SaaSに対して、モバイルネイティブアプリからでも強固なシングルサインオンを実現

2017年10月31日〜11月1日に開催された「vFORUM 2017 TOKYO」では、スマートフォンやSaaSを安全に利用する方法を紹介するさまざまなセッションが実施された。そのなかから、ヴイエムウェアのソリューションビジネス本部 EUC技術部スペシャリスト SE田邉真一氏によるセッション「スマホ + Office 365のセキュリティを劇的に向上する方法」の内容をレポートする。

SaaSアプリのセキュリティを担保する2つアプローチ

　モバイルデバイス上からOffice 365に代表されるSaaSアプリを利用する機会が増えてきている。モバイルは、スマートフォンからタブレット、2 in 1 PCまでさまざまなモデルやOSが存在する。SaaSも、顧客管理や営業支援、経費精算、プロジェクト管理など、業務ごとに便利なサービスが展開されている状況だ。

ヴイエムウェア
ソリューションビジネス本部
EUC技術部スペシャリストSE 田邉真一氏

　そうしたなか企業の課題になってきたのが、SaaSアプリのセキュリティをどう確保していくかということだ。SaaSアプリは、ユーザー名とパスワードさえあれば、誰でも、どこからでも、どのデバイスからでもアクセスできてしまう。それらをどう効率的に管理していくかが多くの担当者にとって悩みの種になっている。

　田邉氏はまずそうした状況に対する解決策は大きく2つあると指摘し、次のように解説した。

　「1つは、ブラウザやローカルアプリからSaaSに対してログインさせるか、させないかという、認証基盤側でセキュリティを実装するというアプローチです。その際には、シングルサインオンを実現したり、さまざまな条件をチェックしてログインさせたりするIdentity Provider（IdP）としての認証機能がポイントです。もう1つは、デバイス側をセキュアな環境にすることで企業情報を外に出さないというアプローチです。デバイスのOSが更新されていなかったり、不正改造されたりしたことをチェックし管理する必要があります」

　どちらか一方だけでは対策が不十分になりがちであり、認証基盤側からとデバイス側からの両方のアプローチを組み合わせることが重要だ。そうした環境を実現するのが「VMware Workspace ONE」だ。

認証基盤の「VMware Identity Manager」と統合デバイス管理の「VMware AirWatch」が連携

　Workspace ONEはプラットフォームとしてさまざまなソリューションを提供しているが、ここで注目したいのはそのうち2つだ。1つは、認証基盤としての機能を提供するIdentity Managerだ。AirWatchと連携したデバイス認証を特徴としたシングルサインオン環境を構築することができる。もう1つは、Windows 10デバイスやIoTデバイスを含むあらゆるエンドポイントの統合管理を行うためのAirWatchだ。エンドポイントのデバイスをクラウドから管理し、OSが最新かどうか、不正改造がされていないかなどをチェックすることができる。

　田邉氏によると、IdPに求められる機能のうち特に重要なのが「シングルサインオン機能」と、さまざまな認証条件を設定する「セキュリティチェック機能」だ。

　「モバイルデバイスでSaaSを利用するたびに、異なるIDとパスワードを入力するようでは利便性が大きく損なわれてしまいます。そこで、シングルサインオンを実現することがカギになってきます。ただ、シングルサインオンだけでは不十分です。アクセス元が正しいIPか、証明書を持っているかといった条件に応じたアクセスを合わせて実施する必要があります」(同氏)

　IdPだけでは、これらを実現していくことは難しいという。田邉氏はこう続ける。

　「今までの業務システムは基本的に社内に存在し、アクセスできるデバイスも基本的にはドメインに参加しているWindows PCのみ。このような状況下では、グループポリシーなどを設定して、セキュアなデバイスだけを社内ネットワークにつなぐという構成が容易に実現できました。対象の業務システムがSaaSに変遷していくと、今あるIdPの機能だけでは、今まで実現できていたデバイス認証的な要素が抜け落ちてしまうのです。例えば、証明書を持っていたとしても、安全なデバイスかどうかは確認できません。ドメインに参加していないiOS/Androidのようなデバイスのセキュリティをどう担保するか。そこで認証時にデバイスの状態を確認する仕組みが必要になってきます」(同氏)

　つまり、Workspace ONEは、認証基盤のIdentity Managerと、統合デバイス管理のAirWatchが連携して、SaaSアプリのセキュリティを担保していくわけだ。

モバイルネイティブアプリもシングルサインオンが可能に

　そのうえで、田邉氏は、Workspace ONEが提供するさまざまな認証機能についてデモを交えて紹介していった。

　Workspace ONEでは、SaaSアプリを利用する際に最初にアクセスするためのポータルサイトが用意される。そのポータルサイトに一度ログインすれば、Workspace ONEに登録されている、Office 365を初めとしたすべてのSaaSアプリについて、再び認証情報を入力することなく利用することが可能だ。ポータルを経由せずにOffice 365を直接起動する場合も、適切な環境であればシングルサインオンが行われてすぐにOffice 365を利用できる。

　また、「モバイルSSO」と呼ばれる機能を使うと、ブラウザベースのアクセスだけでなく、モバイルネイティブアプリによるログオン時にもシングルサインオンが可能になる。例えば、Office 365のスマホ向け「Outlook」、「Word」、「Excel」といったアプリやSalesforceのアプリ「Salesforce1」、経費精算アプリ「Concur」、人事管理アプリ「Workday」などをデバイス上で利用する際に、Workspace ONEを利用していれば、アプリ上で面倒なユーザー名/パスワードを入力することなく、自身のアカウントでログインした状態で利用を開始することが可能だ。

　また、デバイス認証と組み合わせることで、さまざまな条件下でのアクセス制御(コンディショナルアクセス)や、デバイスの状態に応じたアクセス制御(コンプライアンスチェック)も可能だ。コンプライアンスチェックでは、「パスコードを削除した」「暗号化を解除した」「OSのバージョンが古いまま」「IT部門が禁止しているアプリを利用している」「端末が侵害されている」ことなどをチェックして、アクセスを拒否できる。

　そのほかにも、仮想アプリケーションおよび仮想デスクトップ ソリューションである「Horizon」を活用することで仮想化されたレガシーな社内アプリへのシングルサインオンを実現したり、スマホを利用した多要素認証を行ったりすることもできる。

　最後に田邉氏は「Workspace ONEは、あらゆるデバイスから、SaaSアプリ、レガシーアプリなどを統一されたセキュリティのもと、ユーザーにわかりやすいアクセス環境を提供します」と述べ、Workspace ONEの優位性を訴えた。