catch-img

テレワークのセキュリティ強化!多要素認証ソリューションCisco Duoのご紹介

みなさまこんにちは。

セキュリティ系製品担当SEの小林と申します。


新型コロナ対策としてテレワークの導入を検討されている方も多いかと思います。

テレワークの際にはWeb会議システム、VPN、クラウドサービス、VDI…様々なツールを利用することになりますが、ID/パスワードだけだとセキュリティ面が心もとないですよね。


そこで引き合いになるものが多要素認証かと思います。

多要素認証とは?については以下の記事から。

(実は私は天空の城ラピュタをきちんと観たことがありません・・・テレビ放送の度にSNSでトレンド入りをしている「バルス」という言葉が呪文であるということもこの記事で知りました。)


  バルスと多要素認証とDuoSecurityについて ネットワンパートナーズ株式会社ブログサイト


上の記事の最後に紹介させていただいている「Duo Security」ですが、ついに日本での発売が開始されました!

今回はDuoの機能についてご紹介します。


Cisco Duoとは?

Cisco社が販売する多要素認証(MFA)SaaSソリューションです。

Duoでは以下のようなセカンダリー認証をサポートしています。

  • Duo Push:アプリを入れたスマホやウェアラブル端末に通知が届く。承認ボタンをタップするだけ。
  • パスコード:認証用 OTP をアプリで表示する。HOTP/TOTP対応。
  • 電話コールバック:電話がかかってくる。電話に出てキーを押す。
  • ハードウェアトークン:2要素認証用のOTPデバイスをサポート。
  • 生体認証:WebAuthnによる認証。iOSのFace ID/Touch IDにも対応。
  • SMSパスコード:認証用OTPがSMSで届く。インターネット接続不要。
  • FIDO U2F:対応するUSBデバイスをタップして身元を確認。
  • バイパスコード:デバイスを紛失したときにログインできるようにする。

Cisco Duoの利用ケース

  • VPN で多要素認証
  • VDI で多要素認証
  • クラウドサービスで多要素認証
  • Windows ログインで多要素認証
  • SAML プロトコルでクラウドサービスと認証連携/SSO
  • IDプロバイダーで「サードパーティーの多要素認証を使いたい」というニーズに対応
    • ADFS,Azure AD,Okta,OneLogin,PingFederate etc.


DuoのおすすめPoint

簡単でスピーディなDuo Push認証!

Duoでは様々なセカンダリ認証をサポートしていますがおすすめはDuo Pushによる認証です。

スマートフォン側に「Duo Mobile」というアプリを入れておくと、プッシュ通知をタップするだけで認証が完了します。

多要素認証ではまずユーザ名とパスワード入れて、次にパスコード入れて・・・とユーザ側での手入力の手間が多く、抵抗感を感じることもあるかもしれません。

でもDuo Pushを採用すればわずか2タップで認証が完了するのでとても楽かつスピーディーです。



ユーザ登録のしやすさ!

Duoへのユーザの登録は3通りで行うことができます。

  1. 自動登録:LDAP/AD等の情報からユーザをDuoに自動的にユーザを登録できます
  2. 自己登録:利用者側でのユーザ登録が可能です。2分ほどで登録は完了します。機種変更等のモバイルデバイスの情報の追加・更新もポータルページから利用者側で実施できます。
  3. ユーザ情報のインポート:CSVファイルによるユーザのインポートが可能です(手動 or API)


エージェントなしでデバイスとユーザの可視化ができる!

Duoでは単一の管理パネル上でデバイスとユーザの可視化ができます。しかも、デバイス側にはエージェントを入れる必要はありません。一度信頼を確立しても、それを継続的かつ詳細に評価および監視を行います。

【可視化できる主なデバイス状態】

モバイルデバイス

  • 会社貸与のデバイスか?
  • バイオメトリクス(タッチ/フェイス)の状態
  • スクリーンロックの状態
  • 暗号化の状態
  • プラットフォームタイプ
  • デバイスOSの種類、OSバージョン
  • デバイスの所有者
  • Duo Mobileアプリのバージョン

ラップトップ/デスクトップ

  • 会社貸与のデバイスか?
  • OSの種類とバージョン
  • ブラウザの種類とバージョン
  • FlashとJavaプラグインのバージョン
  • OS、ブラウザ、プラグインの状態

↓管理パネルでの可視化イメージ





スマホのセキュリティ診断ができる!

スマホに「Duo Mobile」というアプリを入れておくと、例えば「iOS のバージョンが古い」など問題があれば通知してくれます。この場合は、iOS をアップデートすれば、表示されなくなります。
MDMなしでモバイルデバイスの検疫が可能に!


PC・ブラウザのセキュリティ診断ができる!

PC・ブラウザもセキュリティ診断が可能です。古いOSやブラウザ、Flash、Javaのまま接続していないか?をDuoでチェックします。

もし、OS/ブラウザが古い場合はアクセスをブロックしたり、指定期日までのアップデートを促しすことができます(アップデートしなかったらアクセスブロック)。

「Duo Device Health App」というエージェントをPCへ入れればさらなるデバイス状態のチェックも可能になります。(ファイアウォールが有効化されているか、OSのパッチが何なのかetc.を可視化)


さまざまなアプリケーションで利用可能!

Duoは様々なアプリケーション上で利用できます。多要素認証はDuoだけに統一することも可能です!

【サポートアプリケーション例】

  • Microsoft:Office 365、Outlook、Remote Desktop Services、Windows Server、RRAS
  • VPN:Cisco AnyConnect、Juniper、Citrix、Paloalto、PulseSecure
  • Cloud Apps:Salesforce、Google、Amazon AWS、Box、Dropbox
  • SSO:Microsoft Azure、Okta、Nelogin、Zoom
  • On-Premise:Epic、ORACLE PEOPLESOFT、Vmware Horizon View

サポートしているアプリケーションの詳細は以下をご参照ください。

  Duo Security Documentation Browse detailed documentation, installation and configuration instructions on how to integrate Duo’s solution with a wide range of devices and apps. Duo Security


Duo 接続イメージ

Duoへの接続は連携サーバ経由で行います。※認証方式によっては例外もあります。

  • SAML 認証連携を実現するDuoアクセスゲートウェイ
  • VPN の多要素認証を実現するDuo認証プロキシ


さいごに

以下のサイトでDuoの動作イメージのデモを見ることができます。

  Duo Demos https://demo.duo.com/

無償トライアル(30日間利用可能)も提供されています。以下から申請できます。

  Create Your Duo Account Create Your Duo Account. https://signup.duo.com/trial



簡単ではありますがCisco Duoのご紹介でした。

もしご興味がございましたら、是非、ご気軽に弊社営業担当までお問合せいただければと思います。


Rina Kobayashi

Rina Kobayashi

セールスエンジニアリング部所属。セキュリティ系の製品担当SEとして活動中です。