ユーザーがドメイン外からリモートで作業するときはいつでも、UserLockは、ネットワークへの接続やクラウドベースのリソースへの直接接続において、マシンへのアクセスを保護し続けることができます。
すべてのActive Directory(AD)ユーザーIDが使用されている場合は、それらに多要素認証(MFA)、アクセス管理、およびシングルサインオン(SSO)を追加します。
リモートマシンへのログイン時のMFA
– VPNへの接続は不要
遠隔地にいる従業員のノートパソコンが適切に保護されていないと、悪意ある脅威の侵入口になってしまいます。
UserLockは、企業ネットワークへのセキュアなVPN接続がない場合でも、リモートマシンでのコンピュータログインのセキュリティを確保し続けます。
1. UserLock AnyWhereの利用
リモートワークでは、ユーザーが常にVPNに接続しているとは限りません。UserLock AnyWhereを導入すると、マシンにインストールされたUserLockエージェントが、インターネットを通じてUserLockサービスと連絡を取り続けることができます。これにより、ユーザーがどのマシンでリモートワークをしているか(管理されているか)に関わらず、ユーザーのログイン時にMFAやアクセス管理のポリシーを継続して適用することができます。
2. UserLock エージェントの設定
UserLock AnyWhereが展開されていない場合でも、コンピュータにインストールされているUserLockエージェントによって、マシン上のオフラインアクセスの試みを管理することができます。管理者は、すべてのオフライン接続に対して「常に許可」「常に拒否」「MFAを要求」するようにUserLockを設定できます。「MFAを強制する」というオプションは、まだMFAに登録されていないユーザーのアクセスを拒否します。
ドメイン外からのセキュアな
企業ネットワークアクセス
企業ネットワークの外で働くユーザーが多数いることで、セキュリティリスクが高まっています。
サイバー犯罪者、特にランサムウェアの作成者は、リモートアクセスの脆弱性を鋭く見抜いています。
UserLockは、さまざまなタイプのリモート接続に対応しています。
1. VPN接続にMFAを適用
UserLockのVPNセッション用MFAは、RADIUS(Remote Authentication Dial-In User Service)チャレンジをサポートしています。RADIUSチャレンジは、ユーザーがログイン認証情報の入力に成功した後、別の第2ステップでワンタイムパスワードの入力を促すことができます。
- “RADIUS チャレンジ”をサポートしているVPNソリューションには、Open VPN、Palo Alto、Fortinet、Pulse Secure Connect SSLなどがあります。
2. WindowsのRDP接続とリモートデスクトップ
サービス(RD Gateway)にMFAを適用
Microsoft Remote Desktop Protocol(通称RDP)は、コンピューターへのリモートデスクトップを可能にするために使用されます。リモート・デスクトップ・ゲートウェイ(RDGまたはRDゲートウェイ)は、RDP経由でサーバーへの安全な暗号化接続を提供することで制御を強化するWindowsサーバーの役割です。UserLock MFAを使えば、管理者はどのような状況でこれらの異なるRDP接続に対してMFAが求められるかを定義できます。
- 管理者はまず、エンドユーザーがネットワーク内から他のマシンに接続しているのか、それとも企業ネットワーク外から発信されたログインから接続しているのかに基づいて、RDPログイン時のMFAをカスタマイズすることができます。
- その後、管理者はRDG接続をネットワーク内からのものとするか、ネットワーク外からのものとするかを選択し、MFAを行う状況を定義することができます。
リモートMFAの登録
UserLockでは、企業ネットワークの外でリモートで作業しているユーザーにMFAを登録する方法がいくつか考えられます。
3. リモートデスクトップウェブアクセス
(RD Web Access)にMFAを適用
RD Web Accessは、VPNを使用せずにインターネット経由でリモートデスクトップサーバーに接続し、リモートデスクトップサービスにアクセスする方法です。
RD Web Accessのコンポーネントは、必要なWebページとスクリプトをインターネットインフォメーションサービス(IIS)のサーバーディレクトリにインストールし、ユーザーにリモートデスクトップのWebページインターフェースを提供します。ユーザーは、AD認証情報、URL、サポートされているWebブラウザーがあれば、デスクトップやアプリケーションにアクセスできます。
UserLock MFA for IISを使えば、管理者は二要素認証を必要とする1つまたは複数のWebアプリケーションを対象とすることができます。
- UserLockは、IISがインストールされているサーバーを検知し、自動的にユーザーロックIISエージェントを展開することができます。その後、IISサーバーにUserLock MFA機能をインストールし、UserLock MFAアプリケーションを追加する必要があります。
- その後、Webサイトの設定を行い、MFAの登録を行っていない場合はユーザーをリダイレクトし、IISアプリケーションへのアクセスを許可する前にMFAへのチャレンジを行うように設定します。
4. Microsoft Exchange Server
のOutlook Web AccessにMFAを提供
Outlook Web Access (OWA) は、ユーザーがVPNにログインすることなく、企業ドメイン外からインターネット経由で自分の企業メールボックスにアクセスできる機能です。
UserLock MFA for IISを使えば、IISサーバーでサポートされているExchangeアプリケーションのOWA接続に、第二認証要素を追加することができます。
- UserLockは、IISがインストールされているサーバーを検知し、ユーザーロックIISエージェントを自動的に展開することができます。その後、IISサーバーに「UserLock MFA」機能をインストールし、「UserLock MFA」アプリケーションを追加する必要があります。
- その後、Webサイトの設定を行い、MFAへの登録を行っていない場合は、ユーザーをリダイレクトし、ユーザーの電子メールへのすべてのアクセスに対してMFAを試みるようにします。
5. Microsoft DirectAccess と
AlwaysOn VPNにおけるMFA
DirectAccessは、VPN接続を必要とせずに、リモートユーザーが組織のネットワークリソースに接続することを可能にします。DirectAccess接続では、リモートクライアントコンピュータは常に組織に接続されているため、VPN接続のようにリモートユーザーが接続を開始したり停止したりする必要はありません。
DirectAccessに代わるAlwaysOn VPN は、許可されたクライアントがインターネットに接続しているときはいつでも自動的にVPN接続を確立します。
これらの方法は、マシンのリモート接続を保護するのに役立ちます。従来のVPNとは異なり、ユーザー認証情報の入力を求めるプロンプトはありません。
そのため、UserLockを使えば、リモートユーザーが本人確認を求められたときに、MFAを継続して実行することができます。
クラウドベースのリソースへの
セキュアなダイレクトアクセス
企業は、リモートユーザーがクラウドリソースに直接接続する際に、より強固なセキュリティを確保したいと考えています。
ダイレクトアクセスは、ネットワークの負荷を軽減し、ユーザーエクスペリエンスを向上させることができますが、多くの場合、セキュリティを犠牲にしています。
UserLockは、これらのアプリケーションをコアネットワーク経由でバックホールするのではなく、MFAとシングルサインオン(SSO)を組み合わせて、クラウドベースのアプリケーションに安全かつダイレクトに接続することができます。
UserLock SSOでは、アイデンティティプロバイダーとしてActive Directory(AD)を利用することで、各ユーザーは既存のAD認証情報を使って一度だけログインすることができます。緻密なMFAと組み合わせることで、ユーザーがクラウドにアクセスする前に二認証要素を追加して本人確認を行うことができます。
1. Windowsネットワークで認証されている
ユーザーによるブラウザでのアクセス
アクセスはすぐに許可されます。UserLock SSOは、クラウドアプリケーションにユーザーのアイデンティティを主張し、ユーザーがアプリケーションにログインすることなく認証されます。企業ネットワーク内でもリモートでも変わりません。
(管理者設定で必要に応じてMFAを再度要求することも可能です)
2. Windowsネットワークで認証されていない
ユーザーによるブラウザでのアクセス
ユーザーはクラウドアプリケーションに企業のメールアドレスを入力してログインします。UserLock SSOは、ユーザーにWindowsドメインのログイン認証情報(有効な場合は二要素認証)の入力を促します。ユーザーはログインに成功し、アプリケーションにリダイレクトされます。スマートフォンのブラウザでも、パソコンのブラウザでも、モバイルアプリでも違いはありません。
(管理者設定で必要に応じてMFAを再度要求することも可能です)
3. 2つ目の異なるクラウドアプリに
アクセスしようとした場合
アクセスは直ちに許可されます。ただし管理者設定で必要な場合は、各ログイン時に多要素認証を要求できます。
アクセス管理による更なるセキュリティ
認証された後は、コンテクストに応じたログイン制限とリモートセッション管理により、ADのアイデンティティをさらに保護し、すべてのリソースへの安全なリモートアクセスを実現します。
例として:
1. リモートアクセスを許可されたマシンに限定
UserLockでは、VPNアクセスを社内の許可されたマシンだけに制限することができます。
それ以外のマシンからのアクセスは拒否されます。
2. 特定の国へのリモートアクセスを制限
ジオロケーション制限では、管理者が国(ジオロケーション)に基づいてリモートログインを制限することができます。この制限は、選択可能な国のリストからのログインを禁止/許可します。
3. ログオフ時間と勤務時間の設定
在宅勤務の急速な普及により、多くの組織ではセキュリティリスクの低減や不正な残業を減らすためにネットワークログインの時間ポリシーを適用できなくなっています。
UserLock AnyWhereは、マシンが企業ネットワークの外にあっても、これらの制限を適用し続けることができます。UserLock AnyWhereのエージェントはサービスと連絡を取り続け、ユーザーが許容される労働時間を超えた場合、強制的にログオフさせることができます。
リモートアクセスが例外ではなく主流になりつつある中、UserLockは不適切なアクセスや不審なアクセスから保護することで、管理者がセキュリティに対するリスクを軽減するのに役立ちます。
François Amigorena – CEO of IS Decisions