Cisco 担当者コラム
Cisco・Security
Security 第57回「Duo パスワードレス認証を用いたSecure Client(AnyConnect)連携について」
こんにちは。セキュリティ製品担当の長岡です。
今回はCisco Secure Access by Duo(以下Duo)のMFAライセンス以上で利用可能なパスワードレス認証について、Secure Client(AnyConnect)と連携した形でご紹介します。
まず始めにDuoについて簡単にご紹介致します。DuoはCisco社が提供する認証時のセキュリティを向上させるSaaSソリューションです。
オンプレミスのサーバーやアプリケーション、さらにクラウドアプリケーション(SaaS)へのアクセス時に以下の様なセカンダリ認証を付加し、ゼロトラストアクセスを実現します。
そして今回ご紹介するDuo パスワードレス認証とは、その名の通りパスワード「無し」で認証を行う認証の方式です。このパスワードレス認証にはどのようなメリットがあるのか、現状のパスワード認証の問題点と合わせてご説明します。
1.管理者(ヘルプデスク)の負担増加
ユーザーのパスワード失念やアカウントロック等による問合せ対応は、管理者の日々の業務を圧迫します。SaaS等で利用するアプリケーションが増えるほど、パスワードに関する問合せは増加することが予測されます。
2.ユーザーエクスペリエンスの低下
1企業で使用する平均のパスワード数は191にもなると言われています。これらを厳格に管理することは非常に難しく、その結果ユーザーエクスペリエンスは低下してしまうでしょう。
3.セキュリティ上の問題
攻撃者による不正侵入の81%以上は、ID/パスワードの漏洩や脆弱なパスワードが原因であると言われています。
上記を踏まえ、パスワードレス認証のメリットについてご紹介します。
1.管理者(ヘルプデスク)の負担軽減
ユーザーのパスワード管理が必要無くなるため、管理者へのパスワードに関する問合せも減少させることができます。その結果管理者は、自分の業務により集中できるようになるでしょう。
2.ユーザーエクスペリエンスの向上
パスワードレス認証により、ユーザーは前述の煩雑なパスワード管理から解放されます。これにより認証に関わるユーザーエクスペリエンスを向上させることができます。
3.認証の強度の向上(セキュリティの強化)
パスワードレス認証ではFIDO2と呼ばれる技術規格に準拠した認証器(Authenticator)が使用されます。認証器には、「外付け認証器(PCのUSBポート等に接続して使用する方式)」と、「プラットフォーム認証器(指紋や顔認証の機能を搭載したスマートフォンやPCを使用する方式)」があります。この認証器により、ユーザーの指紋や虹彩等を認証情報として使用することができるようになります。このような生体情報は、そのユーザーしか持ち得ないユニークなものであるため、正規のユーザーであるという信頼性を高め、認証の強度を大きく向上させることができます。
そして今回は、このパスワードレス認証を、Cisco社が提供するリモートアクセスVPNソリューション「ASA+SecureClient(AnyConnect)」と連携し検証してみました。
DuoとASA+Secure Clientには予め下記のリンクを参考にシングルサインオン連携の設定を実施しておきます。本検証ではDuo Single Sign-Onの認証ソースはオンプレミスのActiveDirectoryを使用しています。
https://duo.com/docs/sso-ciscoasa
Duo パスワードレス認証の設定
まずはDuo ダッシュボードでパスワードレス認証を有効化します。
次に、ユーザーがパスワードレス認証を利用するためのポリシーを作成します。
作成したポリシーを、ASA+Secure Clientと紐付けます。
参考リンク
https://duo.com/docs/passwordless
設定完了後、Secure Clientを起動し、VPN接続を実施します。
初回のみユーザーID、パスワードを入力します。
VPN接続完了後、パスワードレス認証設定の画面が表示されるので、案内に従いセットアップを実施します。今回はWindows Helloをパスワードレス認証の方式として追加しました。
セットアップ完了後、再度VPN接続を試してみます。
認証画面が表示されるので [Next] をクリックします(Email Address(ユーザーID)は自動入力されます)。するとWindows Helloでの認証画面に遷移し、認証が成功するとVPN接続が完了します。
従来のようにパスワードを入力することなく、VPN接続を完了することができました。非常にスムーズに認証が完了し、パスワードの失念や入力ミス等による認証の失敗が起こることも無くなるため、ユーザーにとっての利便性は大きく向上すると感じました。
オンプレミスのアプリケーションやSaaS等、業務に様々なアプリケーションを利用する環境で特に役に立つのではないでしょうか。
今回は以上です。
お読みいただきありがとうございました。
<<<Cisco Security エンジニア情報局 前回の記事>
<Cisco Security エンジニア情報局 次回の記事>>>
Ciscoの記事
- Collaboration 第145回 「会議参加者リストのアイデンティティラベル機能 ~「未確認」「検証されていない」と表示される場合の対策 ~ 」
- Collaboration 第144回 「【重要】サポート終了シスコビデオデバイスに対するクラウドサービス接続について」
- Collaboration 第143回 「新製品!天井吊り外付けマイク Cisco Ceiling Microphone Proのご紹介」
- Security 第78回「Cisco Secure Endpoint ダッシュボードからのアンインストールについて」
- Meraki 第151回「Cisco Secure Connect紹介マンガのリリースについて」
- Collaboration 第142回 「超便利!Cisco Webex 会議端末設計ツール Workspace Designer のご紹介」