SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

Workspace ONE ブログ 〜 コンディショナルアクセスとは 〜

仮想化
2019.12.09

こんにちは。 SB C&S の市島です。
私は VMware 製品のプリセールスエンジニアチームに所属しており、主に Workspace ONE を担当しております。本ブログは、Workspace ONE に関連する情報を発信していきます。
今回は、 Workspace ONE の重要な機能、コンディショナルアクセス(条件付きアクセス)についてお伝えします。

●コンディショナルアクセスはWorkspace ONE の重要機能

Workspace ONE は様々な機能を持った製品です。デバイスの統合管理を行う統合エンドポイント管理( Unified Endpoint Management )の機能、企業ファイル(コンテンツ)やEメールへのアクセス制御を行う機能、クラウドサービスへのシングルサインオンを提供する機能、デバイス・アプリデータの収集・レポート・自動化を行う機能など様々な機能があります。

そんな Workspace ONE の数ある機能のなかで、「Workspace ONEの1番売りとなる機能はなにか?」と問われたときに私がお答えするのは、「コンディショナルアクセス(条件付きアクセス)」の機能です。
今回のブログでは Workspace ONE のコンディショナルアクセス機能を詳しくご紹介します。

●コンディショナルアクセスとは?

コンディショナルアクセスは、条件付きアクセスとも呼ばれます。名前の通り、アクセスするユーザーやデバイスのコンディション・条件に基づきアプリケーションへのアクセスをコントロールします。

更に具体的にご説明していきます。
Workspace ONE のコンディショナルアクセスでは、「誰が」「どの場所から(どこのネットワークから)」「何のデバイスで」「何のアプリケーションを利用するか」などの条件を元に"アクセスを許可する/拒否する"といった制御が可能な機能です。
更に、アクセスを許可する場合も「どのような認証を必要とするか」を定義することができます。
WS1_CA01.png例えば、以下のような制御を実現します。
【例1】クラウドサービスにアクセスした際に社内のネットワークからのアクセスであれば ID /パスワードによる認証でアクセスを許可。ただし、同じユーザー、同じデバイスからのアクセスであっても社外ネットワークからのアクセスであれば、ID /パスワード漏洩によるなりすまし対策を疑いスマートフォンを使用した多要素認証を求める。

【例2】セキュリティレベルの高い情報が保存されている一部の業務アプリケーションだけ、クライアント証明書がインストールされた会社支給デバイスからのみアクセスできるように、ID/パスワードの認証とクライアント証明書認証を求める。

このような柔軟なアプリケーションアクセス制御が Workspace ONE のコンディショナルアクセスで実現できます。


●コンディショナルアクセスの設定

このようなクラウドアプリケーションへのアクセス制御と言えば Microsoft のActive Directory フェデレーションサービス (AD FS)を思い浮かべる人も多いのではないでしょうか? AD FSというと少し敷居が高く、クレームルールを作成・メンテナンスするのは大変というイメージも少なくないと思います。
では、Workspace ONEのコンディショナルアクセスも設定が大変なのか?というとそんなことはありません。GUI の WEB 管理画面から簡単に設定することができます。コンディショナルアクセスの基本的な設定は Workspace ONE Access (旧名: VMware Identity Manager) で行います。

Workspace ONE Access の管理画面にアクセスし[IDとアクセス管理]-[管理]-[ポリシー]を開きます。このポリシー設定画面からコンディショナルアクセスの設定を行います。
WS1_CA02.png

[ポリシーを追加]をクリックすると、下記のような新規のアクセスポリシー追加画面が表示されます。ポリシーの名前と説明、対象となるアプリケーションを定義します。この定義するアプリケーションは複数選択することも可能です。

WS1_CA03.png

次の構成画面でアプリケーションへのアクセスに関するルールを作成します。
「どの場所から(どこのネットワークから)」「何のデバイスから」「誰が(どのグループか)」「アクセスを許可するか/拒否するか」「どのような認証を求めるか」をそれぞれ画面のプルダウンからクリック操作で選択します。

WS1_CA04.png

上記キャプチャ画像の例の場合、
【ユーザー】 ws1demo-Usersグループに所属しているユーザーが、
【場所】東京オフィスから、
【デバイス】Windows 10 を使用し、
【アプリ】Office 365にアクセスを試みた場合(前の画面で指定)、
【認証】ID/パスワード認証と VMware Verify の認証(スマートフォン認証)が完了すれば、
【アクセス可否】アクセスを許可する、
といった設定が作成されます。
上記の様な手順を繰り返し、デバイスがiOSの場合、場所が社外からの場合、その他の場合など、複数のアクセスポリシーを作成し、企業のポリシーとして適したアクセス条件を定義します。
このように、簡単な GUI 操作でアプリケーションアクセスのルールを作成することができます。

※補足
・場所の設定はグローバル IP アドレス範囲を事前に定義します。例えば、本社の社内ネットワークからのアクセスの場合は"このグローバル IP アドレス範囲"、拠点からのアクセスの場合は"このグローバル IP アドレス範囲"、といった様に設定します。
・VMware Verify は Workspace ONE で使用できるセキュリティトークン認証用のスマートフォンアプリです。ID /パスワードを使用した知識ベース認証に加え、スマートフォンを使用した所有物認証を行うことができます。

■VMware Verify を使用したスマートフォン認証のイメージ
WS1_CA05.png

●デバイスコンプライアンス

Workspace ONE のコンディショナルアクセスでは、デバイスの状態をアプリケーションへのアクセス条件に追加することができます。それが「デバイスコンプライアンス」です。
これは、Workspace ONE がデバイス管理機能と認証機能の双方を持つ製品だからこそできる最大の特徴です。

Workspace ONE はWorkspace ONE UEM (旧名: AirWatch )によってデバイスを管理し、そのデバイスが IT 管理者が定義したポリシーを守った状態になっているかどうかをウォッチする順守ポリシーという機能を持っています。
この機能を使用すると、例えば「OSのバージョンが指定されたもの以上のバージョンを使用しているか?」「ウイルス対策ソフトの状態が良好か?」「ディスクが暗号化されているか?」「スマートフォンが Jailbreak/root化されていないか?」など、企業デバイスとしてのコンプライアンス状態に問題が無いかを確認します。
WS1_CA06.png


この順守ポリシー機能を使用した「デバイスコンプライアンス」のチェックと「コンディショナルアクセス」を組み合わせることで、たとえ利用を許可されたアプリケーションであっても、安全なデバイスからのみアクセスを許可し、企業のコンプライアンスを満たさない危険なデバイスからのアクセスはブロックすることができます。
下記イメージは利用を許可されたアプリケーション(Salesforce)をユーザーが実行しようとしていますが、Windows デスクトップのウイルス対策ソフトの状態が企業のポリシーを満たしていないため、デバイスコンプライアンスのチェックによりアクセスがブロックされています。
WS1_CA07.gif

デバイスコンプライアンスの設定はとても簡単です。先程ご紹介したアプリケーションへのアクセスルールを作成する画面で、認証方式に「デバイスコンプライアンス(AirWatch)」を選択して追加するだけです。これだけでアプリケーションアクセス時にWorkspace ONE Access から Workspace ONE UEM に対して、アクセス要求を行ったデバイスの状態確認処理が行われます。
WS1_CA08.png

※補足
このデバイスコンプライアンスは、証明書ベースの認証と組み合わせる場合のみ利用できます。 Workspace ONE UEM に登録されているデバイスを、クライアント証明書内の UDID の値で判断します。そのため、ID /パスワード認証+デバイスコンプライアンスといった組み合わせは利用できません。

●まとめ

今回のブログで詳しくご紹介させていただいたコンディショナルアクセスの機能である「誰が利用するか」「どの場所からか」「何のデバイスか」「何のアプリケーションを利用するか」「デバイスの状態は問題ないか」といった、細かい各要素を確認(検証)してアクセスを制御する環境はゼロトラスト ネットワーク(ゼロトラスト セキュリティ)とよばれ昨今話題となっています。
昨今の働き方の変化により、働く場所・デバイス・アプリケーションがどんどん多様化しており、従来の社内ネットワーク環境を前提としたアプリケーションアクセス制御の仕組みではコントロールしきれないため、すべてを信用せずに確認する、ゼロトラストの考え方が必要とされています。Workspace ONEはゼロトラストの環境を実現することができ、現代の働く環境に適応したソリューションです。

今回ご紹介した Workspace ONE のコンディショナルアクセスは進化を続けており、一部のセキュリティ対策製品との連携も可能になっています。また、さらに今後AI・機械学習を活用したリスク分析機能などが追加される予定です。本ブログでは最新情報も合わせ Workspace ONEの情報を発信していきますので引き続きご確認頂けると幸いです。


VMware の各種製品情報や SB C&S が提案する仮想化ソリューションについての情報はこちらから
licensecounter_logo.png

製品情報はこちら

著者紹介

SB C&S株式会社
技術統括部 第1技術部 3課
市島 拓弥