以前と比べると「二要素認証」という言葉も一般化し、セキュリティに対する意識もますます強くなってきています。弊社でも、二要素認証でPCログオンのセキュリティを強化する製品をいくつかリリースしていますが、今回は「YubiOn Portal」という製品に関してご紹介したいと思います。
尚、具体的な機能や詳細な導入手順の紹介は「YubiOn Portal」のHPに委ねるとして、今回はよくいただくお問い合わせ「自社の環境にYubiOn Portalはどのように使えるか?」に対して、導入例を交えつつお答えしていきたいと思います。
こんな方にオススメの記事となってます |
|---|
・社内PCのセキュリティ対策を考えているSE ・YubiOn Portalに興味のある方 |
目次
そもそもYubiOn Portalって何? |
株式会社ソフト技研が開発・提供する二要素認証サービスです。
社内の各PCに、認証デバイスYubiKeyを利用したワンタイムパスワード(OTP)と従来のパスワード入力の二要素認証を強制させることにより、セキュリティの強化を図ることを可能としています。
また、管理者はPortalサイトで各PCのログオン管理を行ったり、GoogleやMicrosoft 365のサービスにSSOログインできたりします。
社内に新たに認証サーバー等を構築する必要はありません。
※YubiKey:Yubico社提供の認証デバイス。5シリーズ以降が対象。
設定を独自に変更している場合はサポート対象外となっています。
YubiOn Portalを導入する前に考えておくことは? |
|---|
まず、YubiOn Portalは無料体験版がありますので、「とりあえず」の気持ちで体験していただくことが可能です。
しかし、「とは言っても」という方もおられると思うので、以下に必要な環境を挙げておきます。
動作環境に関しては、こちらをご確認ください。
また、上でも紹介していますが、YubiKeyが必要です。5シリーズ以降のYubiKeyをご用意ください。
とは言っても、いきなり購入するのはハードルが高い、という方は弊社までお問い合わせください。
無償でお貸しすることも可能です。
本格導入の前に検証したいが、どうすればいい? |
ある企業の社内SEを例に挙げて紹介していきましょう。
背景 | ・PCはパスワードのみで管理している ・Active Directoryのポリシーで定期的なパスワード変更を行っている ・会社がリモートワーク推奨になり、支給PCを社外に持ち出すことが多くなった ため、セキュリティ対策として二要素認証を必須化することにした |
目標 | ・全社員のPCに二要素認証を導入する |
環境 | ・対象となる社員は100名ほど(1人1台PCを利用中) ・本社以外に複数拠点があり、各拠点には共用で使用するPCが数台ある ・管理者は自分以外にも複数人存在する ・YubiKeyはまだ準備していない |
1. YubiOn Portalの登録を行い、まず無料版を試してみます。
2. カスタマー情報を登録します。
この時登録した利用者情報が「担当者(代表者)」(登録後も変更可)になります。
担当者は登録後、管理者として管理サイトにアクセスできるようになります。
3. 初期設定として、紐付けるYubiKeyを登録します。
現時点では、YubiKeyをまだ準備していないので、画面右下の「設定を中断してカスタマー情報を確認する」リンクをクリックし、設定作業を一旦中断します。
カスタマー情報画面が表示され、メンバーとして自分の設定した情報が登録されていることが分かります。
【Tips】 無料版の制約として、 ・メンバー、YubiKey、PCはそれぞれ3つまでしか登録できません。 ・二要素認証を必須化する設定はできません。 などがあります。 |
詳細は機能比較表を参照してください。
4. YubiKeyを入手します。
ソフト技研でYubiKeyの貸し出しを行っていますので、問い合わせて入手します。
また、有償版のお試し利用も可能なので、合わせて申し込みます。
ソフト技研側で有償版設定の開放を行うことで、すべての機能が使用できるようになります。
まずは検証用として使いたいので、今回は「10ライセンス」で申し込みました。
5. YubiKeyの登録を行います。
貸出用YubiKey到着後、再度管理Webサイトにログインし、前回中断したYubiKeyの登録を行います。
PCのUSBにYubiKeyを差した状態で金属部分をタッチすることで、OTPの入力が行えます。
【Tips】 このときYubiKeyはキーボードデバイスとして認識されます。 |
そのままクライアントソフトをダウンロードできますが、検証は別PCで行いたいため一旦キャンセルします。
有償版となっているため上限が「10ライセンス」になっていることが確認できます。
6. 検証用のPCにクライアントソフトをインストールします。
検証用のPCで再度管理Webサイトにログインし、ダウンロード画面を開きます。
クライアントソフトのインストーラーをダウンロードし、インストールを開始します。
クライアントソフトの動作に必要なランタイムのインストール等も行われますので、インストーラーの案内に従ってインストールを進めます。
インストールが終われば、設定ツールが起動し、その際にサーバーと通信が行われ、PCの情報が登録されます。
管理Webサイトで登録したメールアドレスとパスワード、YubiKeyのOTPを入力します。
認証が正しく行われると、PCの情報がYubiOn Portalに登録されます。
引き続き、設定ツールでPCアカウントとYubiKeyの割り当てを行います。
割り当てが完了すると、Web画面でもその状態が確認できました。
7. 一通り設定が終わったところで、ログオンを試してみます。
検証用PCをロックします。
サインインオプションにYubiOn Portalのログオン方法が追加されているので、選択します。
パスワードを入力した後、そのままYubiKeyにタッチすると、自動的にOTPが入力され、ロックが解除されます。
YubiKeyを使ってログオンができました!
8. 二要素認証を必須にしてみます。
初期設定では、サインインオプションでパスワードのみのログオンも選択できる状態なのですが、セキュリティ要件である二要素認証を必須にしたいと思います。
Web管理画面のサービス設定画面を開き、グループポリシーの設定を行っていきます。
登録されたPCは最初はデフォルトポリシーに割り当てられているため、新たにグループポリシーを作ることにします。
グループポリシーを作成し、YubiKeyを強制するように設定しました。
先程ログオンを試したPCにこのグループポリシーを割り当てます。
割り当て直後はまだPCに情報が伝わっていないため、古いポリシーが反映されたままの状態であることが確認できます。
9. 二要素認証が必須になっていることを確認します。
PC側はロックや再起動時、設定ツールのログイン時にサーバーと通信するので、一度PCをロック状態にします。
PCのログオン画面からサインインオプションが表示されなくなり、YubiOn Portalのログオン画面のみが表示されるようになっています。
この状態でもう一度パスワードとYubiKeyのOTPを入力します。
正常にログオンできました。
パスワードのみではログオンできない状態になっていますので、セキュリティ要件の二要素認証必須を満たすことが確認できました。
本格導入したいが、どうすればいい? |
検討を経て、本格導入することを決定しました。
前章の事例をもとに、導入に向けて今後行う作業を挙げてみましょう。
背景 | ・PCはパスワードのみで管理している ・Active Directoryのポリシーで定期的なパスワード変更を行っている ・会社がリモートワーク推奨になり、支給PCを社外に持ち出すことが多くなった ため、セキュリティ対策として二要素認証を必須化することにした |
目標 | ・全社員のPCに二要素認証を導入する |
環境 | ・対象となる社員は100名ほど(1人1台PCを利用中) ・本社以外に複数拠点があり、各拠点には共用で使用するPCが数台ある ・管理者は自分以外にも複数人存在する ・YubiKeyはまだ準備していない |
【方針】
Active Directory環境下にあるが、ADの設定は変更せずにYubiOn Portalを導入する。
現在、PCはパスワードのみで管理されているので、YubiKey+パスワードの二要素認証を行う。
リモートワーク中の全社員に1本ずつYubiKeyを配布する。
ただし、資産管理の面からどの社員がどのYubiKeyを使用しているか把握しておく。
人数が多いため、社員とYubiKeyの割り当て作業は社員が各自で行う。
各拠点に管理者を1人立て、拠点に所属する社員、YubiKey、共用PCのログオン管理を行う。
また、ポリシーの管理は各拠点の管理者が行うこととする。
1. 有償版切り替え
お問い合わせフォームより有償版を申し込みます。
2. メンバー登録
YubiOn Portalのメンバー管理画面にて、社員を「一般メンバー」、もしくは「管理者メンバー」として登録します。
今回は、各拠点に1人ずつ「管理者」を選定し、それ以外の社員を「一般メンバー」に割り当てました。
人数が多いので、CSV一括登録機能を使用し、登録を行いました。
3. YubiKey入手
各社員に1本ずつ割り当て、かつ各拠点にマスター用、共用PC用、予備として数本余裕を持って配備しておきたいので、YubiKeyを100本超購入しました。
購入したYubiKeyが到着したら、どの社員にどのYubiKeyを配布するかを決定し、Excel等にまとめておきます。
YubiKey本体にシリアル番号が刻印されていますので、YubiKeyの区別はその番号を利用します。 資産管理を行う場合もこの番号を使うとよいでしょう。
また、端末が常にネットワークに接続しているとは限らないため、オフライン状態でも使用できるよう配布前にYubiKeyオフライン設定を行いました。
4. YubiKey配布
計画に従って、リモートワーク中の各社員にYubiKeyを送付します。
各自に行き渡り、割り当て設定が終わるまで運用の開始(YubiKeyを使用した二要素認証を必須とするポリシーの割り当て)を待つ必要があります。
5. YubiKey割り当て
YubiKeyの割り当ては管理者が設定する方法と各社員が各自で設定する方法がありますが、今回は後者を選択します。
全社員に登録メールを送付し、各自にYubiKeyの登録を行ってもらいます。
6. 共用PCの設定
各拠点に設置されている共用PCにも二要素認証の設定を行います。
各拠点の管理者がそれぞれ共用PC用のYubiKeyを用意し、割り当て作業を行いました。
7. ポリシー作成
YubiOn Portalのサービス設定画面にて、YubiKeyを使用した二要素認証を必須とするポリシーを作成します。
また、各拠点の管理者は新たにサービス設定を追加していき、拠点独自のポリシーを作成することも可能です。
8. 運用開始
管理者は所属社員の設定が完了したことを、端末一覧画面にすべてのPCが登録されていることを確認できたら運用を開始します。
二要素認証用のポリシーを社員に割り当てることで、次回ログオン時からYubiKeyのOTPとパスワードによる二要素認証が必須となります。
以上が本格導入のための一例になります。
また、「YubiOn Portalガイド」にも情報がございますのでぜひご参照ください。
本格運用後、こんな場合はどうする? |
実際、運用が始まったら以下のようなことが起こると考えられます。
○出先でYubiKeyを忘れてログオンできない
一時的にパスワードのみでログオンできる設定(緊急ログオン)を行います。
詳細はこちらをご参照ください。
○YubiKeyを紛失した
YubiKey管理画面より、紛失したYubiKeyを無効にします。
その後、予備のYubiKeyを登録してから当該社員に割り当て、送付します。
○ログを確認したい
ログの確認方法はこちらをご参照ください。
他にも、「YubiOn Portal FAQ」に様々なケースが載せられていますのでご参照ください。
おわりに |
今回の記事で行った作業内容は、YubiOn Portalを導入するためのほんの一例ですので、登録や運用方法に関してはこれ以外にも多数あります。
ご興味を持たれましたらぜひお問い合わせください。