SSL-VPNで社外からリモートアクセス。
iPhone、iPadの認証に証明書を利用する。
企業会計サービス提供のT社
B社では、営業部門からの強い要望もあり、営業担当者が外出先からSSL-VPN経由で社内ネットワークに接続して、商品情報や顧客情報を自由に閲覧できるように、リモートアクセスの仕組みを提供することにしました。
このとき、問題になったのがiPadやiPhoneのようなスマートデバイスからのリモートアクセスです。 ノートPCからリモートアクセスされる場合は、接続時にノートPCのMACアドレスを確認したうえで、ログインさせることができるため、これによって、なりすましなどの不正アクセスを排除することが可能です。一方、スマートデバイスの場合は、デバイスを認証するための情報がとれないため、ID+パスワードによる認証だけに頼らざるを得ません。 利便性を優先した結果ではありますが、顧客情報を含む重要な社内データを含むだけに、システム部門としては、セキュリティ上の大きな不安をずっと抱えていた形となっていました。
ここに登場したのがNRA-PKIが発行するクライアント証明書です。証明書によるログイン認証については、以前に検討したこともあったのですが、そのときは、証明書のコストが高すぎたため、採用することができませんでした。
NRA-PKIのクライアント証明書のコストは、以前、検討したときの約1/10にまで下がっているうえ、1枚から購入が可能であったため即導入を決定しました。 また、証明書の発行・管理のシステムがSaasサービスで提供されているため、NRA-PKIの管理画面から利用者の登録を行うだけで、すぐに証明書を発行することができます。
設定も特に難しいところはなく、SSL-VPN装置にNRA-PKI管理画面から出力された許可リスト(ホワイトリスト)をもとに、接続を許可するユーザーのリストを登録することで、即日利用開始することができました。