機能SecureW2の機能
SecureW2 - クラウドRADIUS
クラウドRADIUSとは
クラウドRADIUSとは、クラウド型で提供されているRADIUSサービスのことを指します。
SecureW2の提供するクラウドRADIUSは、無線LAN機器認証で利用するEAP-TLS証明書や、VPN機器認証で利用するSSL証明書に、相互の認証判定を提供します。 これまでの企業環境は、オンプレミス型RADIUSサーバーか、アプライアンス型RADIUS機器を利用することがほとんどでした。そのため、オフィス・事業所が多拠点になる企業は、拠点の数だけRADIUSサーバーを用意する事を強いられていました。しかし、リモートワークの普及に伴うVPNユーザーの増加やネットワークに接続する機器などの増加に伴い従来のRADIUSサーバーでは対応することが難しくなってきており、近年はこのRADIUSサービスもクラウドで利用したいというニーズが高まっています。
クラウドRADIUSを導入するメリット
SecureW2の提供するクラウドRADIUSを導入するメリットは、
- 拠点数が増えても追加でオンプレのサーバーを構築する必要がなく、どこからでもRADIUS認証要求が可能
- スケーラブルな運用ができる
- IDaaSとの認証連携機能
それぞれについて説明します。
拠点数が増えても追加でオンプレのサーバーを構築する必要がなく、どこからでもRADIUS認証要求が可能
従来のオンプレミス型やアプライアンス型のRADIUSサーバーは、各拠点ごとに構築する必要がありました。
SecureW2のクラウドRADIUSは、その名の通りクラウドで提供されているためどこからでもRADIUS認証要求が可能なため、拠点数が増えたとしても追加でRADIUSサーバーを構築する必要はありません。
スケーラブルな運用ができる
従来のオンプレミス型やアプライアンス型のRADIUSサーバーでは、最大アクセスユーザーに合わせた設計・運用・保守が必要であり、ライセンス料金などのコスト面での負担が大きくなる傾向にありました。
一方でSecureW2では、ご利用デバイス数に合わせたサブスクリプション契約のため、費用が均一化されておりデバイス数の急な変化にも柔軟に対応することが可能です。
IDaaSとの認証連携機能
業務で使うアプリケーションやサービスがクラウドに移行してきた現在、アクセス管理はIDaaSで行うことが主流となってきました。そんな中でネットワークへのアクセス管理だけを別のシステムで行うのは、管理者にとって負担となります。
SecureW2ではIDaaSとの認証連携機能を備えています。OneLoginをはじめとするIDaaSと連携をすることで適切なアクセスコントロールを実現することができます。具体的には、IDaaSの中にある任意の属性を利用して、部署ごとにアクセスできる範囲を制限するなどが挙げられます。
クラウドRADIUSの機能
どこからでもRADIUS認証要求が可能
クラウド型のRADIUSであるSecureW2なら、複数の拠点からでもRADIUSに認証要求をすることが可能なので、事業所の数だけRADIUSサーバーを設置する必要がなくなります。
SecureW2はクラウドでRADIUSサービスを確実に提供するために、RADIUSサービスを提供するサーバーを冗長構成で提供します。ご契約 1社ごとに 2台のRADIUSサーバーを提供します。
安全なRADIUS要求が可能
SecureW2はRADIUS over TLS(RadSec)をサポートしています。
RADIUSの通信にはUDPを利用しており、認証情報が流出してしまうという脆弱性があります。RadSecはクライアントとサーバーの間に暗号化されたTLSトンネルを形成するので標準的なRADIUSよりも更に安全です。RADIUSサーバーを使用している組織であれば使用することができますが、複数拠点を持つ企業など従業員がネットワーク間を移動することが予想される状況で一般的に使用されます。
端末の設定が終わった後からでも無線LAN接続設定が可能
クライアント端末の無線LAN認証をするためには、クライアントを特定することとネットワーク設定をすることが必要です。これは、EAP-TLS認証のクライアント証明書とネットワークプロファイルを配布することで実現できます。
SecureW2では、これらのクライアント証明書とネットワークプロファイルを、端末の設定が終わった後からでも配布することができます。配布方法には、MDM連携による自動配布と、JoinNow(ユーザー操作による取得)による配布があります。(詳しくは証明書をデバイスに自動配布 オンボーディングとは参照)これにより、管理者は仮に事業所の無線LAN設定を変えたとしても、再びデバイスを回収しネットワーク設定をする手間から解放されます。
MDMと連携し端末アクセスを一元的に管理
MDM/EMMサービスなどでデバイス管理が広がる昨今では、ネットワークへの端末アクセスを一元的に管理することが求められています。
SecureW2は、Jamf PROやIntuneなどのMDM/EMMサービスとの連携が可能であるため、Jamf PROやIntuneを通じて、法人所有デバイスにいつでも適切に証明書とネットワークプロファイルを再配布できます。
イベントログで不審なイベントを検知
SecureW2のクラウドRADIUSではRADIUSへの問い合わせがあった時刻、ユーザー名、デバイスなどの情報をログとして確認することができます。これにより不審なアクティビティなどを検知することができ、セキュリティ上の問題に対して迅速に対処することができます。
アプライアンス製品との比較
SecureW2の誇るクラウドRADIUSと、従来のアプライアンス製品の比較をします。
| クラウドRADIUS | アプライアンス型RADIUS製品 | |
|---|---|---|
| ユーザーの認可情報 | IDaaSとの認証連携機能 | 独自に設定・管理もしくは、ADと連携 |
| RADIUSサーバーの数 | 事業所の数に依存しない | 事業所が増えるたびに構築する必要あり |
クラウドRADIUS導入までの流れ
このセクションでは、オンプレミス環境にあるRADIUSをSecureW2のクラウドRADIUSに移行するまでの流れを、具体例を交えながらを紹介します。
オンプレRADIUSとクラウドRADIUSはそれぞれ以下の表のように構成されています。
オンプレRADIUS
クラウドRADIUS
オンプレRADIUSの構成で無線LAN認証をするには、社内PCから無線LANコントローラー(WLC)に対して社内RADIUSに認証要求をします。WLCは社内RADIUSの認証結果をもとにPCからの接続の可否を判断します。
一方で、クラウドRADIUSで無線LAN認証を行う際には、MDMから配布された構成プロファイルに記載されている認証局に対して証明書の発行を要求します。認証局により発行された証明書と秘密鍵が端末にサイレントで保管されます。MDMからの指示で端末は旧来のRADIUS認証ではなく新規のRADIUSに対する証明書認証を行います。これによりクラウドRADIUSでの無線LAN認証が実現できます。
実際にオンプレミスのRADIUSからクラウドのRADIUSへ移行する際には以下の手順で作業を実施します。
- ユーザー情報をIdP連携
- SCEPによる証明書配布
- クラウドRADIUSへ切り替え
1. ユーザー情報をIdP連携
社内IdPにある情報をクラウドIDaaS(例:OneLogin)と連携をします。これにより、後でSecureW2とMDMから社内IdPにある情報を利用することができるようになります。クラウドIDaaSはADから受け取ったエンティティ情報をMDM(Jamf Pro)とLDAP連携をします(※Jamf Proのみ)。これにより証明書にユーザー情報(例:メールアドレス)を含めることが可能になります。
2. SCEPによる証明書配布
ユーザーが使用するデバイスをMDMの管理スコープ内に追加します。管理スコープ内に追加された新規デバイス(Mac, Win)に対して構成プロファイルが配布されます。
配布された構成プロファイルに記載されている認証局(SecureW2)にSCEP要求で証明書の発行を要求します。認証局で証明書と秘密鍵が発行されて新規デバイスにサイレントで格納されます。
3. クラウドRADIUSへ切り替え
新規デバイスは証明書を取得すると同時にMDMからネットワーク設定プロファイルも取得します。新規デバイスはMDMからの指示で旧来のRADIUS接続認証から、新規のRADIUSへの証明書認証に切り替えます。このときユーザー側で生じる操作はなにもないため、サイレントにクラウドRADIUSへの移行が完了します。
問い合わせはこちら
ペンティオでは、SecureW2の無料トライアルを承っております。社内環境をヒヤリングさせていただいた後にトライアル環境を準備いたします。
※トライアル環境の準備には数日要することになります。