- ナレッジセンター
- 匠コラム
便利なSaaSをもっと安全に使うには?(Part3)
- 匠コラム
- クラウド
- コラボレーション/モバイル
- 認証
ビジネス推進本部
第1応用技術部 第1チーム
宮下 徹
はじめに
前回のPart 2では、VMware Workspace ONE UEM (以下、Workspace ONE UEMと表示します)とVMware Identity Manager (以下、vIDMと表示します)を組み合わせてクライアント証明書によるSSOを実現するための設定についてご紹介いたしました。
今回のPart 3では、Part 2で設定したSSOがどのように動作するのかを確認していきます。
さらに、Windows Infromation Protection (WIP) の設定と動作について実際の画面を用いてご説明し、SaaSからダウンロードしたファイルの持ち出しを禁止する方法について紹介させていただきます。
クライアント証明書によるSSOの動作を確認
それでは冒頭で述べたSSOの実際の動作について確認していきましょう。
Webブラウザ(Microsoft Edge)からBoxにログインした場合の動作と、Workspace ONE アプリをWindows 10で起動させてからBoxにログインした場合の動作についてご紹介します。
※ここまでの設定は、前回のコラム(Part 2)で説明していますので、そちらをご参照ください。
Webブラウザ(Microsoft Edge)からBoxにログインした場合の動作
WebブラウザからBoxにログインしようとすると、パスワードの代わりに証明書の確認ページが表示されます。Windows 10 端末にはすでにWorkspace ONE UEMから証明書が配布されていますので、OKをクリックするだけでログイン が完了し、Boxのページが表示されます。
Workspace ONE アプリからBoxにログインした場合の動作
Workspace ONE アプリからBoxにログイン する場合、アプリを起動するとユーザーに割り当てられているアプリケーション(こちらの例ではBoxとG Suite)が表示されます。BoxをクリックするとWebブラウザが起動し、パスワードの代わりに証明書の確認ページが表示され、OKをクリックするだけでログインできることが確認できます。
デバイスコンプライアンスによりログインが拒否される場合の動作
つづきましてパスコードを無効化し、
についてご紹介したいと思います。この場合は、ログインが拒否されれば期待どおりの動作ということになります。先ほどと同様にWebブラウザからBoxにログインを試みます。パスワードの代わりに証明書の確認ページが表示されるところまでは同じですが、実際には Boxにログインできずアクセスが拒否 されていることが分かります。
Windows Information Protection (WIP)
続いて、WIPについて設定をします。WIPについての説明は本コラムのPart1でご説明していますので、そちらをご参照いただければ幸いです。
さて、WIPの設定自体はWorkspace ONE UEMで実施しますが、その前にWindows 10端末上で証明書(EFSDRA証明書)を作成する必要があります。WIPはEFS (Encryption File System)を利用します。その暗号化のための証明書となります。なお、DRAは、Data Recovery Agent の略です。
[操作手順]
作成するには、Windows 10 version 1609以上のOSでコマンドプロンプトを起動します。
コマンドプロンプトで以下のコマンドを実行します。
cipher /r:EFSRA |
---|
※EFSDRAの部分は作成する .cer および .pfx ファイルの名前になります。
証明書が作成されましたら、Workspace ONE UEMからWIPを設定します。具体的にはWorkspace ONE UEMでプロファイルを作成し、Windows 10端末に配布します。
[操作手順]
1. Workspace ONE UEMにログインします
2. デバイスプロファイル/ 追加/ プロファイルを追加をクリックします
3. Windows / Windows デスクトップ/ デバイスプロファイルを選択します
4. WIPを構成します(左ペインのデータ保護をクリックします)
5. データ保護対象のアプリケーションを指定します
下図の赤枠で囲った例のように状況に合わせて設定します。今回は、BoxからダウンロードしたOfficeファイルやPDFを手元のPCでも閲覧、編集するというシナリオにし、これらに必要なアプリケーションを指定しています。
・Windows ストアのアプリかデスクトップアプリかに大別されます
・ストアアプリは、IDを指定します
※たとえば、Microsoft EdgeであればMicrosoft.MicrosoftEdge_8wekyb3d8bbweです
・デスクトップアプリは.exeの置いてあるパスを指定します
次に、保護対象のネットワークを設定します。今回のシナリオでは、Boxが保護すべき会社から認められたクラウド領域となるため、エンタープライズクラウドリソースにBoxのURLを追加します。
プライマリドメイン |
|
---|---|
保護されたエンタープライズドメイン名 |
|
エンタープライズIP範囲 |
|
エンタープライズネットワークドメイン |
|
エンタープライズプロキシサーバ |
|
エンタープライズクラウドリソース |
|
アプリケーションデータの保護レベルを指定します。今回は最も強制力の高い「データを暗号化しブロック」を選択します。こちらを選択すると上記の「データ保護対象のアプリケーション」で指定したアプリケーションが保存したデータは自動的に暗号化されます。そして、保護領域以外へのデータ移行がブロックされます。今回はBox以外のクラウドリソース(Dropboxなど)にデータをアップロードすることを禁止するシナリオを想定しています。
オフにする | データの暗号化を行わず、データ移動の監査記録も行わない |
---|---|
データを暗号化し、ユーザーがデータを企業アプリでないアプリに移動することを許可 |
|
データを暗号化し、企業アプリでないアプリにデータを移動する際、オーバーライドするかどうかを尋ねる |
|
データを暗号化しブロック |
|
その他、WIPに対する細かいポリシーを指定します。
EDPアイコンを表示 | 保護対象アプリおよび暗号化ファイルにアイコン(ブリーフケースのマーク)を表示する OR 非表示にする |
---|---|
加入解除時に失効 |
|
直接メモリアクセス | ダイレクトメモリアクセス(DMA)を許可する OR 許可しない |
データ回復証明書 | 作成した.cerファイルをアップロードする (暗号化ファイルのデータ回復に使用する回復証明書を指定) |
作成したプロファイルをWorkspace ONE UEMからWindows 10 端末に配布すれば、WIPの設定は完了です。下の図のようにチェックマークがついているかどうかで確認することができます。
WebブラウザからBoxにアクセスしてみると、URLの隣にブリーフケースのアイコンがついていることが確認できます。
さらにファイルをダウンロードすると自動的に暗号化され、こちらにもブリーフケースのアイコンがついています。この暗号化されたファイルは企業アプリ、つまりWorkspace ONE UEMで設定したアプリからしか開くことができません。
また、USBドライブに持ち出したとしても、持ち出し先のパソコンにWIPの証明書 (実際はEFSRDA証明書)がなければ復号化出来ず、ファイルを開くことはできません。また、許可されていないSaaS(今回の例ではBox以外のサイト、たとえばDropboxなど)にファイルをアップロードすることも禁止できます。
まとめ
今回は前回のコラムでご紹介した構成を実際の動作でご確認いただき、また、WIPの設定についてもご説明させていただきました。動作画面や設定画面をご覧になることで、どのようなかたちでSaaSをセキュアに利用できるようになるかを、より具体的にイメージできるようになっていただけましたら幸いです。
本コラムでは説明しきれなかった機能はまだまだたくさんございます。もしご興味ございましたら当社の営業までぜひご連絡ください。SBC(ソリューションブリーフィングセンター)といった最先端のソリューションをご覧いただける場をご用意してお待ち申し上げております。
次回は番外編としまして、本構成を設定するために欠かせないSAMLやフェデレーションの話をします。ぜひご覧ください。
関連記事
- 便利なSaaSをもっと安全に使うには?(Part1)
- 便利なSaaSをもっと安全に使うには?(Part2)
- Office 365が危ない!使えるセキュリティ対策
- クラウドサービスの情報漏えい対策~CASB(Cloud Access Security Brokers) の登場~
- モバイルでいこう
- EMMでいこう
- BYODでいこう
- iPhoneもAndroidも危ない!スマートデバイスに対して増加する脅威とその対策
- "Box" – あらゆるコンテンツを「使える」ようにする魔法の箱
執筆者プロフィール
宮下 徹
ネットワンシステムズ株式会社 ビジネス推進本部
第1応用技術部 第1チーム 所属
2004年からサーバー仮想化技術に触れ、翌年VMware社の認定資格VCP-2を取得。その後デスクトップ仮想化(VDI)、クラウドへと手を広げ現在はBusiness Mobilityの技術担当およびビジネス開発に従事し、EMM(Enterprise Mobility Management)を中心にモバイルを活用した働き方を普及させるために邁進する日々を過ごす。
Webからのお問い合わせはこちらから
ナレッジセンターを検索する
カテゴリーで検索
タグで検索