見出し画像

~ゼロトラスト~ Workspace ONE を用いた認証・認可

Junnosuke Nakajima

ヴイエムウェアという会社で公共分野のお客様を担当している御木です。

前回の記事では、私なりに考えるゼロトラストセキュリティのポイントと、ヴイエムウェアの製品の対応範囲について記載しました。今回は具体的に、「ゼロトラストセキュリティ」を実現する上でどのように各製品を連携させていくのかについて考えていきたいと思います。

まずは、ゼロトラストセキュリティの要となる認証・認可を担うWorkspace ONEの機能について解説します。

Workspace ONEは従来からヴイエムウェアが持っていた製品ですが、昨今の世の中のセキュリティへの関心の高まりと、ヴイエムウェア自身が様々なレイヤのセキュリティ製品へと対応範囲を広げていったこと、更に、ゼロトラストセキュリティの考え方が広まって来たことによって、ヴイエムウェアの持つ様々な製品群の中でも非常に重要度が増してきていると感じております。

そもそもWorkspace ONEをご存知無い方もまだまだおられるかと思いますので、まず始めに、Workspace ONEの概要について説明します。

スクリーンショット 2021-05-26 21.24.00

Workspace ONE は「アクセス管理」「統合エンドポイント管理」「デスクトップとアプリ仮想化」を中核とした製品で、従来のお客様からは「MDM」製品としてのイメージが強い位置付けになっていると思います。

最近では「分析」や「自動化」の機能を持つ「Workspace ONE Intelligence」、更には他社製品と組み合わせて動く「Trust Network」もWorkspace ONEの中に入ってきており、これらがゼロトラストセキュリティを実現する上で重要な要素となってきています。

スクリーンショット 2021-06-01 10.17.50

エンドポイントデバイスにMDMが入っていることで、端末に対してクライアント証明書を配布することや、コンプライアンスの状態をチェックすることが可能になります。

確認できる項目は様々なものがありますが、代表的なものを以下に記載します。

・Microsoft の正常性構成証明に準拠しているか。https://docs.microsoft.com/ja-jp/windows/security/threat-protection/protect-high-value-assets-by-controlling-the-health-of-windows-10-based-devices
・Windows Firewall のステータスでエラーがでていないか
・暗号化が有効になっているか
・ウイルス対策ソフトウェアのステータスでウイルス感染の疑いなどのエラーがでていないか
・OSバージョンが適切なものになっているか
・長期間Workspace ONEに接続されていない状態になっていないか

これらはWorkspace ONE UEMで実現可能な状態確認の項目です。Workspace ONE UEMではこれらの状態確認項目を順守しているかどうかを「順守ポリシー」というルールを使って、端末に配布するプロファイル情報や端末に対する様々なアクションを動的に、段階的にコントロールすることが可能です。

また、アクセス管理を担うWorkspace ONE Accessは、この「順守ポリシー」の状態確認機能を使って、様々なSaaSやVDIなどのSAMLに対応したアプリケーションへのアクセスをコントールすることができます。

更に、分析・自動化の機能を担うWorkspace ONE Intelligenceを組み合わせることで、以下のような項目のチェックが可能になります。

・共通脆弱性識別子CVEにあてはまるものは無いか(つまり、Windows のパッチが適切なものが適用されているか)
https://www.ipa.go.jp/security/vuln/CVE.html
・CVSSのリスクスコアで一定値以上の脅威と判定されていないか
・Carbon Black Cloud (NGAV/EDR) で判断されるアラートがでていないか
・Trust Network に登録されたサードパーティの製品で判断されるアラートがでていないか
・特定レジストリ値が意図したものになっているか
・特定パスのファイルが意図したものになっているか

これらの状態確認を元に、以下のようなアクションを自動的に実行することが可能です。

・Worksapce ONE で配布したクライアント証明書やアプリケーションなどの企業情報に限定したワイプ
・EmailやSlack通知
・ServiceNowとの連携
・VPNプロファイルの削除
・無線LANプロファイルの削除
・Carbon Black と連携した、デバイスのネットワーク隔離処理
・BIOSパスワードセット&再起動(対応メーカーのPCのみ)

スクリーンショット 2021-05-27 14.09.40

Workspace ONE Intelligenceでは、カスタムAPIに対応している為、データセンターネットワークの仮想化製品であるNSX、拠点間の接続を担うSD-WAN、エンドポイントデバイスとクラウドをつなぐ中継地点となるSASE、エンドポイントデバイスのセキュリティを担うCarbon Blackと連携することで、様々な状態監視に基づいてそれぞれのレイヤアクセスに関する認証・認可を行うことが可能になります。

本日の記事ではゼロトラストセキュリティの根幹となる認証・認可を担うWorkspace ONEについて解説をしていきました。今後の記事の中では各レイヤごとの製品とこの認証・認可の機能を組み合わせることによって、どのようにしてゼロトラストセキュリティを実現していくかについて考察していければと思います。