SaaS利用で重要になる「モバイルSSO」と「条件付き（コンディショナル）アクセス」

2017年10月31日、11月1日に開催された「vFORUM 2017 TOKYO」では、働き方改革やデジタルワークスペース構築に関する多数のセッションが実施された。ヴイエムウェアの佐川真二氏（ソリューションビジネス本部 EUC技術部テクニカルマーケティングエンジニア）が行った「Workspace ONE Deep Dive : モバイルSSOと条件付きアクセスクラウドサービス利用時の懸念（認証とセキュリティ）を解消する方法を徹底解説」の内容をレポートする。

複数クラウドサービスのID管理と認証をどう行えばよいか

　クラウドサービスが普及し、業務に応じてさまざまなサービスを使い分けるシーンが増えてきた。そのような中、以前にも増して懸念されているのがセキュリティだ。

　例えば、クラウドサービスごとに設定されたIDとパスワードをどう管理していくかというID管理の問題がある。管理するIDが増えれば覚えなければならないパスワードの数も増え、ユーザーに負担を強いることになる。ユーザーが面倒に感じ、同じパスワードを使いまわすと、今度は不正アクセスのリスクが高まってしまう。

　また、デバイスを紛失したときの認証や認可の対策も重要だ。デバイスのブラウザにはIDやパスワードが保存されている場合がある。もしデバイスにログインできてしまえば、見知らぬ人が自分のクラウドサービスに不正にアクセスされる危険性があるからだ。

　佐川氏はそうした状況について「働き方改革を進めるうえでは、サービスやデバイスのID管理や認証・認可といったセキュリティ対策は必須の条件です。ヴイエムウェアは、いつでもどこでも働くためのデジタルワークスペースを構築するプラットフォームとして『Workspace ONE』を提供しています。Workspace ONEにおいても、認証や認可をどう実現するかは重要なテーマになっています」と説明する。

　Workspace ONEは、デバイス管理の「VMware AirWatch」、ID管理の「VMware Identity Manager」、仮想デスクトップ環境構築の「VMware Horizon」で構成されるソリューションだ。各製品が連携することで高いセキュリティを確保することができる。

手間なく「モバイルSSO」を実現するには

　クラウドサービスごとのID管理の課題について佐川氏は「モバイルSSO」というアプローチがあることを紹介した。モバイルSSOとは、モバイルアプリが証明書を使ってシングルサインオン（SSO）を実現するためのソリューションだ。具体的には、AirWatchに備わる証明書を発行する認証局の機能とIdentity Managerに備わる認証機能を使って実現する。

　「モバイルデバイス上で証明書を使ったシングルサインオン環境を実現する場合、いくつか課題があります。例えば、iOSの場合、標準のキーチェーンに保存された証明書は、もともと入っているビルトインアプリでしか使えません。ユーザーが追加した業務アプリ（Officeやファイル共有サービスなど）の場合、そのアプリがアクセスできるキーチェーンへ証明書を保存する必要があります。これは AirWatch SDK を利用して開発されたアプリであれば容易に解決できますが、AppStoreにあるパブリックのアプリのほとんどはAirWatch SDKで開発されていません。そのようなアプリでも容易に証明書での認証を可能にするのが VMware のモバイルSSOです」(佐川氏)

　モバイルSSOは、証明書ベースの認証のため、IDやパスワードといった認証情報を入力する必要がなく、利便性とセキュリティを向上させることができる。また、モバイルアプリはSDKを使って開発する必要はなく、SAMLに対応しているアプリであればモバイルSSOが実現出来るため、導入と運用がしやすいことが特徴だ。

　技術的には、iOSの場合は各アプリの証明書ベースの認証にKerberosを利用し、Androidの場合はモバイルデバイス上に「VMware Tunnel」というVPN通信のアプリを使って実現する。いずれの場合も、AirWatchとIdentity Managerを使って、SAML認証と呼ばれるシングルサインオン環境で用いられる標準的な連携を実現する。また、Windows 10環境にも対応する。

セキュリティを強化する「条件付きアクセス」

　次に佐川氏は、デバイスを紛失したときなどに問題になる認証・認可について「条件付きアクセス」というアプローチを紹介した。条件付きアクセスとは、さまざまな条件に合わせて適切な認証方法を選択することでセキュリティを高める方法のことだ。

　業務で利用するアプリケーションは、社内か社外か、PCかモバイルか、アプリかブラウザか、本人かどうか、何をしようとしているかなど、多様な環境下で利用される。こうした環境で、1つの条件だけでユーザーを認証してしまうと、なりすましなどを防ぐことはできなくなる。

　例えば、デバイスを紛失してしまい、それを入手した誰かがデバイスに登録されている情報を使ってクラウドサービスに不正アクセスするようなケースだ。このときに、ユーザーが普段利用する場所以外からアクセスしたり、デバイスがJailBrakeされた状態でアクセスしたりしたことがわかれば、不正なアクセスだと検知できるようになる。条件付きアクセスでは、AirWatchとIdentity Managerを使って、そうしたさまざまな環境にあわせて適切な認証方法を提供する。

　「条件付きアクセスの利用例としては、会社支給のデバイスについては証明書で認証し、個人所有のデバイスからはアクセスを禁止するといったものがあります。また、接続元がモバイルデバイスだった場合は証明書ベースで認証し、PCのブラウザからだった場合はユーザー名とワンタイムパスワードでの二要素認証を行うといった運用も可能です」(佐川氏)

※クリックすると拡大画像が見られます

シンプルなインフラ構成で簡単に構築・運用

　証明書認証を使ってシングルサインオン環境を構築すると、IDとパスワードを使った認証なしにサービスを利用することができる。それをモバイルアプリで実現できるようにするのがモバイルSSOだ。

　ただし、デバイスを入手した誰もがアクセスできてしまえば、セキュリティレベルは低くなってしまう。そこで、証明書だけでなく、デバイスの状態をチェックして認証することでセキュリティを向上させる必要がある。それが条件付きアクセスだ。

　最後に佐川氏は「シングルサインオンや条件付きアクセスは、システム実装や運用が複雑になりがちです。ヴイエムウェアのソリューションは、シンプルなインフラ構成で、さまざまなプラットフォームをまたがったシングルサインオン環境や条件付きアクセスを簡単に構築できることがメリットです」とアピールし、講演を締めくくった。