Security

Security 第57回「Duo パスワードレス認証を用いたSecure Client(AnyConnect)連携について」

 

こんにちは。セキュリティ製品担当の長岡です。

今回はCisco Secure Access by Duo(以下Duo)のMFAライセンス以上で利用可能なパスワードレス認証について、Secure Client(AnyConnect)と連携した形でご紹介します。

 

まず始めにDuoについて簡単にご紹介致します。DuoはCisco社が提供する認証時のセキュリティを向上させるSaaSソリューションです。

オンプレミスのサーバーやアプリケーション、さらにクラウドアプリケーション(SaaS)へのアクセス時に以下の様なセカンダリ認証を付加し、ゼロトラストアクセスを実現します。

 

そして今回ご紹介するDuo パスワードレス認証とは、その名の通りパスワード「無し」で認証を行う認証の方式です。このパスワードレス認証にはどのようなメリットがあるのか、現状のパスワード認証の問題点と合わせてご説明します。

 

パスワード認証の問題点

1.管理者(ヘルプデスク)の負担増加

  ユーザーのパスワード失念やアカウントロック等による問合せ対応は、管理者の日々の業務を圧迫します。SaaS等で利用するアプリケーションが増えるほど、パスワードに関する問合せは増加することが予測されます。

2.ユーザーエクスペリエンスの低下

  1企業で使用する平均のパスワード数は191にもなると言われています。これらを厳格に管理することは非常に難しく、その結果ユーザーエクスペリエンスは低下してしまうでしょう。

3.セキュリティ上の問題

攻撃者による不正侵入の81%以上は、ID/パスワードの漏洩や脆弱なパスワードが原因であると言われています。


 

上記を踏まえ、パスワードレス認証のメリットについてご紹介します。

1.管理者(ヘルプデスク)の負担軽減

ユーザーのパスワード管理が必要無くなるため、管理者へのパスワードに関する問合せも減少させることができます。その結果管理者は、自分の業務により集中できるようになるでしょう。

2.ユーザーエクスペリエンスの向上

パスワードレス認証により、ユーザーは前述の煩雑なパスワード管理から解放されます。これにより認証に関わるユーザーエクスペリエンスを向上させることができます。

3.認証の強度の向上(セキュリティの強化)

パスワードレス認証ではFIDO2と呼ばれる技術規格に準拠した認証器(Authenticator)が使用されます。認証器には、「外付け認証器(PCのUSBポート等に接続して使用する方式)」と、「プラットフォーム認証器(指紋や顔認証の機能を搭載したスマートフォンやPCを使用する方式)」があります。この認証器により、ユーザーの指紋や虹彩等を認証情報として使用することができるようになります。このような生体情報は、そのユーザーしか持ち得ないユニークなものであるため、正規のユーザーであるという信頼性を高め、認証の強度を大きく向上させることができます。

パスワードレス認証 イメージ図


そして今回は、このパスワードレス認証を、Cisco社が提供するリモートアクセスVPNソリューション「ASA+SecureClient(AnyConnect)」と連携し検証してみました。

DuoとASA+Secure Clientには予め下記のリンクを参考にシングルサインオン連携の設定を実施しておきます。本検証ではDuo Single Sign-Onの認証ソースはオンプレミスのActiveDirectoryを使用しています。

https://duo.com/docs/sso-ciscoasa

 

Duo パスワードレス認証の設定

まずはDuo ダッシュボードでパスワードレス認証を有効化します。

 

次に、ユーザーがパスワードレス認証を利用するためのポリシーを作成します。


作成したポリシーを、ASA+Secure Clientと紐付けます。

 

参考リンク

https://duo.com/docs/passwordless

 

設定完了後、Secure Clientを起動し、VPN接続を実施します。

初回のみユーザーID、パスワードを入力します。


VPN接続完了後、パスワードレス認証設定の画面が表示されるので、案内に従いセットアップを実施します。今回はWindows Helloをパスワードレス認証の方式として追加しました。

 

セットアップ完了後、再度VPN接続を試してみます。

 

認証画面が表示されるので [Next] をクリックします(Email Address(ユーザーID)は自動入力されます)。するとWindows Helloでの認証画面に遷移し、認証が成功するとVPN接続が完了します。

 

従来のようにパスワードを入力することなく、VPN接続を完了することができました。非常にスムーズに認証が完了し、パスワードの失念や入力ミス等による認証の失敗が起こることも無くなるため、ユーザーにとっての利便性は大きく向上すると感じました。

オンプレミスのアプリケーションやSaaS等、業務に様々なアプリケーションを利用する環境で特に役に立つのではないでしょうか。

今回は以上です。

お読みいただきありがとうございました。



カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。
必要に応じて、ログインしてご利用ください。
iDATEN(韋駄天)のご利用に関してご不明点があるお客様は こちら をお読みください。

Ciscoの記事