端末認証（デバイス認証）とは、端末（デバイス）固有の識別情報を用いて認証を行うことにより、アクセスコントロールを行うための仕組みです。

端末の持ち主となるユーザーが「だれ」であるかという認証ではなく、「どの」端末であるかという、端末そのものを認証します。

端末（デバイス）とアクセス先、利用シーン

1. 端末（デバイス）

認証対象となる「端末（デバイス）」には、以下のようなものがあります。

• コンピュータ
  – Windows PC
  – Mac
  – Chromebook など
• スマホ・タブレット
  – iPhone
  – iPad
  – Android など

2. 端末（デバイス）のアクセス先

端末（デバイス）のアクセス先には、以下のようなものがあります。

• 各種サーバー
  – Apache
  – IIS
  – nginx など
• 各種クラウドサービス
  – Amazon WorkSpace など
• 各種ゼロトラストソリューション
  – Azure Active Directoryの証明書ベースの認証（CBA） など
• リモートアクセス（VPN）
• IDaas（Identity as a Service）
• シングルサインオン（SSO） など

3. 端末を識別する代表的な方法

許可された端末であることを識別する代表的な方法としては、端末固有の識別情報を用いて端末を特定したうえでクライアント証明書を配付する方法があげられます。

端末固有の識別情報としては、以下のようなものがあげられます。
これらの情報はユーザーにより変更ができない端末固有の値です。

• MACアドレス
• IMEI
• シリアル番号 など

4. 利用シーン

実際の利用シーンとしては、以下のようなケースがあります。

• 社内ネットワーク・システムへの許可していない端末の利用制限
  – BYOD（Bring Your Own Device）の制限など
• IDaaSのログイン認証
• シングルサインオン（SSO）のログイン認証 など

端末認証の流れ

実際の端末認証は、以下のような流れで行われます。

上記図解のとおり、アクセスを許可するクライアント証明書に関する情報をアクセス先にあらかじめ登録しておき、アクセス先がアクセスポリシーとの照合を行った結果、「問題なし」と判断した場合にその端末のアクセスを許可します。

なお、このアクセスコントロールのポリシー設定はアクセス先により仕様が大きく異なることをご留意ください。

端末認証のメリット

1. 不正アクセスの防止

アクセス許可を特定の端末に限定して付与することにより、業務で使用している社内システムやクラウドサービスに対する第三者のアクセスをブロックすることが可能です。

さらに、ID・パスワードの使いまわしや漏洩などの理由により安全性が低下した場合でも、悪意のある第三者はその端末を所持していないため、不正アクセスを防止できます。

また、今回のクライアント証明書を用いた認証を行う場合においては、その端末が盗難されてしまった場合や、誤って紛失してしまった場合においても、端末に登録済みの証明書を失効して無効化することにより、ユーザーは有効な状態で端末のアクセスのみをブロックすることが可能です。

2. 私的な端末の利用（BYOD）の防止

ID/ パスワードや生体認証のような別の認証方法で正規ユーザーとみなされた場合、その認証のみではセキュリティポリシーに準拠していない端末の持ち込み利用（例：BYOD）が可能となってしまいます。

端末認証を組み合わせることで、正規ユーザーであることに加えて、そのユーザーが所持している端末も認証することが可能であるため、管理外端末のアクセスをブロックすることができます。

NRA-PKIクライアント証明書で安全・効率的に運用

弊社が提供する「NRA-PKIクライアント証明書」は、業界随一の低コストを実現した、SaaS型のサービスです。
「NRA-PKIクライアント証明書」を利用したPKI認証は、利用者の利便性を損なうことなく高度な認証セキュリティを実現することが可能となりますので、是非弊社営業までご相談ください。

NRA-PKIクライアント証明書についてはこちら

※出典：電子認証局サービスBLOG（2023年7月3日）
https://www.cybertrust.co.jp/blog/certificate-authority/client-authentication/about-mfa.html