証明書とは
インターネット上で利用される証明書は「電子証明書」と呼ばれ、身分証明書のような役割を果たします。
電子証明書の一種であるクライアント証明書は、接続元であるクライアントを確認するために利用されるもので、端末を確認する「デバイス証明書」と利用者を確認する「ユーザー証明書」があります。CloudGate証明書は「デバイス証明書」になります。
CloudGate証明書は最近ではほとんどの端末に搭載されている、秘密鍵や生体情報などの秘匿データを保護・保存するための専用チップ(SE、TPM)で証明書を発行するため、より安全性が確保されます。
会社指定の端末のみアクセスを可能にする証明書認証をCloudGate UNOに追加できる本機能では、お客様の運用方法によりご利用いただく証明書を選択することが可能です。
セキュアエレメントに基づいたCloudGate証明書
端末の安全な領域に秘密鍵が保存されるため、厳密な端末制限が可能
CloudGate UNOでは、サイバートラスト社の「サイバートラスト デバイスID」 (デバイス証明書)を発行することができます。この証明書をCloudGate UNOでは、「Cybertrust証明書」とよんでいます。
CloudGate証明書はゼロトラストに基づき開発されました
ISRのサイバーセキュリティにおけるこれまでの歩み、そして新たに開発した
セキュアエレメントに基づいたCloudGate証明書をご紹介します。
リモートワークでアクセスしている「その」端末は安全ですか?
リモートワークの普及により自宅などの社外で業務をする機会は増えており、従来のIPアドレスによるアクセス制限だけではセキュリティの確保は困難です。
また、業務のクラウド化が進むことで便利になる反面、これまで想定していなかったセキュリティ事故に見舞われる可能性があります。
業務で利用するシステム・クラウドサービスにアクセスする端末を制限していなかった場合下記のようなリスクが存在します。
不正アクセス
ID、パスワードが漏洩し、システムやクラウドサービスへの不正アクセスを受けると保存されているデータの漏洩やシステムの破壊や停止、バックドアを仕掛けられるリスク等があります。
シャドーITからのアクセス
会社において許可なく利用されている端末からシステムやクラウドサービスにアクセスすることは、セキュリティの担保されていない端末が情報資産に接続するということです。マルウェアにも感染している可能性もあり情報漏洩等のリスクがあります。
業務で利用するシステム・クラウドサービスにアクセスできる端末を「証明書入り端末」に制限することで、これらのリスクを未然に防ぐことができます。
セキュアで便利な4つのポイント
会社指定の端末のみアクセス許可
会社が指定したPC・スマートデバイスからのみ、クラウドサービスへのアクセスを許可することができます。仮にログインID・パスワードが悪意のある第三者に知られてしまったとしても、デバイス証明書を保持していない端末からの不正アクセスを防ぐことができます。
また、端末紛失時などに、管理者は証明書を失効することによって、その端末からのアクセスを拒否することができます。
セキュアエレメントに基づいた
CloudGate証明書
• 許可したい端末上で管理者による認証を行うことで、証明書発行・インストールが可能。
• 秘密鍵を端末外・ネットワーク経路に一切出さない方法により、証明書の不正コピーやエクスポートのリスクを格段に軽減。
遠隔での端末指定
Cybertrust証明書
• MACアドレス・UDIDなど端末固有の識別子を事前に指定し、証明書のインストールを許可する端末を厳密に管理。
• ユーザーのメールアドレス宛に証明書インストール方法を送信しユーザー自身でダウンロード。端末固有の識別子と紐付けるため厳密な特定が可能。
詳しく知る
柔軟なアクセスルールの設定
CloudGate UNOのセキュリティプロファイル機能を利用することで、セキュリティルールをユーザー、部署、役職ごとに適用することができます。
例えば社外からのアクセスの必要がある部署や、特定の端末からのみアクセスさせたいユーザーなど、他のセキュリティルールとデバイス証明書による端末認証を組み合わせることで、柔軟なアクセスルールを設定することが可能です。
柔軟なアクセス制限機能
複数のSSOサポート
CloudGate UNOは複数のクラウドサービスに対応しています。 デバイス証明書により利用できる端末を制限できますが、ご覧のようなクラウドサービスでも利用可能で、シングルサインオンでの利便性向上とともに、同一ポリシーでの運用を各クラウドサービスに適用できます。
※スマートフォンでご利用になる場合、サービスによって証明書が使えないものもあります。
SSO機能の概要SSO連携サービス一覧
各デバイス証明書の違い
| セキュアエレメントに基づいた CloudGate証明書 | 管理者サイトでダウンロードする CloudGate証明書 | 遠隔での端末指定 Cybertrust証明書 | |
| 発行方法 | 証明書登録専用URLから | 管理者サイトから (GUIのみ) | 管理者サイトから(GUI、CSV一括) |
| 証明書配布 想定シナリオ | 管理者による登録 | PCキッティングに併せての登録や IT資産管理システム・MDM による配布 | ユーザーによる登録 |
| 端末特定情報 | シリアル番号 | ー | MACアドレス/UDIDなど ※OSによって異なる |
| メリット・ 利用シーン | 証明書の流出やコピーを防止管理者のみ証明書の発行・インストール が可能。秘密鍵を端末外に一切出さない 方法により、リスクを格段に軽減。 | 管理者が制御可能な端末に インストールするのに最適 管理者のみ証明書の発行・インストール が可能。IT資産管理システムで一括配布 が可能。 | 配布済み端末へのインストールが容易機器IDをもとに許可された端末のみへ 証明書の配布およびインストールが可能。 |
| Cybertrust証明書を詳しく知る |
