製品・サービス

RADIUS GUARD 技術コラム Part. 1

SCSK技術コラム Office 365運用におけるセキュリティ強化としての端末認証の追加

Office 365を導入し運用するとき、ログイン認証をユーザID/パスワードだけで行っていると、パスワード漏洩などのさまざまなセキュリティリスクに対応することができません。このため、「Microsoft Azure Active Directory」や、「Active Directory フェデレーション サービス (AD FS) 」では多要素認証を含めた認証強化の仕組みが準備されています。

多要素認証の仕組みを導入することで、Office 365にログイン可能な端末を認められた端末に制限することが可能となります。多要素認証の仕組みである「Active Directory Authentication Library (ADAL) 」によって、さまざまな多要素認証の仕組みが先進認証としてマイクロソフトから提供されており、端末、OSなどの利用環境に依存しない認証の仕組みが構築可能となってきました。(ADALで導入可能な認証方式の詳細や、対応端末情報などについては個別に構築ベンダ様と協議が必要となります)。このため、Office 365環境の新規構築や導入において、ユーザ認証だけでなく、端末認証も含めたセキュリティ強化を検討するユーザが増えています。
ここではクライアント証明書による端末認証の導入について、RADIUS GUARD SのCA機能を用いたクライアント証明書管理のメリットについて説明します。

クライアント証明書による端末認証を行う場合、必要な要素としてCAサーバもしくはクライアント証明書発行サービスを利用し、クライアント証明書を要する必要があります。Office 365を導入し、ADFSによる連携を行う場合、多くは既設や自前で構築されたADサーバにおいてCAサーバを運用することをはじめに検討するユーザがほとんどではないでしょうか。ADサーバは汎用サーバとしてもさまざまなサービスを提供可能なため、CAサーバとしても運用することが可能で、Office 365の端末認証にも利用可能となります。

しかしADサーバで構築を行う場合、多くのユーザは下記のハードルにより挫折することになります。

ADサーバで構築するハードル:

  • クライアント証明書の管理機能が貧弱
  • Windows OS以外の端末に対する配布管理が困難

これらのハードルを解決するには、フルスクラッチに等しい作り込みをADサーバ上で行う必要があるため、現状では上記を解決するために多くのコストと管理負担を覚悟する必要がありました。また、Windows OSであっても、ドメイン非参加の端末の場合、グループポリシーによる証明書配付を行うことができません。このため、クライアント証明書による端末認証を検討はしたものの、導入を見送るユーザが多い状況です。

RADIUS GUARD SはCAサーバ機能を実装しており、Wi-Fi環境での802.1x(TLS)認証で利用するクライアント証明書や、VPN接続時に必要となる端末認証用のクライアント証明書の発行機能を有しており、以前よりスマートデバイスを含めたさまざまな端末へのクライアント証明書の配付と、管理機能を有しています。このため、前述のような課題を抱えたユーザからの相談に答え、Office 365でも利用可能なクライアント証明書の発行機能の実装を行いました。これにより、端末認証を行いたいユーザの要望に応えることができるようになりました。

RADIUS GUARD Sは次の機能を提供します。

RADIUS GUARD Sの機能:

  • Office 365 環境にも利用できるクライアント証明書の発行
  • ADサーバと連携した証明書申請ワークフローの提供
  • 配布管理が可能な証明書ダウンロード機能の提供

RADIUS GUARD Sが実装するCAサーバ機能では、管理者によるクライアント証明書管理の負担軽減を実現しつつWindows OS以外の端末に対するクライアント証明書の配付を助ける機能を提供します。

SCSK技術コラム Office 365運用におけるセキュリティ強化としての端末認証の追加

RADIUS GUARD Sを導入し、クライアント証明書の発行を行うことで、導入が困難であったOffice 365環境での端末認証が実現可能となります。

  1クライアント証明書の月額換算維持費用(※)
2,500 初年度 約70円~/1クライアント証明書
次年度 約20円~/1クライアント証明書
5,000 初年度 約44円~/1クライアント証明書
次年度 約13円~/1クライアント証明書

※CAアプライアンスとして1台のRADIUS GUARD Sを
24時間365日オンサイト保守で運用した場合

本製品・サービスについてのお問い合わせ

ITプロダクト&サービス事業本部 ネットワーク部
TEL 03-5859-3034
FAX 03-5859-3102

お問い合わせフォーム