します。
ライアント証明書と各種設定で構成された
ものです。クライアント証明書を、アクセ
かに会社が支給した端末である」という事
SAML連携でクラウドに
シングルサインオン
をリモートアクセスする際に証明する役割
── 次に鈴木君はカフェからiPadでGoogle
ス元の端末にインストールすることで「確
1
1Gléasの「UA画面」 2インポートするプロファイル 3Jun
os Pulseの画面 4シングルサインオンなので、ID、パスワード
の入力をしなくても、受信トレイに直接アクセスできる 5Citrix
Receiverのログオン画面 6端末の左上にVPNの文字が表示
される7Citrix Receiverにより、iPadでWindowsを起動
2
3
つまりiPadとMAGとの間で確立した認証を
AppsをユーザーIDやパスワードを入力す
より一層強固なものにしているのです。
ることなく使っていましたが、ここでも何
Google Appsとの認証にもそのまま引き継
企業がモバイル活用する場合にとりわけ
か“裏方”が活躍していたのでしょうか。
ぐことで安全にシングルサインオンを実現
注意しなければならないのが情報漏えいで
しているわけです。また、社外にある端末
すね。仮想デスクトップならば端末側には
佐藤氏 : その通りです。鈴木君はiPadのホ
からGoogle Appsという、クラウドサービ
貴重な業務上のデータが残りませんので、
ーム画面にある「Junos Pulse」のアイコン
スへのアクセスであっても一度MAGを経由
情報漏えい防止にきわめて有効だと言える
をタップして現れたメニューからGoogle
することになるので、会社にとってもより
でしょう。あと今回の鈴木君の場合は、先
Appsにアクセスしましたよね。このJunos
安全に管理できるという点も付け加えてお
にJunos Pulseを 立 ち 上 げ て い た の で、
Pulseというのが、ジュニパーネットワーク
きましょう。
VPN接 続が 確 立していましたが、Junos
スが 提 供 す るSSL-VPNア プ ライアン ス
PulseとCitrix ReceiverはどちらもiOSが提
セキュリティを強固にする
多要素認証とオンデマンドVPN
「Juniper Networks MAGシリーズ」のSSLVPNクライアントです。Junos Pulseはマ
供しているオンデマンドVPNに対応してい
るので、Citrix Receiverを起動するとVPN
ル チ デ バ イ ス 対 応 で す の で、iOSや
── ではGoogle Appsを使った後に鈴木君
接続も自動的に行われるようになっていま
Android、Windows系プラットフォームなど
は会社にある自分のPCに仮想デスクトップ
す。つまり、鈴木君のようなユーザーが意
多様な環境での利用が可能です。また、
でアクセスしましたが、そこではどういっ
識しなくても、安全な接続ができるのです。
MAGシリーズは、小規模から大規模までの
たことが行われていたのですか。
この便利なオンデマンドVPNの機能を使う
ネットワーク接続に対してアクセスコント
佐藤氏 : Citrix Receiverのアイコンをタッ
ドの認証ではなく、電子証明書による認証
ロールと認証ポリシーを同時に実行するこ
プした後に仮想デスクトップのログイン画
が必須条件になっています。
とができる製品です。
面が 表 示されて、鈴 木 君はここにCitrix
セキュリティと言うとどうしてもシステム
ユーザーに対応し、さまざまな環境からの
ためには、これまでのようなIDとパスワー
鈴木君がJunos Pulseを立ち上げた時に、
Receiver用のユーザーIDとパスワードを入
管理者目線に陥りがちなのですが、MAGと
iPadと会社にあるMAGとの間でクライアン
れてログインしました。この時点で既にク
Gléasを使えばユーザーの利便性との両立
ト証明書による認証が行われるとともに
ライアント証明書による認証が確立してい
が実現できるということを、ぜひ知ってい
SSL-VPNのセッションが確立しています。
ますから、Citrix ReceiverのユーザーID・
ただきたいですね。
すると今度はMAGとGoogle Appsとの間で
パスワードによる認証と合わせて異なる二
SAML(Security Assertion Markup
種類の認証方式を使っていることになりま
── クライアント証明書とVPN接続の組み
Language)連携による認証が行われたので
す。こうした電子証明書と別の方式の認証
合わせはユーザーにとっても管理者にとっ
す。SAMLというのは複数のサービス間の
とを組み合わせた多要素認証を用いること
てもスマートデバイス活用に欠かせないも
認証を連携するための標準的な規格です。
で社内へアクセスする際のセキュリティを
のといえそうですね!
4
5
6
7
3
いつでも、どこでも、仕事ができるを実現するソリューション
場所・端末を選ばずセキュアな
アクセスを実現するMAGシリーズ
Google Apps などの
クラウドサービス
N対Nのリモートアクセスのコアとなるの
が、ジュニパーネットワークスのSSL-VPN
アプライアンス「Juniper Networks MAG
シリーズ」と、これと連携するSSL-VPNク
シングルサインオン
(SAML 連携)
ライアント「Junos Pulse」である。MAGシ
リーズは、SOHOや小規模のオフィスから
中規模拠点、さらには大企業の本社やサー
ビスプロバイダーといった少人数から大人
数までのユーザー数に対応できるラインナ
ジュニパーネットワークス MAG シリーズ
SSL-VPN
オンデマンド VPN で
社内リソースを利用
証明書による認証
ップが用意されている。そして、これらの
ユーザーがリモートアクセスするさまざま
な接続環境に応じて、認証ポリシーなどの
アクセスコントロールを実行することがで
プライベート CA Gléas
きるのである。一方の「Junos Pulse」は、
あらゆるデスクトップOSやスマートデバイ
スに対応したアプリケーションで、MAGシ
ング機能は、仕事をする場所やデバイスを
ー向け機能(UA)を利用することにより、
リーズと連携してSSL-VPN接続をはじめと
問わない新しいワークスタイルにはうって
簡単な操作で、安全に証明書を含む構成プ
したセキュアリモートアクセスを実現する。
つけの機能だといえるだろう。
ロファイルをインポートでき、システム管理
ダイナミックアクセス
コントロールできめ細かく制御
まずMAGシリーズの特徴となるのが、ク
セキュアなリモートアクセスに
欠かせない「Gléas」との連携
者は証明書や設定情報を構成プロファイル
でまとめることで、効 率 的 か つ 安 全 に
iPhone・iPadに配布業務ができるのだ。
さらに、MAGシリーズがSaaSアプリケ
そして、MAGシリーズと組み合わせてN
ーションとのシングルサインオンを実現す
対Nのリモートアクセスを完璧なものとする
るSAML(Security Assertion Markup
ライアントの接続環境に応じてきめ細かな
ために欠かせないのが、JCCH・セキュリ
Language)2.0に対応しているため、電子
アクセス制御を行うことができる「ダイナミ
ティ・ソリューション・システムズのプライ
証明書によるデバイス認証と組み合わせる
ックアクセスコントロール」だ。これは例え
ベート認証局製品「プライベート CA Gléas
こと で、Google AppsやOffice 365な ど の
ば、社内配布端末と持ち込み端末とで異な
(グレアス)
」だ。Gléasから発行するクライ
SAML対応サービスへの安全で簡便なシン
るセキュリティレベルを設定したり、デバ
アント証明書をデバイスに、サーバ証明書
グルサインオンも可能となる。スマートデ
イスやロケーションに応じてアクセス可能
をMAGシリーズにそれぞれ格納することに
バイスは、これまでPCの導入できなかった
な領域を制限したり、ユーザーやグループ
よって、デバイスとMAGシリーズの間で電
職種で採用されるなど、使い易さや利便性
ごとにアクセス権限を設定したりといった
子証明書を利用した相互認証によるセキュ
に大きな可能性がある。だがセキュリティ
ことを可能とする機能である。また、アク
アなリモートアクセスが可能となるのであ
を強化しようとすると、その利便性を下げ
セス時にクライアントのアンチウイルスや
る。Gléasは証明 書に加え、iPhone・iPad
てしまう場合も考えられる。iOSの場合、リ
アンチスパムが有効になっているか、シグ
でエンタープライズシステムを利用するた
モートアクセスで使うアプリケーションを
ネチャが最新であるかを判断し、適切でな
めのデバイスのセキュリティポリシーや制
立ち上げた際に自動的にVPNセッションを
い場合にはアクセス不許可のアラートを発
限、VPN構成情報、Wi-Fi設定情報、メー
確立するオンデマンドVPN機能があり、ユ
するとともに対応すべきアクションの提示
ルとカレンダーのアカウント、認証資格情
ーザーが意識をしなくても、セキュアな通
まで行うことができる。さらに、iPhoneや
報などの設定情報をまとめた構成プロファ
信が出来る仕組みがある。この便利なオン
iPadがJailbreakされているか判断して、こ
イルのインポート機能を搭載している。ユ
デマンドVPN機能を使用するためには電子
れらのデバイスからのアクセスを拒否する
ーザーはGléasに標準で搭載されるユーザ
証明書を利用した認証が必須条件なのだ。
ことも可能である。さらに、Junos Pulse
Collaboration機能により、Junos Pulseを導
入しているユーザー同士での画面共有やチ
ャットによるオンラインミーティングも可能
となっている。特にこのオンラインミーティ
「Juniper Networks MAGシリーズ」と
「プライベート CA Gléas(グレアス)」についての詳細は
https://jscom.jp/products/juniper/mag/
C o l u m n
ワンタイムパスワードというもう1つの選択肢
これまで、安心・安全なN対Nのリモー
●WisePoint(イメージングマトリクス)
トアクセスを実現するための効果的な対策
として「Juniper Networks MAGシリーズ」
と「プライベート CA Gléas」を組み合わせ
た活用法について紹介してきた。さらにこ
こでは、同じくセキュアなリモートアクセス
を 可 能とす るもう1つ の 選 択 肢 とな る、
MAGシリーズと、RADIUS対応ワンタイム
パスワード認証ソリューション「WisePoint
Authenticator(以下、WisePoint)
」とを連
7536
4041
8919
●WisePoint(マトリクスコード)
携する手法についても紹介したい。
イメージングマトリクス認証で
本人確認をより強固に!
WisePointは、モバイル端末からMAGシ
リーズにSSL-VPN接続する際に、時限的な
パスワードであるワンタイムパスワードに
よる認証を提供することできるソリューシ
ョンだ。これにより、利用者の本人認証を
よ り 強 固 と す る こ と が 可 能 と な る。
ウザだけで認証が行えるため、トークン認
WisePointの特徴の1つは、ワンタイムパス
証用デバイスを持ち歩かなくて済むのであ
ワードで一般的となっているトークン認証
る。またWisePointはこれらの認証方式に
はもちろんのこと、多様な認証方式に対応
加え、マトリクスコード認証やスマートデバ
イスの端末IDによる認証、さらにはこの2つ
き認証方式が、イメージングマトリクス認
を組み合わせての認証などにも対応してお
証だ。WisePointのイメージングマトリクス
り、ニーズに合わせた活用が可能となる。
2要素認証でリモートアクセスの
セキュリティをさらに強化 !
認証は、車や電車などの絵(イメージ画像)
の組み合わせをパスワードとするものだ。
当然ながら、MAGシリーズとGléasでの
利用者はリモートアクセスのログイン時に、
クライアント証明書による認証、そして
WisePointによるワンタイムパスワード認証
絵の中から、自分で事前に決めた絵の組み
のすべてを組み合わせれば、きわめて高い
合わせを順番にタップもしくはクリックし
安全性を手に入れることができる。それは、
ていく。すると認証サーバに情報が送られ、
社外からのリモートアクセス環境としては
組み合わせが正しければSSL-VPNのログ
理想とも言えるだろう。しかし、コスト面
インが確立する。ログインごとに各イメー
などからどちらか一方を選択しなければな
ジの位置などが変わるため、ワンタイムパ
らない企業も多いと思われる。ではそうし
スワードとしての効果を発揮するようにな
た場合、何を基準にして選べばいいのか。
っている。そして利用者がパスワードとし
まず、Gléasの場合、クライアント端末が確
て覚える必要があるのはイメージ画像であ
かに会社が許可したものであることを証明
るため、無意味なアルファベットや数字の
するものであるため、各端末の利用者が固
プライベートCA
Gléas(グレアス)
デバイスの
特定
ブラウザの画面内に縦と横に並んだ様々な
WisePoint
Authenticator
ユーザーの
特定
しているところにある。なかでも注目すべ
●Juniper Networks MAGシリーズと
WisePoint、 Gléasを併用
Juniper Networks MAG
シリーズ
(SSL-VPN接続を提供)
SSL-VPNが通信の安全性を確保し、クライアント証
明書により接続するデバイスの認証、ワンタイムパス
ワードによりユーザー認証を行うことで、リモートアクセ
ス時のセキュリティがより強固になる
組み合わせといった一般的なパスワードと
定されている場合に高い効果を発揮する。
比べるとずっと直感的であり、覚えやすい
一方のWisePointは、例えば取引先の会社
というのがメリットの1つとなっている。
のPCなどで業務を行う派遣社員のように、
利用者と端末とが紐付いていない場合に特
このようにクライアント証明書認証とワ
に有効だと言える。そのような状況では、
ンタイムパスワード認証それぞれの特徴を
通常のトークン認証の場合には専用のデ
バイスを持ち歩く必要があり、またデバイ
端末のハードウェアに何かを加えたりする
理解したうえで、自社の業務内容やセキュ
スが電池切れなどを起こした場合にはアク
ことは難しいが、WisePointならばブラウザ
リティポリシー、そしてコストなどに応じて
セスができなくなる。しかし、WisePointの
さえあれば本人認証されたSSL-VPNでのリ
最適なリモートアクセス環境を検討してい
イメージングマトリクス認証は端末のブラ
モートアクセスが可能となるからである。
ただきたい。
Juniper Networks MAGシリーズ
プライベート CA Gléas
Junos Pulse
Wise Point Authenticator
お問い合わせ
※本誌は2012年9月からマイナビニュースで連載開始された「スマートデバイス活用環境構築の手引き」を
加筆・再編集したものです/筆者:タマク © 2013マイナビ
Fly UP