2017年9月12日火曜日

Gluegent Gateの運用パターン - アクセス制御編 -

Gluegent Gateは多くの機能があり、運用を始める前に、自分の組織にどのような機能を適用するのがよいか決定するのは、なかなか大変です。この記事では、実際にご利用いただいているお客様はどのような使い方をされているのか、いくかのパターンに類型化して、ご紹介いたします。

 Gluegent Gate

ポイントは、SSO、アクセス制御、ID管理

パターンを理解するためのポイントは、以下の三点です。
  • どのようなサービスをSSOの対象にするか
  • 利用者の利用をどのように制限するか
  • IDの管理をどのようにするか
なぜ、「SSO」と「アクセス制御」、「ID管理」を組み合わせるのか?の記事でも触れましたが、Gluegent Gateは、これらの機能を組み合わせることで高度な利便性とセキュリティを実現しています。今回は、アクセス制御に着目して利用の多いパターンをご紹介します。

利用者のIPアドレスを制限

もっともシンプルな利用方法がこのスタイルです。対象のサービスについて、特定の固定されたIPアドレスからのみのアクセスを許すという要件を満たします。G Suiteを導入したいが、社外からのアクセスをさせたくないような場合に有効です。比較的小規模な組織でクラウドサービスを入れたいが、扱う情報の質や、利用者のリテラシーを考えると、素のままのサービスでは、不安があるようなケースでご利用いただく場合は、この構成を提案いたします。 この環境では、社内のネットワークであれば、許可されるので、個人で持ち込んだ機器も社内ネットワークにつながりさえすれば、利用することができます。また、社外からもVPNで社内ネットワークにアクセスできれば、そのまま利用することができます。つまり、社内ネットワークでもある程度の制御が出来るとより高度なセキュリティを実現できます。

利用者のIPアドレスを制限、端末を制限

IPアドレスの制限に加えて、管理者がアクセスを許可した端末のみから利用させたいというパターンです。特定のIPアドレスからは、全てのユーザが利用可能としておき、特定のユーザについては、特定の端末を渡し、任意のIPアドレスからアクセスすることができるようにします。
社外からも頻繁に利用したいような場合に、VPNで繋がずに通常の通信業者のネットワークを利用して、高いセキュリティを実現できます。組織がゆるした特定の端末のみですので、社員の自宅のPCや、公衆利用のPCからはアクセスできません。セキュアな領域を区切ることで、過失による情報の流出を防ぐ事ができます。
端末制御は、以下の方式のいずれかで実現します。
  • アプリケーション認証(有償オプション)
  • 証明書認証(有償オプション)
  • アクセスキー認証(無償)
アプリケーション認証は、予め専用のアプリケーション「SeciossPass」で、利用申請を行い、管理者に承認された端末からのみのアクセスを許すという方式です。
SeciossPassは、PC版、iOS版、Android版を提供しております。
証明書認証は、お客様が所有されているクライアント証明書がインストールされた端末のみ許可するという方式です。クライアント証明書を配布・管理する手間がかかりますが、アプリケーションを入れる必要はありません。
アクセスキー認証は、予めユーザが申請し、管理者が承認したアクセスキーを保持するブラウザからのアクセスのみ許可するという方式です。アクセスキーは、ブラウザのCookieとして保持されます。
これらの方式は、運用の容易さやセキュリティの強さに特徴がありますので、環境に合わせてその特徴を検討の上、ご利用ください。

アクセス制御の運用

適用するグループや組織などを考えると実際にはもっと複雑ですが、アクセス制御のパターンは、大きく以上の二点となります。対象とするサービスや、組織で扱う情報の質、一般ユーザの利用形態、運用の継続性など、多くの要素を検討した上で、どのようなアクセス制御をするとよいのか、考える必要があります。


以上の通り、Gluegent Gateでは様々なアクセス制御が行え、クラウドをセキュアに利用することが可能となるサービスです。自分の組織では、どのような制御をしたら良いかわからないという方は、是非一度ご相談ください。

 Gluegent Gate