※本ブログは2019年12月に公開されたブログを一部更新した内容です。

こんにちは。 SB C&S の市島です。
私は VMware 製品のプリセールスエンジニアチームに所属しており、主に Workspace ONE を担当しております。本ブログは、Workspace ONE に関連する情報を発信していきます。
今回は、 Workspace ONE の重要な機能、コンディショナルアクセス（条件付きアクセス）についてお伝えします。

●コンディショナルアクセスはWorkspace ONE の重要機能

Workspace ONE は様々な機能を持った製品です。デバイスの統合管理を行う統合エンドポイント管理( Unified Endpoint Management )の機能、企業ファイル(コンテンツ)やEメールへのアクセス制御を行う機能、クラウドサービスへのシングルサインオンを提供する機能、デバイス・アプリデータの収集・レポート・自動化を行う機能など様々な機能があります。

そんな Workspace ONE の数ある機能のなかで、「Workspace ONEの１番売りとなる機能はなにか？」と問われたときに私がお答えするのは、「コンディショナルアクセス(条件付きアクセス)」の機能です。
今回のブログでは Workspace ONE のコンディショナルアクセス機能を詳しくご紹介します。

●コンディショナルアクセスとは？

コンディショナルアクセスは、条件付きアクセスとも呼ばれます。名前の通り、アクセスするユーザーやデバイスのコンディション・条件に基づきアプリケーションへのアクセスをコントロールします。

更に具体的にご説明していきます。
Workspace ONE のコンディショナルアクセスでは、「誰が」「どの場所から(どこのネットワークから)」「何のデバイスで」「何のアプリケーションを利用するか」などの条件を元に"アクセスを許可する/拒否する"といった制御が可能な機能です。
更に、アクセスを許可する場合も「どのような認証を必要とするか」を定義することができます。
例えば、以下のような制御を実現します。

【例1】クラウドサービスへアクセスした際に社内のネットワークからのアクセスであれば ID /パスワードによる認証でアクセスを許可。ただし、同じユーザー、同じデバイスからのアクセスであっても社外ネットワークからのアクセスであれば、ID /パスワード漏洩によるなりすまし対策を疑いスマートフォンを使用した多要素認証を求める。

【例2】セキュリティレベルの高い情報が保存されている一部の業務アプリケーションだけ、クライアント証明書がインストールされた会社支給デバイスからのみアクセスできるように、ID/パスワードの認証とクライアント証明書認証を求める。

このような柔軟なアプリケーションアクセス制御が Workspace ONE のコンディショナルアクセスで実現できます。

●コンディショナルアクセスの設定

このようなクラウドアプリケーションへのアクセス制御と言えば Microsoft のActive Directory フェデレーションサービス (AD FS)を思い浮かべる人も多いのではないでしょうか？ AD FSというと少し敷居が高く、クレームルールを作成・メンテナンスするのは大変というイメージも少なくないと思います。

では、Workspace ONEのコンディショナルアクセスも設定が大変なのか？というとそんなことはありません。GUI の WEB 管理画面から簡単に設定できます。コンディショナルアクセスの基本的な設定は Workspace ONE Access で行います。

Workspace ONE Access の管理画面にアクセスし[IDとアクセス管理]-[管理]-[ポリシー]を開きます。このポリシー設定画面からコンディショナルアクセスの設定を行います。

[ポリシーを追加]をクリックすると、下記のような新規のアクセスポリシー追加画面が表示されます。ポリシーの名前と説明、対象となるアプリケーションを定義します。この定義するアプリケーションは複数選択することも可能です。

次の構成画面でアプリケーションへのアクセスに関するルールを作成します。
「どの場所から(どこのネットワークから)」「何のデバイスから」「誰が（どのグループか）」「アクセスを許可するか/拒否するか」「どのような認証を求めるか」をそれぞれ画面のプルダウンからクリック操作で選択します。

上記イメージの例の場合、
【ユーザー】 ws1demo-Usersグループに所属しているユーザーが
【場所】東京オフィスから
【デバイス】Windows 10 を使用し
【アプリ】Office 365にアクセスを試みた場合（前の画面で指定）
【認証】ID/パスワード認証と Verify の認証(スマートフォン認証)が完了すれば
【アクセス可否】アクセスを許可する
といった設定が作成されます。
上記の様な手順を繰り返し、デバイスがiOSの場合、場所が社外からの場合、その他の場合など、複数のアクセスポリシーを作成し、企業のポリシーとして適したアクセス条件を定義します。
このように、簡単な GUI 操作でアプリケーションアクセスのルールを作成することができます。

※補足
・場所の設定はグローバル IP アドレス範囲を事前に定義します。例えば、本社の社内ネットワークからのアクセスの場合は"このグローバル IP アドレス範囲"、拠点からのアクセスの場合は"このグローバル IP アドレス範囲"、といった様に設定します。
・Verify(Intelligent Hub) は Workspace ONE UEMで管理されたスマートフォンを使用するセキュリティトークン認証です。ユーザーがログインを試みた際、Workspace ONE UEMによって管理されたデバイスにログイン確認の通知が表示されます。ID /パスワードを使用した知識ベース認証に加え、スマートフォンを使用した所有物認証を行うことができます。

■Verify を使用したスマートフォン認証のイメージ

以上がWorkspace ONE Accessが提供するコンディショナルアクセスの概要ですが、この機能は他のWorkspace ONE製品と連携することで更に高度な機能を実現します。

●コンディショナルアクセス + Workspace ONE UEM

コンディショナルアクセスはWorkspace ONE UEMのデバイス管理機能と連携し、デバイスの状態をアプリケーションのアクセス条件に追加することができます。これは、Workspace ONE がデバイス管理機能と認証機能の双方を持つ製品だからこそできる最大の特徴です。

デバイスの状態をチェックする機能はWorkspace ONE UEMの「順守ポリシー」という機能です。企業デバイスが 、IT 管理者が定義したポリシーを守った状態になっているかどうかをチェックします。また、この順守ポリシーはデバイスコンプライアンス ポリシーとも呼ばれます。

・順守ポリシーとは

順守ポリシーの機能を使用すると例えば、
「OSのバージョンが指定された以上のバージョンになっているか？」
「ウイルス対策ソフトの状態が良好か？」
「ディスクが暗号化されているか？」
「スマートフォンが Jailbreak／root化されていないか？」
など企業デバイスとしてのコンプライアンス準拠状態に問題が無いかを確認します。もし、デバイスのポリシー違反を発見した場合はユーザーや管理者に通知を送信したり、企業デバイスの設定を変更する自動アクションを定義することが可能です。

上記でご紹介しているポリシーはほんの一部です。どのようなポリシーを設定できるかについてはVMwareのドキュメント[順守ポリシー ルールの説明]をご参照下さい。

※補足
デバイス毎に設定できるポリシーが異なります。上記とあわせて[プラットフォーム別の順守ポリシー ルール)]もご確認下さい

この順守ポリシーは、Workspace ONE UEMの管理コンソールからGUIの画面操作で簡単に設定することができます。様々なポリシールールや自動アクションを、プルダウンからクリック操作で設定が可能です。

設定した順守ポリシーに違反しデバイスが非順守状態として判断されると、以下の様にWorkspace ONE UEMの管理コンソールで赤い警告マークが対象のデバイスに表示されるようになります。

・順守ポリシーとコンディショナルアクセスの連携

この「順守ポリシー」と「コンディショナルアクセス」を組み合わせることで、企業のポリシー（コンプライアンス）に準拠していない危険なデバイスからの企業アプリケーション利用を制限することができます。

Workspace ONE UEMで定義した順守ポリシーに違反し、非順守状態(コンプライアンス違反状態)として判断されたデバイスをユーザーが利用していた場合、たとえそのユーザーが利用を許可されたアプリケーションであってもアクセスがブロックされます。

下記イメージは利用を許可されたアプリケーション(Salesforce)をユーザーが実行しようとしていますが、Windows デスクトップのウイルス対策ソフトの状態が企業のポリシーを満たしていないため、コンプライアンスのチェックによりアクセスがブロックされています。

この機能をコンディショナルアクセスのルールに追加するのはとても簡単です。アプリケーションへのアクセスルールを作成する画面で、認証方式に「Workspace ONE UEMとのデバイス順守」を選択して追加するだけです。これだけでアプリケーションアクセス時にWorkspace ONE Access から Workspace ONE UEM に対して、アクセス要求を行ったデバイスの状態確認処理が行われます。

※補足
このデバイスコンプライアンスは、証明書ベースの認証と組み合わせる場合のみ利用できます。 Workspace ONE UEM に登録されているデバイスを、クライアント証明書内の UDID の値で判断します。そのため、ID /パスワード認証＋デバイスコンプライアンスといった組み合わせは利用できません。

●コンディショナルアクセス + Workspace ONE Intelligence

コンディショナルアクセスはWorkspace ONE Intelligenceとも連携します。

Workspace ONE Intelligenceは、Workspace ONE UEMで管理している企業デバイスの情報やWorkspace ONE Accessで認証されたユーザーのクラウドサービス利用の情報、Carbon Black などのセキュリティ製品からの情報など、様々な情報を収集しダッシュボード表示・レポート・自動化を行うWorkspace ONEのコンポーネントです。

さらにWorkspace ONE Intelligenceは収集した様々なデータを機械学習によって分析しデバイスやユーザーの持つリスクをスコア化する機能、Risk Scoringが提供されています。

・Risk Scoringとは

Risk Scoringは、例えば以下のような振る舞いや検知した情報をリスクのある動作とし、ユーザーを[Low(リスク低)]・[Medium(リスク中)]・[Hight(リスク高)]にスコアリングします。

• デバイスの更新を怠り、デバイスの脆弱性を放置している
• Windowsファイアウォールなどセキュリティ設定を無効にしている
• 短期間に数多くのアプリをインストールしている
• 通常とは異なるアプリをインストールしている
• Carbon Blackがセキュリティ脅威を検知してアラートが発生している

・Risk Scoringとコンディショナルアクセスの連携

この「リスクのスコアリング機能」と「コンディショナルアクセス」を組み合わせることで、より高度にデバイス状態・ユーザーの状態を分析した企業アプリケーション利用のアクセスコントロールができるようになります。

例えば以下のようなスコアに応じたアクセスコントロールを定義できます。

• [Low(リスク低)]のユーザーは、シングルサインオンでスムーズにアプリを利用
• [Medium(リスク中)]のユーザーは、追加認証としてスマートフォンを使った本人確認(Verify)を行う
• [Hight(リスク高)]のユーザーは、アプリの利用をブロックする

また、2021年2月にはログインリスクスコアと呼ばれる新たな機能が追加されました。ユーザーがいつもアプリケーションへログインを行っている場所(地域)を学習し、ログイン要求が突然遠くの場所から発生した場合に不正アクセスを疑ってアクセスを制御することができるようになります。

このように「コンディショナルアクセス」＋「Workspace ONE Intelligence」は機能強化が進んでおり、今後のアップデートも注目される重要な機能です。

●まとめ

今回のブログで詳しくご紹介させていただいたコンディショナルアクセスの機能である「誰が利用するか」「どの場所からか」「何のデバイスか」「何のアプリケーションを利用するか」「デバイス/ユーザーの状態は問題ないか」といった、細かい各要素を確認(検証)してアクセスを制御する環境はゼロトラスト セキュリティとよばれ昨今話題となっています。

昨今の働き方の変化により、働く場所・デバイス・アプリケーションがどんどん多様化しており、従来の社内ネットワーク環境を前提としたアプリケーションアクセス制御の仕組みではコントロールしきれないため、すべてを信用せずに確認する、ゼロトラストの考え方が必要とされています。Workspace ONEはゼロトラストの環境を実現することができ、現代の働く環境に適応したソリューションです。

今回ご紹介した Workspace ONE のコンディショナルアクセスは進化を続けています。本ブログでは最新情報も合わせ Workspace ONEの情報を発信していきますので引き続きご確認頂けると幸いです。

---

VMware の各種製品情報や SB C&S が提案する仮想化ソリューションについての情報はこちらから