統合アクセス管理 GoodAccess のゼロトラスト強化

アクセス管理基盤SaaSとなる GoodAccess について、昨年の3月に このオリゾン通信 でもご紹介しました。GoodAccessはよりセキュアなシステムアクセス環境の実現に向け、様々なセキュリティー機能強化を行ってきており、この記事ではその概要についてご紹介させていただきます。

GoodAccessはクラウド上に配置されたゲートウエイで、そこを経由することですべてのユーザーの認証・認可やロギングなどを一元管理することができます。クラウド上に配置されることから、地理的にも分散されているユーザーが、分散されているシステムリソースを利用する構図で、その優位性が発揮されることとなります。GoodAccessでは、そのゲートウエイのアクセスに専用のクライアントプログラムが使用され、そのプログラムによりクライアント自身のポリシー検証が実施されます。これによりシステムリソースへのアクセス可否判断に、クライアントのポリシー準拠状況を反映させることも可能となっています。またゲートウエイを必ず通る通信モデルとなるため、アクセス対象へのブラックリスト検証なども実装されています。GoodAccessにより、アクセス管理の運用統合の他、End-to-Endでのセキュリティーレベルの底上げが実現できます。


認証機構の強化点

クライアントプログラムへのログイン時など、操作の簡略化のためのSSO(シングルサインオン)対応では、Azure AD(Entra ID)やOktaなど主要認証連携サービスに対応しています。認証連携方式ではSAMLに対応しているため、様々なSAML IdP(アイデンティティープロバイダー)にも対応可能となっています。また認証と対になるID連携ではSCIM(System for Cross-domain Identity Management)を実装することで、ID管理製品とのID連携の自動化を行うことができ、認証基盤の効率的な運用を実現します。

認証強度という観点では多要素認証として、GoogleやMicrosoftなどの主なAuthenticatorのワンタイムパスワードを2要素目の認証として設定が可能です。また別途弊社で取り扱っている 認証ソリューションProID などの、外部認証機構と連携させることで、生体認証などの幅広い認証方式も取り入れることが可能となります。


リスク検知関連機能の強化点

GoodAccessは、デフォルトで内部実装しているDNSを利用することができます。このDNSを参照する際にDNSフィルタリング(Threat Blocker)を行うことができ、リスクのあるサイトのロギングやアクセスの阻止が可能となります。このブラックリスト情報は随時更新されており、既知の危険なサイトのアクセス阻止に有効な仕組みとなっています。

GoodAccessではクライアントに導入されたプログラムから、ゲートウエイへアクセスする構図となりますが、このプログラムによりクライアント環境を検証する仕組みが取り入れられました。Windowsの場合、以下のような情報をクライアントでは一定時間ごとに検証し、GoodAccessゲートウエイでその収集された情報が処理判断されています。GoodAccessゲートウエイへの接続時のみではなく、継続的な検証を行うことでゼロトラストの考え方に沿ったセキュリティー機構となっています。

Windowsクライアントで検証される属性

  • Supported OS versions only(ベンダーにサポートされているOSバージョンのみ)
  • Supported Client App versions only(サポートされているGoodAccessクライアントのみ)
  • Disk encryption enabled(ディスク暗号化設定)
  • Lock screen with authentication(画面ロック設定とその解除のための認証設定)
  • Running antivirus(アンチウイルスの有効化)
  • Updated antivirus(アンチウイルスの最新ウィルス定義の使用)
  • Firewall enabled(ファイアーウォールの有効化)
  • Part of a domain(所属ドメインの指定)
  • Registry key(設定されるべき特定のレジストリ-キー)
  • File in specific location(特定のファイルの配置)
  • Running service(アクティブ化必須のサービス)
  • Running process(アクティブ化必須のプロセス)

その他、クライアントのログイン時の場所を管理コンソールの地図上で表示できるため、通常のアクセスと大きく異なるアクセスが観測される場合などを、管理者が把握することが可能となります。フィッシングなどログイン情報の漏洩が重篤な問題を引き起こす懸念から、想定外の国・地域からのアクセスなど、重大な情報漏洩事故を未然に防ぐ施策として活用が可能です。

管理コンソールからは、個々のユーザーのディバイスや利用OS・通信データ量など様々な情報を得られるため、疑わしい事象が発生した際の調査に有効です。また計画されているSIEM製品とのインテグレーションにより、よりタイムリーなリスク検知が期待され、広範囲に広がるユーザーやシステムを横断したIT基盤のセキュリティーに、効果的なモニタリング基盤としても期待されます。


アクセス基盤の最適化に向けて

一部の企業ではコロナ5類への移行後オフィスワーク回帰の動きもみられましたが、ITや通信インフラの進化により、リモートワークによる社員の勤務をどう効率的かつ安全に管理できるかというテーマが、一層必然のものと認識されるようになりました。また利用するシステムもクラウドをはじめ、地理的にも広く分散する傾向にあり、それらを包括的に管理できる仕組みが求められています。

一方、頻繁にニュースに取り上げられるランサムウエア被害のように、セキュリティーの懸念はすでにグローバル化したネットワーク基盤では不可避なビジネス課題となりました。アクセス環境の統合管理とセキュアなEnd-to-Endの業務基盤としてGoodAccessを是非ご検討下さい。