便利なSaaSをもっと安全に使うには?(Part3)

ビジネス推進本部
第1応用技術部 第1チーム
宮下 徹

 

はじめに

前回のPart 2では、VMware Workspace ONE UEM (以下、Workspace ONE UEMと表示します)とVMware Identity Manager (以下、vIDMと表示します)を組み合わせてクライアント証明書によるSSOを実現するための設定についてご紹介いたしました。

今回のPart 3では、Part 2で設定したSSOがどのように動作するのかを確認していきます。

さらに、Windows Infromation Protection (WIP) の設定と動作について実際の画面を用いてご説明し、SaaSからダウンロードしたファイルの持ち出しを禁止する方法について紹介させていただきます。

 

クライアント証明書によるSSOの動作を確認

それでは冒頭で述べたSSOの実際の動作について確認していきましょう。
Webブラウザ(Microsoft Edge)からBoxにログインした場合の動作と、Workspace ONE アプリをWindows 10で起動させてからBoxにログインした場合の動作についてご紹介します。
※ここまでの設定は、前回のコラム(Part 2)で説明していますので、そちらをご参照ください。

Webブラウザ(Microsoft Edge)からBoxにログインした場合の動作

WebブラウザからBoxにログインしようとすると、パスワードの代わりに証明書の確認ページが表示されます。Windows 10 端末にはすでにWorkspace ONE UEMから証明書が配布されていますので、OKをクリックするだけでログインが完了し、Boxのページが表示されます。

Workspace ONE アプリからBoxにログインした場合の動作

Workspace ONE アプリからBoxにログインする場合、アプリを起動するとユーザーに割り当てられているアプリケーション(こちらの例ではBoxとG Suite)が表示されます。BoxをクリックするとWebブラウザが起動し、パスワードの代わりに証明書の確認ページが表示され、OKをクリックするだけでログインできることが確認できます。

デバイスコンプライアンスによりログインが拒否される場合の動作

つづきましてパスコードを無効化し、ポリシー違反した場合の動作についてご紹介したいと思います。この場合は、ログインが拒否されれば期待どおりの動作ということになります。

先ほどと同様にWebブラウザからBoxにログインを試みます。パスワードの代わりに証明書の確認ページが表示されるところまでは同じですが、実際にはBoxにログインできずアクセスが拒否されていることが分かります。

 

Windows Information Protection (WIP)

続いて、WIPについて設定をします。WIPについての説明は本コラムのPart1でご説明していますので、そちらをご参照いただければ幸いです。

さて、WIPの設定自体はWorkspace ONE UEMで実施しますが、その前にWindows 10端末上で証明書(EFSDRA証明書)を作成する必要があります。WIPはEFS (Encryption File System)を利用します。その暗号化のための証明書となります。なお、DRAは、Data Recovery Agent の略です。

[操作手順]
作成するには、Windows 10 version 1609以上のOSでコマンドプロンプトを起動します。
コマンドプロンプトで以下のコマンドを実行します。

cipher /r:EFSRA

※EFSDRAの部分は作成する .cer および .pfx ファイルの名前になります。

証明書が作成されましたら、Workspace ONE UEMからWIPを設定します。具体的にはWorkspace ONE UEMでプロファイルを作成し、Windows 10端末に配布します。

[操作手順]
1. Workspace ONE UEMにログインします
2. デバイスプロファイル/ 追加/ プロファイルを追加をクリックします
3. Windows / Windows デスクトップ/ デバイスプロファイルを選択します
4. WIPを構成します(左ペインのデータ保護をクリックします)
5. データ保護対象のアプリケーションを指定します

下図の赤枠で囲った例のように状況に合わせて設定します。今回は、BoxからダウンロードしたOfficeファイルやPDFを手元のPCでも閲覧、編集するというシナリオにし、これらに必要なアプリケーションを指定しています。
・Windows ストアのアプリかデスクトップアプリかに大別されます
・ストアアプリは、IDを指定します 
※たとえば、Microsoft EdgeであればMicrosoft.MicrosoftEdge_8wekyb3d8bbweです
・デスクトップアプリは.exeの置いてあるパスを指定します

次に、保護対象のネットワークを設定します。今回のシナリオでは、Boxが保護すべき会社から認められたクラウド領域となるため、エンタープライズクラウドリソースにBoxのURLを追加します。

プライマリドメイン ・Windowsで参照されるプライマリドメインです

・ファイルにタグを付けるために使用されます

保護されたエンタープライズドメイン名 ・追加のドメイン名(プライマリドメイン以外)があれば入力します

・複数のリソースがある場合はパイプ(|)を区切り文字として使用します

エンタープライズIP範囲 ・企業ネットワークドメイン名と共に使用され、企業ネットワーク境界を定義します

・複数のネットワーク範囲がある場合はカンマ(,)を区切り文字として使用します

エンタープライズネットワークドメイン ・企業ネットワーク環境で使用するDNSサフィックスを入力します

・このFQDNへのすべてのトラフィックは保護されるエンタープライズIP範囲と連携し、ネットワーク上でエンドポイントが企業/個人いずれであるかを検出します

・複数のリソースがある場合はカンマ(,)を区切り文字として使用します

エンタープライズプロキシサーバ ・外部向けのプロキシサーバーアドレスを指定します

・複数のリソースがある場合はセミコロン(;)を区切り文字として使用します

・今回は設定していません

エンタープライズクラウドリソース ・企業リソースとしてWIPにより保護されるべきクラウドリソースを指定します

・複数のリソースがある場合はパイプ(|)を区切り文字として使用します

・今回はBoxのドメインを登録しています

アプリケーションデータの保護レベルを指定します。今回は最も強制力の高い「データを暗号化しブロック」を選択します。こちらを選択すると上記の「データ保護対象のアプリケーション」で指定したアプリケーションが保存したデータは自動的に暗号化されます。そして、保護領域以外へのデータ移行がブロックされます。今回はBox以外のクラウドリソース(Dropboxなど)にデータをアップロードすることを禁止するシナリオを想定しています。

オフにする データの暗号化を行わず、データ移動の監査記録も行わない
データを暗号化し、ユーザーがデータを企業アプリでないアプリに移動することを許可 ・データを暗号化する

・ユーザーに確認せず企業アプリでないアプリに移動するが、データ移動は監査記録される

データを暗号化し、企業アプリでないアプリにデータを移動する際、オーバーライドするかどうかを尋ねる ・データを暗号化する

・保護ドメイン外・保護IP範囲外・保護クラウドリソース外へのデータ移動の場合、ユーザーに確認する

・データ移動は監査記録される

データを暗号化しブロック ・データを暗号化する

・保護ドメイン外・保護IP範囲外・保護クラウドリソース外へのデータ移動をブロックする

その他、WIPに対する細かいポリシーを指定します。

EDPアイコンを表示 保護対象アプリおよび暗号化ファイルにアイコン(ブリーフケースのマーク)を表示する OR 非表示にする
加入解除時に失効 ・はい:
企業情報ワイプ後、デバイスに暗号化ファイルが残るが、ユーザーはファイルにアクセスできなくなる(EDPキー取り消し)

・いいえ:
企業情報ワイプ後、デバイスに暗号化ファイルが残り、ユーザーはファイルにアクセスできる(EDPキー取り消さず)

直接メモリアクセス ダイレクトメモリアクセス(DMA)を許可する OR 許可しない
データ回復証明書 作成した.cerファイルをアップロードする
(暗号化ファイルのデータ回復に使用する回復証明書を指定)

作成したプロファイルをWorkspace ONE UEMからWindows 10 端末に配布すれば、WIPの設定は完了です。下の図のようにチェックマークがついているかどうかで確認することができます。

WebブラウザからBoxにアクセスしてみると、URLの隣にブリーフケースのアイコンがついていることが確認できます。
さらにファイルをダウンロードすると自動的に暗号化され、こちらにもブリーフケースのアイコンがついています。この暗号化されたファイルは企業アプリ、つまりWorkspace ONE UEMで設定したアプリからしか開くことができません。

また、USBドライブに持ち出したとしても、持ち出し先のパソコンにWIPの証明書 (実際はEFSRDA証明書)がなければ復号化出来ず、ファイルを開くことはできません。また、許可されていないSaaS(今回の例ではBox以外のサイト、たとえばDropboxなど)にファイルをアップロードすることも禁止できます。

まとめ

今回は前回のコラムでご紹介した構成を実際の動作でご確認いただき、また、WIPの設定についてもご説明させていただきました。動作画面や設定画面をご覧になることで、どのようなかたちでSaaSをセキュアに利用できるようになるかを、より具体的にイメージできるようになっていただけましたら幸いです。

本コラムでは説明しきれなかった機能はまだまだたくさんございます。もしご興味ございましたら当社の営業までぜひご連絡ください。SBC(ソリューションブリーフィングセンター)といった最先端のソリューションをご覧いただける場をご用意してお待ち申し上げております。

次回は番外編としまして、本構成を設定するために欠かせないSAMLやフェデレーションの話をします。ぜひご覧ください。

関連記事

便利なSaaSをもっと安全に使うには?(Part1)
https://www.netone.co.jp/report/column/column1/20190123.html

便利なSaaSをもっと安全に使うには?(Part2)
https://www.netone.co.jp/report/column/column1/20190215.html

Office 365が危ない!使えるセキュリティ対策
https://www.netone.co.jp/report/column/column1/20170910.html

クラウドサービスの情報漏えい対策~CASB(Cloud Access Security Brokers) の登場~
https://www.netone.co.jp/report/column/column1/20161116.html

モバイルでいこう
https://www.netone.co.jp/report/column/column1/20150312.html

EMMでいこう
https://www.netone.co.jp/report/column/column1/20150531.html

BYODでいこう
https://www.netone.co.jp/report/column/column1/20150605.html

iPhoneもAndroidも危ない!スマートデバイスに対して増加する脅威とその対策
https://www.netone.co.jp/report/column/column1/201609301.html

“Box” – あらゆるコンテンツを「使える」ようにする魔法の箱
https://www.netone.co.jp/report/column/column1/20180314.html

執筆者プロフィール

宮下 徹
ネットワンシステムズ株式会社 ビジネス推進本部
第1応用技術部 第1チーム 所属

2004年からサーバー仮想化技術に触れ、翌年VMware社の認定資格VCP-2を取得。その後デスクトップ仮想化(VDI)、クラウドへと手を広げ現在はBusiness Mobilityの技術担当およびビジネス開発に従事し、EMM(Enterprise Mobility Management)を中心にモバイルを活用した働き方を普及させるために邁進する日々を過ごす。

イベント/レポート

pagetop