ニュース
ISR、ID管理ソリューション「CloudGate UNO」でオリジナルのデバイス証明書を提供
セキュアエレメントに基づいた証明書の発行で安全・厳密な端末特定を実現
2022年9月9日 06:00
株式会社インターナショナルシステムリサーチ(以下、ISR)は8日、自社オリジナルのデバイス証明書「CloudGate証明書」の提供を開始することを発表した。同社のアイデンティティ管理/SSO(シングルラインオン)のプラットフォーム「CloudGate UNO」のハイエンド料金プランである「スマートパック」において、9月10日より対応する。当初はWindowsとChromeOSのみ対応し、以後iOSやmacOS、Androidなどにも対応していく予定。
端末側のセキュリティハードウェアで鍵を生成、機器ID登録も不要
デバイス証明書は、アクセスしてくるPCやスマートフォンなどの端末が登録済みのものであるかを認証するための証明書だ。例えばテレワークにおいて社外からのアクセスしてくる端末が正当なものであることを確認する端末認証に使われる。
ただし通常は、デバイス証明書と秘密鍵を認証局(CA)で生成してから対象端末に配布するために、配布の途中で漏えいする可能性があるという。
これに対してCloudGate証明書では、端末に搭載されたセキュアエレメント(Windows PCのTPMや、MacのApple T2、iPhoneのSecure Enclaveなどのハードウェア)で秘密鍵を発行することにより、秘密鍵を端末外に出すことなく安全に保管できる。
具体的には、CloudGate UNO管理者があらかじめCloudGate UNO管理サイトにおいて、デバイス証明書による端末制限を適用しておく。そして、ユーザーの端末からアクセスできるようにするには、その端末からCloudGate UNO管理者が証明書発行操作を行う。これにより、端末のセキュアエレメントで秘密鍵と公開鍵が生成されたあと、それを元にCloudGateの認証局が証明書を発行する。
これまでもCloudGate UNOではサードパーティと共同で開発したデバイス証明書発行の機能があった。しかし、端末のなんらかの機器IDを取得する必要があったため、何を機器IDとして入力したらいいかわからない、入力ミスが起こる、ログがとれずにインストールでなぜエラーが起きたかわかりづらい、といった問題があったという。
それに対してセキュアエレメントに基づいたCloudGate証明書の発行により、安全で厳密な端末特定を実現。CloudGate UNO管理者のみが実施可能で、証明書発行・配布の履歴が残るとしている。
CloudGate証明書の登録と端末認証のデモ
9月8日に開かれた記者発表においては、CloudGate証明書の登録と、登録された端末からのログインのデモも行われた。
デモ環境は、Windows上のChromeにCloudGateの拡張機能が入ったもの。証明書がまだ入っていない状態から、CloudGate証明書登録のURLにアクセスし、登録権限を持った管理者のIDにより多要素認証でログイン。あとは証明書の名前をつけるだけで、拡張機能と連動して証明書発行のフローが実行される。
この端末からユーザーがCloudGate UNOにアクセスすると、証明書の選択が求められて、先ほど生成した証明書が表示される。これを選択すると、端末認証がなされて、ユーザーの認証に進む。
ほかのOSや簡易な方法への対応を予定
今後のロードマップについては、まずは現状対応しているWindowsとChromeOS以外のiOS、Android、macOSへの対応が挙げられた。
また、現在は管理者が証明書を登録する必要があるが、エンドユーザーに対応したセキュアな登録方法を開発したいという。さらに、証明書の有効期限が切れたときの再登録では、いちから発行するのではなく簡易的な発行フローなど、できるだけ簡易なやりかたの意向も語られた。
そのほか、管理者承認による個人証明書の有効化もロードマップに挙げられている。
