パスワードの代わりにモバイルデバイスをIDとしてゼロ・サインオンを実現

本日、 MobileIronは、モバイルデバイスをIDとして利用し、企業へのセキュアなアクセスを実現する、業界初のゼロトラスト環境でモバイルを中心としたエンタープライズセキュリティプラットフォームを発表しました。モバイルデバイスをIDとすることで、企業はついにパスワードを排除し、ユーザーはパスワードを覚えて入力する手間なくすべてのデバイスで安全で簡単なユーザー認証が可能となります。ゼロ・サインオンでパスワードを排除することで、企業の情報漏洩の主要な原因の一つが排除できる点も重要です。

当社では、2017年に初めて MobileIron Accessでセキュリティを確保したデバイス向けに、ゼロ・サインオンを提供開始しました。Accessをご利用のお客様にはすでに、 パスワードなしでOffice 365、Salesforce、G Suite、Boxなどのビジネスサービスにアクセスし、セキュリティと生産性に関するメリットを体験していただいています。その一方で、許可されていないユーザー、デバイス、アプリ、サービスは、これらのリソースに接続することができません。2019年6月、その機能を管理外のデバイスにも拡張します。では、その 仕組みを見ていきましょう。

 

管理デバイスからのゼロ・サインオン

 

fig-1

 

  1. ユーザーがMobileIronUEMで管理されたデバイスからクラウドサービスへのログインを試みます登録時に、デバイスはID証明書と管理アプリ構成でプロビジョニングされます。管理アプリとは、UEM経由でインストールされ、IT部門によって管理されているアプリを指します。管理外アプリとは、ユーザーがAppleまたはGoogle Playのアプリストアからインストールし、IT部門の管理下にないアプリを指します。管理外アプリはビジネスサービスやデータへの接続を許可しないようにしなければなりません。
  2. クラウドサービスが認証のためにデバイスをMobileIron Accessにリダイレクトします。これには、Accessをマネージドクラウドサービス向けのIDプロバイダー(IdP)として構成する必要があります。Accessは、既存の IdP と一緒に機能するよう、デリゲート IdP として構成することもできます。
  3. Accessは、ユーザー、デバイス、アプリ、脅威、その他の要素を検証してから標準ベースのトークン(SAMLまたはWS-Fed)をクラウドサービスに送り返します。Accessは、プロビジョニングされたID証明書に基づいてユーザーの信頼性を確認します。デバイスおよびアプリの信頼性は、 MobileIron UEMからの情報と管理アプリ構成に基づいて確認します。管理外アプリが接続を試みた場合、Accessはそれを検出し、ユーザーに企業アプリストアからアプリをダウンロードするよう指示することができます。さらに、AccessはMobileIron MTDと連動し、悪意のあるコード、アプリ、プロファイルを持つデバイス、または悪意のあるWi-Fi経由で接続するデバイスがビジネスデータにアクセスできないようにします。
  4. 完了— これでユーザーは、パスワード入力なしで、信頼できるデバイス、アプリ、ネットワーク上のビジネスデータにすぐにアクセスできます。

 

管理外デバイスからのゼロ・サインオン

 

fig-2

 

  1. ユーザーが管理外デスクトップからクラウドサービスへのログインを試みます。
  2. クラウドサービスがMobileIron Accessへリダイレクトします。Accessが管理外デバイスを検出し、ユニークなセッションIDを持つQRコードを送信します。
  3. ユーザーは、まず生体認証で自分の管理デバイス上の MobileIron UEMアプリで認証を行い、それからQRコードをスキャンします。スキャンしたQRコードから情報がAccessへ送信されます。
  4. Accessは特定のデスクトップ上でセッションを有効にする前にユーザーと他の情報を検証します。管理外デスクトップ上でユーザー名やパスワードを入力する必要はありません。

悪意のあるユーザーが盗んだ認証情報を利用して業務上の機密データにアクセスすることができなくなるため、データ侵害のリスクが大幅に減少します。

年6月より、 MobileIronで管理されたiOSデバイスをIDとして利用し、管理外デバイスからのゼロ・サインオンを利用できるようになります。Androidにもその後間もなく対応する予定です。

 

ゼロ・サインオンの利点

ついにパスワードが不要になります。単にユーザー体験と企業の生産性が大幅に向上するだけではありません。ゼロトラスト環境でモバイルを中心とした当社のプラットフォームを使用すれば、組織における最大のセキュリティの弱点の1つであるパスワードが排除されます。これはまだ始まりにすぎません。  MobileIron は、が先陣を切ってエンタープライズ環境向けに、まったく新しいコンシューマー体験をお届けしていきますので、今後の情報にご注目ください。

ゼロ・サインオンの詳細につきましては、 MobileIron の担当者にお問い合わせください。