トピック

セキュリティを厳格にしつつOffice 365の利便性を活かす方法 サンリオのデバイス証明書活用事例

外出先のスマホからもOffice 365を使い倒す

 Office 365を安全に社内外で使うには、社員であることを認証するアクセス制御の仕組みが必要だ。ただし、ルールで縛りすぎるとユーザーの利便性が失われる。その課題を解決する策としてサンリオはデバイス証明書を導入し、「セキュアな端末認証」「モバイルアプリ活用」「多様なワークスタイル」を実現した。

 HENNGE株式会社(旧社名:株式会社HDE)のセミナーに登壇した株式会社サンリオ 情報システム部の大畑正利氏の講演から、デバイス証明書の運用・設計のコツや注意点を紹介する。

サンリオ 情報システム部の大畑正利氏

セキュリティポリシーを徹底させつつ、利便性を上げたい

 サンリオは、ハローキティを筆頭に、多くのキャラクターを使ったキャラクタービジネスの会社だということは、ご存じの通りだ。かわいらしいイメージなので意外かもしれないが、実はITについては先進的な取り組みをしている。例えば、Microsoft Azureの日本データセンターが開設する前に実施された早期利用プログラムに参加して検証を行っているし、欧州を拠点にするSanrio GmbHは、Office 365がまだBPOSと呼ばれていた時代に、欧州で最初に導入した企業でもある。

 そんなサンリオがデバイス証明書を導入することになったのは、以下のような課題があったからだと、大畑氏は言う。

課題①:ユーザー単位のアクセス制御によるセキュリティリスク
課題②:端末単位の認証ができないので、モバイルアプリを活用できなかった
課題③:社外からの業務システム利用需要増加に伴うシステム構成の複雑化、負担増加

持ち出したスマホで使えるのはメールだけ

 サンリオでは、2014年にOffice 365を導入した。この時、アクセス制御の基盤として、Active Directory(AD)とActive Directory Federation Service(ADFS)サーバーを、オンプレミスに構築した。Office 365のE3ライセンスを購入し、Exchange OnlineやSharePoint Onlineなどの機能をフル活用していたが、当時のOffice 365認証ルールは以下の2つだった。

◆グローバルIPアドレス制限
◆(メールの)Active Sync許可

 Office 365へ社内からアクセスする場合は、許可されたグローバルIPアドレスなので制限されず、ノートパソコンを社外に持ち出した場合も、社内ネットワークへVPN接続すれば問題なかった。ただし、モバイル端末(スマホ)はインターネット経由の接続になるため、端末認証ができなかった当時はサインインを許可できず、ActiveSyncの検疫機能で会社のモバイル端末だけを許可することで、ActiveSyncのExchange(メール)だけ使えるという状態だった。

 Office 365には便利なアプリが多数あるのに、メールしか使えないというのは利便性が低い。また、認証基盤のサーバー運用負荷も課題になってきた。

 「Office 365認証に関係するサーバーが10台に及んで、効率的な安定稼働が求められていた」と大畑氏は言う。これらの課題を解決するための要件が、以下の3点だ。

課題解決の要件(出典:サンリオ)

デバイス証明書で端末単位の認証制御を行う

 サンリオでは、これを踏まえたうえで4つの製品・サービスを候補として比較・検討を行った。その結果、国内で容易に入手でき、「クラウドサービス化できる/端末単位の認証制御ができる/少ない運用負担」という要件を満たした製品が、HENNGE One(旧称:HDE One)だった。

4つの候補のうち、唯一すべての要件を満たすものがHENNGE Oneだった(出典:サンリオ)

 HENNGE Oneには、アクセスセキュリティの機能として、

・IPアドレス制限
・Cookieによる端末制限
・ワンタイムパスワード

がある。

 また、デバイス証明書(オプション)による制御機能があり、サンリオではこれを組み合わせた。デバイス証明書は、端末ごとに識別番号を埋め込んだ証明書を発行する仕組みなので、不正な方法でこのデバイス証明書を入手しても別の端末には転用できない。

 このため、会社支給の端末のみに発行すれば、社外からアクセスしてきたデバイスが会社支給の端末かどうかを判別して、Office 365の利用を許可することができる。

 認証ルールは、デバイス証明書の項目を加えて以下の3つとなった。

【新認証ルール】

◆グローバルIPアドレス制限
◆(メールの)Active Sync 許可
◆デバイス証明書 許可(←追加)

 そして、アクセス可能な条件を整理すると、以下のような状態となる。

●社内からアクセスする場合
 パソコン/スマホ = 特定のグローバルIPアドレスなので許可

●社外からアクセスする場合
 パソコン = VPN接続なので許可
 スマホ = デバイス証明書があれば許可

 これにより、メール以外にも多くのモバイルアプリが利用可能になった。大畑氏は、「会社が認めたモバイルアプリを使ってくださいと情報発信することで、シャドーITの抑制にも繋がる」と言う。

 また、デバイス証明書はWindowsやMacのクライアント端末にも発行できる。VPN接続するのが難しい場合でも、「クライアント端末上でOffice 365が使える環境が容易に提供できるため、多様なワークスタイルの要望にも対応できるというメリットを得られた」と大畑氏。

 なお、デバイス証明書の導入にあたっては、2018年1~5月でサービスを選定。6月・7月で検証と契約を行い、8月に移行準備期間に充てたうえで、9月に移行を実施している。

2018年1月より選定を開始し、9月に導入作業を実施している(出典:サンリオ)

デバイス証明書の選び方

 HENNGE Oneのデバイス証明書は3種類ある。

3種類のデバイス証明書(出典:サンリオ)

 証明書発行後に変更も可能なので深く悩む必要はないが、概ね以下のような使い分けと考えればよい。

共有:デバイス証明書を発行する際にはユーザーを指定するが、そのユーザー以外の複数人で、パスワードを入力すればOffice 365が使える。共有端末でも利用可能な証明書。

個人:発行したユーザー以外は使えないが、サインインのパスワードは入力する。個人端末向け。

パスワードレス:ユーザーが固定され、パスワードの入力が不要。紛失の心配のない個人端末なら、利便性が向上する。

デバイス証明書の一斉配布で注意すべきポイント

 導入の際は、まずデバイス証明書の検証を行う。これは、証明書のある端末とない端末を用意し、以下の表(一部抜粋)にあるような基本動作を検証するものだ。

デバイス証明書 検証項目(出典:サンリオ)

 続いて、従来のADFS環境からHENNGE Oneに移行することをユーザーに通知したり、デバイス証明書を配布したりするための準備期間に1カ月ほどかけた。これについて大畑氏は、「デバイス証明書を一斉配布する時は、証明書発行通知の送信先メールアドレスを確実にユーザーに届くアドレスにしてください」「ユーザーに届く発行通知メール自体に、証明書をインストールできる有効期間が設定されている。有効期限内にインストールしてもらえるよう、ユーザーへの周知はぜひ工夫してください」とアドバイスした。

 サンリオがHENNGE Oneに切り替えたのは2018年9月で、同時にIaaS上のADFSサーバー一式は削除されており、Office 365にはHENNGE Oneで繋がっている状態だ。選定からデバイス証明書の導入までにかかった期間は約3カ月とのことで、かなり短期間と言っていいだろう。

デバイス証明書の発行・導入手順

 通常のデバイス証明書の発行手順は、以下のとおり。全て管理者がやるのは大変なので、作業をユーザーに任せることがポイントだ。

1)受付
Microsoft Formsを活用し、ユーザーに必要な情報を記入・申請してもらう。メールや口頭ではなく、必ずFormsを使ってもらうことで、後の処理が楽になる。登録してもらうのは、発行ユーザー名(自動入力)、発行通知先メールアドレス(自動入力)、端末識別番号(IMEI/MAC)、メモ(電話番号など)。ちなみに、発行通知メールを送る「送信先メールアドレス」を確実に届くアドレスにするため、「サンリオでは、Office 365のメールアドレスを設定し、パソコンにメールが届いたら自分で端末に転送してくださいと伝えている」(大畑氏)という。

2)確認
情報システム部門で、申請内容(会社支給の端末かどうか)を確認する。サンリオではMDMで自動収集したIMEI番号と照合したが、なければ台帳と照らし合わせる。

3)TSV用意
確認できたら、HENNGE One用のTSVファイル(タブ区切り)を作る。Formsを使っていれば、管理者がFormsの回答一覧を開き、数回コピー&ペーストするだけですむ。

TSV用意(出典:サンリオ)

4)発行作業
TSVファイルができたら、HENNGE Oneの管理画面にアップロードする。送信するとまもなくユーザーに発行通知メールが届く。ちなみに、デバイス証明書を失効させる作業も同じ管理画面で行う。

発行作業(出典:サンリオ)

 ユーザーが証明書をインストールする手順は、次のとおり。

1)証明書のインストール
発行通知メールが届いたらインストールしたい端末に転送し、メール本文に書かれた手順に従ってインストールする。iOSの場合は、証明書の信頼設定もする。

2)認証用アプリのインストール
デバイス証明書の認証に必要な「Microsoft Authenticator」をインストールする。

3)サインイン
使用したいアプリを立ち上げ、メールアドレスを入力して [サインイン] をタップ。HENNGE Oneのログイン画面にリダイレクトされるので、[証明書ログイン] をタップし、その後パスワードを入力して [ログイン] をタップする。

Teamsアプリでのサインイン(出典:サンリオ)

4)アプリ利用開始
アプリが使える。

デバイス証明書の運用ノウハウ

 デバイス証明書の運用を開始後に、ユーザーから申請が必要なケースは、以下の3つだ。

・新規端末の発行依頼
・機種変更時の依頼
・利用者変更時の依頼

 証明書が入っていない端末に証明書を入れる場合は新規発行すればいいが、入っているはずの既存端末について申請が来ることもある。本来なら確認して利用者変更の申請をやり直してもらうのがベストだが、運用負荷を減らすため、大畑氏はその場合も再発行しているという。

 また、機種変更や利用者変更の場合は、新規発行と旧証明書失効の両方の手続きが必要なため、厳密に管理すると手続きが何回も発生する。そこで大畑氏は、以下のように運用している。

デバイス証明書の運用ノウハウ(出典:サンリオ)

 大畑氏によれば、「ポイントはゆるく管理すること」だ。「共有タイプなので、最初に申請したユーザー以外が使い始めても、基本はそのまま。端末が法人契約であれば2~3年で機種変更するので、その時に新しい端末を使っているユーザーから申請してもらえばよい。ひとつの端末に複数の証明書を発行できる仕組みなので、何枚も重複して発行していることがあるが、棚卸しの時に最新の証明書以外を失効する。端末が壊れて新しいものに変えた時に、本来は機種変更で申請してもらうべき(そうしないと存在しない端末の証明書が残ってしまう)だが、新規で申請してきても発行します。これも棚卸しで対処すればいい。このようにしてデバイス証明書の運用負担を下げる」という。

 また、デバイス証明書を許可するためにアクセスポリシーを変更する必要がある。「アクセスポリシーの更新は結構緊張するが、困ったらサポートに問い合わせると、設定代行もお願いできる」(大畑氏)ので、利用してほしいとアドバイスした。

 なお、大畑氏が最後にまとめた、デバイス証明書活用についてのポイントは以下の通りだ。

・デバイス証明書でモバイルアプリの活用や多様なワークスタイルへの対応が可能に
・共有タイプのデバイス証明書がお勧め
・アクセスポリシーの更新はサポートへ相談