クラウドRADIUS(Cloud RADIUS) 〜無線LANコントローラ・VPNからの認証受け〜

SecureW2のクラウドRADIUSはグローバルRegionとアジアRegionの2拠点から、プライマリーRADIUSとセカンダリーRADIUSの計4エンドポイントでRADIUSサービスを提供します。このため、万一ひとつのエンドポイントの通信障害があっても、他のRADIUS通信に影響はないので、障害に強いRADIUSサービスです。
これに対し、自社プライベートクラウドにオンプレRADIUSサーバーを冗長構成で設計する場合、RADIUSポイントまでのネットワークが特定回線に依存するので、万一この特定回線に障害が発生した場合、社業に利用するすべての端末がネットワークに接続できなくなる障害におよびます。このコストはひとたび発生すると甚大な障害コストになってしまいます。

クラウドRADIUSのSecureW2は、鍵生成は冗長構成のHSMによる鍵発行管理で運用されており、高い安全性が担保されているハードウエア構成と運用設計で実現されています。もちろん、SecureW2のサービスプラットフォームは、SOC2認定・ISO27001認定の外部認定を得ているサービス設計で運用されております。このためSecureW2は安全性をお約束できるインフラサービスです。
これに対し、オンプレRADIUSサーバー機器で生成されるルートCA・中間CAの秘密鍵は、サーバー管理者であれば取り出しあるいは削除ができる運用設計となっている場合が多いです。管理者モラルに依存する部分は否めないため、セキュリティリスクを完全に排除できません。

SecureW2のクラウドRADIUSは、その名の通りクラウドで提供されているため、RADIUSポイントまでの接続回線に依存しません。どこからでもRADIUS認証要求が可能であるため、拠点からインターネットへ接続するネットワーク回線の障害とは無縁です。
旧来のオンプレRADIUSの場合、拠点数が増えたときにはオンプレのサーバーを必要に応じて追加構築するなど、各拠点ごとに最適な環境を構築する手間がかかりました。
SecureW2のクラウドRADIUSの場合、拠点数が増えたとしても追加でRADIUSサーバーを構築する必要はありません。

リスクベース認証に類似した機能を実現する方法をSecureW2は提供できます。
エンドポイントのPCデバイスにセキュリティリスクがおよんでいる事をEDRが検知した場合、EDRからIDaaSにユーザーのリスク情報がもたらさせれます。SecureW2 RADIUSは接続デバイスの認証の都度、SecureW2 RADIUSからIDaaSにユーザーのリスクステータスを確認します。リスクが高いと確認されたユーザー端末の無線接続は拒否する事ができます。または、ネットワーク接続セグメントを社内ネットワークではなく、グローバルネットワークのセグメントに接続を許可する事ができます。これにより、ダイナミックなRADIUS認証を提供することで、高い安全性を確保しています。

人事異動などに伴いそれまでIntune管理下にあったデバイスが管理スコープ外に変更されることがあります。無線APに接続するデバイスを別のネットワークで利用するデバイスとして、MDM(Intune)のネットワーク利用対象外のスコープ外に変更する登録を行います。この登録変更をおこなっても、SecureW2が発行した証明書の有効性は残ったままになってしまい、デバイスから証明書が削除されない限り、旧来証明書を利用したEAP−TLS認証で無線APに接続できてしまう可能性が残る心配があります。
そこで、SecureW2はIntuneにおける管理対象から外れた端末をスコープ外端末として情報を取得します。取得したスコープ外の端末向けに発行されていた証明書を自動失効する機能をそなえています。この自動失効により、スコープ外になる以前にマシンイメージの複製などがおこなわれていた場合などに、複製されたマシンイメージを利用した証明書認証の要求を拒否することができます。これにより万一の残存証明書の利用などのリスクを排除することができます。

法人契約で購入したWindows / macOS / iOS / iPad OSであっても新規購入の未開封・未設定マシンに証明書を配布することができます。
開封したばかりの未設定マシンを起動すると、どの法人の利用ユーザーが使用するのかアカウント確認が求められます。入力したアカウント情報から購入法人を特定すると、その購入法人が管理するMDMに未開封マシンが起動したという情報が伝えられます。情報を受け取ったMDMはその未開封マシンを端末管理スコープに加えると同時に構成プロファイルを配布します。新規端末は受け取った構成プロファイルに記載されているSCEP要求(Simple Certificate Enrollment Protocol)に従って、SecureW2に構築した自社CA認証局に証明書発行リクエストを出し、発行された証明書を受け取り証明書ストア/キーチェーンに証明書を格納します。この一連の流れにおいて管理者もエンドユーザーも操作設定を実施することなく、サイレントで証明書格納まで実現できます。

SecureW2はITDR(Identity Threat Detection and Response)のインシデントに応じて、端末の無線AP接続を強制的に接続遮断することができます。
PC端末内部には無線APに接続するために求められる有効な証明書が格納されているとします。この端末は有効な証明書を利用してEAP−TLS認証により無線接続中です。
ところが、SIEM/ EDR/ XDRなどの外部セキュリティ検知のシステムが、対象ユーザーのデバイスがセキュリティインシデントに感染している情報を得たとします。SIEM/ EDR/ XDRは IDaaSにもその感染情報を伝えてきます。感染情報を得てユーザーステータスを「利用停止」ポリシーに即時変更します。利用停止ポリシーになった情報は、同時にSecureW2 RADIUSにIDaaSからもたらされます。SecureW2 RADIUSは無線AP接続を管理するWLC無線コントローラに即時に対象デバイスの接続を遮断するリクエストを出します。これにより、SecureW2はインシデント対象デバイスを強制的にネットワークから遮断する機能を提供します。この機能はMeraki, Aruba, UniFiコントローラと連携できることを確認しています。

クラウド型のRADIUSであるSecureW2なら、複数の拠点からでもRADIUSに認証要求をすることが可能なので、事業所の数だけRADIUSサーバーを設置する必要がなくなります。
SecureW2はクラウドでRADIUSサービスを確実に提供するために、RADIUSサービスを提供するサーバーを冗長構成で提供します。ご契約1社ごとに2台のRADIUSサーバーを提供します。

SecureW2はRADIUS over TLS（RadSec）をサポートしています。 RADIUSの通信にはUDPを利用しており、認証情報が流出してしまうという脆弱性があります。RadSecはクライアントとサーバーの間に暗号化されたTLSトンネルを形成するので標準的なRADIUSよりも更に安全です。RADIUSサーバーを使用している組織であれば使用することができますが、複数拠点を持つ企業など従業員がネットワーク間を移動することが想定される状況で一般的に使用されます。

クライアント端末の無線LAN認証をするためには、クライアントを特定することとネットワーク設定をすることが必要です。これは、EAP-TLS認証のクライアント証明書とネットワークプロファイルを配布することで実現できます。
SecureW2では、これらのクライアント証明書とネットワークプロファイルを、端末の設定が終わった後からでも配布することができます。配布方法には、MDM連携による自動配布と、JoinNow(ユーザー操作による取得)による配布があります。（詳しくは証明書をデバイスに自動配布　オンボーディングとは参照）これにより、管理者は仮に事業所の無線LAN設定を変えたとしても、再びデバイスを回収しネットワーク設定をする手間から解放されます。

MDM/EMMサービスなどでデバイス管理が広がる昨今では、ネットワークへの端末アクセスを一元的に管理することが求められています。
SecureW2は、Jamf PROやIntuneなどのMDM/EMMサービスとの連携が可能であるため、Jamf PROやIntuneを通じて、法人所有デバイスにいつでも適切に証明書とネットワークプロファイルを再配布できます。

SecureW2のクラウドRADIUSではRADIUSへの問い合わせがあった時刻、ユーザー名、デバイスなどの情報をログとして確認することができます。これにより不審なアクティビティなどを検知することができ、セキュリティ上の問題に対して迅速に対処することができます。

オンプレRADIUS

クラウドRADIUS