テレワークのセキュリティ強化!多要素認証ソリューションCisco Duoのご紹介
みなさまこんにちは。
セキュリティ系製品担当SEの小林と申します。
新型コロナ対策としてテレワークの導入を検討されている方も多いかと思います。
テレワークの際にはWeb会議システム、VPN、クラウドサービス、VDI…様々なツールを利用することになりますが、ID/パスワードだけだとセキュリティ面が心もとないですよね。
そこで引き合いになるものが多要素認証かと思います。
多要素認証とは?については以下の記事から。
(実は私は天空の城ラピュタをきちんと観たことがありません・・・テレビ放送の度にSNSでトレンド入りをしている「バルス」という言葉が呪文であるということもこの記事で知りました。)
上の記事の最後に紹介させていただいている「Duo Security」ですが、ついに日本での発売が開始されました!
今回はDuoの機能についてご紹介します。
目次[非表示]
- 1.Cisco Duoとは?
- 2.Cisco Duoの利用ケース
- 3.DuoのおすすめPoint
- 3.1.簡単でスピーディなDuo Push認証!
- 3.2.ユーザ登録のしやすさ!
- 3.3.エージェントなしでデバイスとユーザの可視化ができる!
- 3.4.スマホのセキュリティ診断ができる!
- 3.5.PC・ブラウザのセキュリティ診断ができる!
- 3.6.さまざまなアプリケーションで利用可能!
- 4.Duo 接続イメージ
- 5.さいごに
Cisco Duoとは?
Cisco社が販売する多要素認証(MFA)SaaSソリューションです。
Duoでは以下のようなセカンダリー認証をサポートしています。
- Duo Push:アプリを入れたスマホやウェアラブル端末に通知が届く。承認ボタンをタップするだけ。
- パスコード:認証用 OTP をアプリで表示する。HOTP/TOTP対応。
- 電話コールバック:電話がかかってくる。電話に出てキーを押す。
- ハードウェアトークン:2要素認証用のOTPデバイスをサポート。
- 生体認証:WebAuthnによる認証。iOSのFace ID/Touch IDにも対応。
- SMSパスコード:認証用OTPがSMSで届く。インターネット接続不要。
- FIDO U2F:対応するUSBデバイスをタップして身元を確認。
- バイパスコード:デバイスを紛失したときにログインできるようにする。
Cisco Duoの利用ケース
- VPN で多要素認証
- VDI で多要素認証
- クラウドサービスで多要素認証
- Windows ログインで多要素認証
- SAML プロトコルでクラウドサービスと認証連携/SSO
- IDプロバイダーで「サードパーティーの多要素認証を使いたい」というニーズに対応
- ADFS,Azure AD,Okta,OneLogin,PingFederate etc.
DuoのおすすめPoint
簡単でスピーディなDuo Push認証!
Duoでは様々なセカンダリ認証をサポートしていますがおすすめはDuo Pushによる認証です。
スマートフォン側に「Duo Mobile」というアプリを入れておくと、プッシュ通知をタップするだけで認証が完了します。
多要素認証ではまずユーザ名とパスワード入れて、次にパスコード入れて・・・とユーザ側での手入力の手間が多く、抵抗感を感じることもあるかもしれません。
でもDuo Pushを採用すればわずか2タップで認証が完了するのでとても楽かつスピーディーです。
ユーザ登録のしやすさ!
Duoへのユーザの登録は3通りで行うことができます。
- 自動登録:LDAP/AD等の情報からユーザをDuoに自動的にユーザを登録できます
- 自己登録:利用者側でのユーザ登録が可能です。2分ほどで登録は完了します。機種変更等のモバイルデバイスの情報の追加・更新もポータルページから利用者側で実施できます。
- ユーザ情報のインポート:CSVファイルによるユーザのインポートが可能です(手動 or API)
エージェントなしでデバイスとユーザの可視化ができる!
Duoでは単一の管理パネル上でデバイスとユーザの可視化ができます。しかも、デバイス側にはエージェントを入れる必要はありません。一度信頼を確立しても、それを継続的かつ詳細に評価および監視を行います。
【可視化できる主なデバイス状態】
モバイルデバイス
- 会社貸与のデバイスか?
- バイオメトリクス(タッチ/フェイス)の状態
- スクリーンロックの状態
- 暗号化の状態
- プラットフォームタイプ
- デバイスOSの種類、OSバージョン
- デバイスの所有者
- Duo Mobileアプリのバージョン
ラップトップ/デスクトップ
- 会社貸与のデバイスか?
- OSの種類とバージョン
- ブラウザの種類とバージョン
- FlashとJavaプラグインのバージョン
- OS、ブラウザ、プラグインの状態
↓管理パネルでの可視化イメージ
スマホのセキュリティ診断ができる!
スマホに「Duo Mobile」というアプリを入れておくと、例えば「iOS のバージョンが古い」など問題があれば通知してくれます。この場合は、iOS をアップデートすれば、表示されなくなります。
MDMなしでモバイルデバイスの検疫が可能に!
PC・ブラウザのセキュリティ診断ができる!
PC・ブラウザもセキュリティ診断が可能です。古いOSやブラウザ、Flash、Javaのまま接続していないか?をDuoでチェックします。
もし、OS/ブラウザが古い場合はアクセスをブロックしたり、指定期日までのアップデートを促しすことができます(アップデートしなかったらアクセスブロック)。
「Duo Device Health App」というエージェントをPCへ入れればさらなるデバイス状態のチェックも可能になります。(ファイアウォールが有効化されているか、OSのパッチが何なのかetc.を可視化)
さまざまなアプリケーションで利用可能!
Duoは様々なアプリケーション上で利用できます。多要素認証はDuoだけに統一することも可能です!
【サポートアプリケーション例】
- Microsoft:Office 365、Outlook、Remote Desktop Services、Windows Server、RRAS
- VPN:Cisco AnyConnect、Juniper、Citrix、Paloalto、PulseSecure
- Cloud Apps:Salesforce、Google、Amazon AWS、Box、Dropbox
- SSO:Microsoft Azure、Okta、Nelogin、Zoom
- On-Premise:Epic、ORACLE PEOPLESOFT、Vmware Horizon View
サポートしているアプリケーションの詳細は以下をご参照ください。
Duo 接続イメージ
Duoへの接続は連携サーバ経由で行います。※認証方式によっては例外もあります。
- SAML 認証連携を実現するDuoアクセスゲートウェイ
- VPN の多要素認証を実現するDuo認証プロキシ
さいごに
以下のサイトでDuoの動作イメージのデモを見ることができます。
無償トライアル(30日間利用可能)も提供されています。以下から申請できます。
簡単ではありますがCisco Duoのご紹介でした。
もしご興味がございましたら、是非、ご気軽に弊社営業担当までお問合せいただければと思います。
