Meraki

Meraki 第114回 「MACフィルタやめませんか?Systems Managerで簡単デバイス認証」

 こんにちは。Meraki担当のDsasです。
 今回は久しぶりにワイヤレスのお話です。
 タイトルにも書かせて頂いた通り、MACアドレスフィルタに代わるデバイス認証の手段として、MDM製品のSystems Managerを利用する方法についてご紹介します。

 偽装が簡単な上に盗聴も容易なMACアドレスを使用したフィルタリングは、セキュリティ上ほとんど意味がない、と言うのはもう随分昔から言われ続けてきましたが、未だに使われているのはやはり簡単に使えるから、というのがあると思います。

 逆にMACアドレスに代わる強固なデバイス認証の代表格である証明書認証は、運用上の負荷が高くあまり普及が進んでいません。認証サーバや認証局(CA)を用意する必要があるというハードルがありますし、やっぱり証明書を発行したり、定期的に更新したりするのが大変なんですよね。。。

 そこで今回お勧めするのが、Systems Manager Sentry WiFiというMeraki独自の仕組みです。ざっくり言うと、対象のデバイスをMerakiのSystems Manager配下に登録するだけで証明書認証ができるようになる、という仕組みです。
 ポイントは、サーバレスでとにかく簡単、というところです。
 私も試しに設定してみたのですが、従来の証明書認証と比べると本当に簡単に設定できてしまいました。具体的な手順については以下のドキュメントにまとめておりますので是非ご覧ください。
 ・MRシリーズのSystems Managerを使用したEAP-TLS認証の設定

 費用の面では、Meraki MRシリーズに加えて対象のデバイス数分のSystems Managerライセンスが必要追加費用として発生するのですが、別途認証サーバやCAを用意するコストや運用の手間を考えると十分検討できる範囲なのではないかなと思います。

 また、今回は認証のための手段としてSystems Managerを紹介していますが、別途MDMを入れるメリットとしてデバイスの詳細な可視化が実現できる点が挙げられます。
 今回ドキュメント作成にあたりWindows10を使用しており、正直Windows端末をMDM管理しても大したことできないのでは?と思っていたのですが、スペックやセキュリティ設定の取得はもちろん、スクリーンショットの取得やリモートデスクトップもSystems Manager経由で出来るようになりました。スゴイ!
 こうした点もセキュリティ強化、という要素では付加価値としてお客様にご提案できるのではないかと思います。

 MACアドレスフィルタの脆弱性を切り口にぜひ、MerakiならではのSystems Manager Sentry WiFiをご提案頂けますと幸いです。

 今回は以上です。お読みいただきありがとうございました。

全44回のMeraki過去記事を掲載中!

製品情報や導入事例を掲載中!

使いやすいと好評!選び方ガイド無料DL!

カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。
必要に応じて、ログインしてご利用ください。
iDATEN(韋駄天)のご利用に関してご不明点があるお客様は こちら をお読みください。

Ciscoの記事