Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Entra IDとJamfで実現する金融業界のセキュリティ対策 〜デバイストラストへの道のり〜
Search
hikky
August 06, 2024
Technology
3
1.3k
Entra IDとJamfで実現する金融業界のセキュリティ対策 〜デバイストラストへの道のり〜
JAMF NATION LIVE TOKYO 2024の登壇資料です。
内容は2024年8月時点のものです。
hikky
August 06, 2024
Tweet
Share
More Decks by hikky
See All by hikky
JMUG #9
ken_hikita
2
400
Office 365を利用して GPS Botもどきをつくろう
ken_hikita
0
36
EMS(Intune)で色々なデバイスをセットアップしてみた
ken_hikita
0
330
Other Decks in Technology
See All in Technology
Storage Browser for Amazon S3
miu_crescent
1
210
NilAway による静的解析で「10 億ドル」を節約する #kyotogo / Kyoto Go 56th
ytaka23
3
380
KubeCon NA 2024 Recap / Running WebAssembly (Wasm) Workloads Side-by-Side with Container Workloads
z63d
1
250
ガバメントクラウドのセキュリティ対策事例について
fujisawaryohei
0
550
AI時代のデータセンターネットワーク
lycorptech_jp
PRO
1
290
多領域インシデントマネジメントへの挑戦:ハードウェアとソフトウェアの融合が生む課題/Challenge to multidisciplinary incident management: Issues created by the fusion of hardware and software
bitkey
PRO
2
110
祝!Iceberg祭開幕!re:Invent 2024データレイク関連アップデート10分総ざらい
kniino
3
300
事業貢献を考えるための技術改善の目標設計と改善実績 / Targeted design of technical improvements to consider business contribution and improvement performance
oomatomo
0
100
LINE Developersプロダクト(LIFF/LINE Login)におけるフロントエンド開発
lycorptech_jp
PRO
0
120
DevFest 2024 Incheon / Songdo - Compose UI 조합 심화
wisemuji
0
110
Amazon VPC Lattice 最新アップデート紹介 - PrivateLink も似たようなアップデートあったけど違いとは
bigmuramura
0
200
権威ドキュメントで振り返る2024 #年忘れセキュリティ2024
hirotomotaguchi
2
750
Featured
See All Featured
Designing on Purpose - Digital PM Summit 2013
jponch
116
7k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
2k
The Pragmatic Product Professional
lauravandoore
32
6.3k
How To Stay Up To Date on Web Technology
chriscoyier
789
250k
RailsConf 2023
tenderlove
29
940
Docker and Python
trallard
42
3.1k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.9k
Being A Developer After 40
akosma
87
590k
The World Runs on Bad Software
bkeepers
PRO
65
11k
Product Roadmaps are Hard
iamctodd
PRO
49
11k
Building a Scalable Design System with Sketch
lauravandoore
460
33k
A better future with KSS
kneath
238
17k
Transcript
1 Kenichi Hikita 2024/08/06 Entra IDとJamfで実現する 金融業界のセキュリティ対策 〜デバイストラストへの道のり〜 Jamf Nation
Live Tokyo 2024
2 引田 健一(hikky) corporate engineer at Kanmu, Inc. 株式会社カンム コーポレートエンジニア
一般社団法人日本ビジネステクノロジー協会 理事 運営コミュニティ - Japan EMS User Group(EMS勉強会) - Japan Okta User Group - 情シスSlack Admin etc 第一種大型免許、第一種けん引免許保持 https://blog.intracker.net/ 自己紹介
3 Mac歴はまだ4年弱
4 会社概要 COMPANY
5 会社概要 社名 住所 設立 代表者 資本金 事業内容 許認可 主要な株主
株式会社カンム 〒150-0013 東京都渋谷区恵比寿 1-20-18 三富ビル新館 4階 2011年1月 八巻 渉 約32億9038万円(資本剰余金含む) ブランドプリペイド・クレジットカード事業の開発・運営 資金決済法 第三者型前払式支払手段 関東財務局長 第00690号 第二種金融商品取引業 関東財務局長(金商)第 3321号 株式会社三菱 UFJ銀行(親会社)、株式会社セブン銀行
6 プロダクト 誰でもすぐに作って買い物できる Visaプリカアプリ 手元の資産形成に活用できる クレジットカード 新規事業 立ち上げ中
7 バンドルカード 誰でもすぐ作れる 1分でVisaカードが発行可能 1 すぐ確認できる 使ってすぐにPush通知で金額確認 2 後でも払える その場でチャージして翌月末にお支払い
3 🎊 2024年2月:累計1,000万DLを突破
8 Pool 決済で1%キャッシュバック 入金した金額に応じて利用可能枠が付与されるクレジット カード 使った金額の1%をキャッシュバック 1 投資ができて予定利回り 1%〜 値動きがなく年利1%〜のリターンが期待でき、少額から投
資をはじめることができます (税引前、運用成果を保証するものではありません) 2 投資とVisaカードを組み合わせたプロダクト
9 デバイスは CYOD
10 2024/08/06 皆さんデバイストラストやってますか?
11 agenda INDEX 1 2 3 4 What’s 「デバイストラスト」? Why
「デバイストラスト」? やってみた 4パターン紹介 検証した気づき(所感と悩み)
12 デバイストラストとは? アクセス条件 アクセス許可 OSVerは? 最新 サポート切れ どのデバイス? 私物 社給
誰が? 社員 社外スタッフ アクセス OK アクセス NG
13 - 私物PCから会社資産へアクセスできないようにしたい - リモートワーク中に会社 PCを利用させたい - デバイスの状態を確認してから、アクセスさせたい - コンプライアンス要件を満たしたい
- 柔軟なアクセス制御を実現したい デバイストラストを設定する理由?
14 - Intune + Jamf条件付きアクセス - Intune + Jamfデバイスコンプライアンス -
Entra CBA + Secure W2 - Platform SSO やりたいなと、色々と試してきました。
15 2024/08/06 Intune + Jamf Pro連携
16 Intune + Jamf条件付きアクセス 当時はこれで Macも条件付きアクセスで制御ができる!! と大喜びしました。
17 2024/08/06 しかしそんなうまくいかない・・・
18 Intune + Jamf条件付きアクセス - Chromeがデフォルトブラウザだと登録に失敗する (現在は解消 ) - Intune上「準拠済み」状態でも、認証に失敗する
- 準拠済端末が、非準拠端末に戻ってしまう - Jamf Pro上の条件指定はできない - Intune側のデバイスコンプライアンスポリシーで評価される - 評価されるまで時間が結構かかる、外れるとすぐアクセス不可 - 再登録が結構面倒 - 結局除外のオンパレード
19 Intune + Jamfデバイスコンプライアンス Jamf Proのスマートコンピュターグループが使えるようになった! 最高! EMS勉強会 ✕ JMUGでも取り上げました
https://youtu.be/ty9XZ3P7Veo?si=pT9EqiWwrHjj8U1u
20 Intune + Jamfデバイスコンプライアンス パートナーコンプライアンス管理に統合されましたね
21 2024/08/06 やっぱりうまくいかない・・・
22 Intune + Jamfデバイスコンプライアンス - Intune上「準拠済み」状態でも、認証に失敗する - 準拠済端末が、非準拠端末に戻ってしまう - 対象スマートコンピュータグループにいるが、登録に失敗する
- 評価されるまで時間が結構かかる (Intune側) - 再登録が結構面倒 - 結局除外のオンパレード
23 2024/08/06 こうなったら証明書だ!!
24 Entra CBA + Secure W2 1. Jamfを利用して証明書を配布 2. 証明書があることを条件とした条件付き
アクセスポリシーを作成 3. 認証強度で証明書以外を禁止設定 画像引用元 https://www.securew2.com/blog/auto-enrolling-certificates-in-jamf
25 Entra CBA + Secure W2(認証強度とか) Entra CBA認証を強制する場合には、認証強度の設定が必要
26 Entra CBA + Secure W2 - 1デバイスごと証明書費用が必要 - 組織がスケールした際に、費用が高額になる
- VPNログイン認証に Entra IDを利用していたが、証明書選択画面 がでてこない (これはCASBのせいだったかも ) - Entra ID側の設定が複雑になる - 証明書運用がやっぱり大変 - コンプライアンスポリシーは評価されない
27 Entra CBA + Secure W2 設定方法の続きはブログで https://blog.intracker.net/archives/4893
28 2024/08/06 Platform SSO
29 Platform SSO - macOS13(Ventura)以上から利用可能 - Mac端末に対して、 IdPの情報を同期して利用可能になる - IdPのパスワードを
Mac端末に同期する
30 Platform SSO - Jamf Proから構成プロファイルを配布
31 Platform SSO
32 Platform SSO Platform SSOを設定した端末は Entra ID上で以下のように表示され ます。
33 Platform SSO(条件付きアクセス) 以下のような条件で条件付きアクセスポリシーを作成 Entra ID Joinでない端末はアクセスをブロック
34 Platform SSO(注意点) Chromeで判定をするには、 Microsoft Single Sing On拡張機能のインス トールが必要なので、 Chrome
Enterpriseを利用して全端末へ配布
35 Platform SSO(注意点) 拡張機能がインストールされていないと、 デバイスIDが取得できず認証に失敗する
36 Platform SSO(注意点) CASBが導入されている場合には、プロセスや URL除外等の設定が必要 https://learn.microsoft.com/ja-jp/entra/identity/devices/how-to-hybrid-join#network-co nnectivity-requirements 調べた限りでは以下のプロセスが利用されている - company
portal - mac sso extension - appssoagent
37 Platform SSO - ちゃんと登録されれば安定する - 登録時にエラーとなったりすることがたまにある - 条件付きアクセス +
Platform SSOという構成で比較的わかりやす い - コスト増がない - コンプライアンスポリシーは評価されない - 一度登録されると再評価はされない - Entra Joined状態と認識されている限りアクセスが可能
38 2024/08/06 検証した気づき(所感と悩み)
39 所感と悩み 所感 - Entra ID Joined状態でないと、各種 SaaSへのアクセスができないという環境 の構築はできた -
デバイスリスク等に関しては、 EDRや、Identity Protectionに任せよう - なんちゃってデバイストラスト (デバイス制限かも)ですみません ここが微妙 - OSのバージョン情報等を元にアクセス許可、拒否はできない - デバイスフィルタ条件を変えれば多少は可能 - パスワードレスからは遠のいている - Entra IDのパスワードで macOSにログインできるので
40 2024/08/06 すべての手法に共通すること
41 Entra IDデバイスの棚卸しが必ず必要 Entra IDデバイスとして登録され、デバイスを使いまわした場合新しい デバイスとして登録されてきます。棚卸しをしないとカオスな状況に
42 2024/08/06 ゼロタッチキッティング
43 ゼロタッチキッティング - 弊社では、登録カスタマイゼーションを利用しているため、セットアッ プ時にEntra IDの認証が入る - セットアップ時は Entra ID
Joined状態ではないことになる - 当然ながら認証に失敗し、設定アシスタントが先に進まない
44 ゼロタッチキッティング - 以下のアプリケーションを条件付きアクセスから除外することで対 応 - Jamf Pro - Microsoft
Intune - My Apps
45 2024/08/06 まとめ
46 まとめ - Platform SSOを組みあわせることで、ちょっとしたデバイストラスト を実現することができる - Jamf Pro(MDM)のフレームワークを利用することで、スマートにセ キュアな環境を構築していくことができる
- 完璧だとは思っていないので、別な防御策も組み合わせる必要が 当然ある - パスワードレスからは遠のくので、導入判断は悩む - Mac + Entra IDのデバイストラストはここ数年で変化が色々とでて きているので今後にも期待
47 デバイス制限はしたけど・・・ - 貸与PCから他テナント SaaSへのアクセスはできてしまう - CASB等で監視、制御はしている - このあたりは社内教育も大事なこと -
データのラベリングのほうが大事 - データが一番大事 - 私物PCもやろうと思えば突破できる (MDMが入るけど) - 新しい端末が登録されたという通知が必要 - Jamf Proを利用して check-inが無いマシンを通知するのも効 果的
48 今後の展望 - Jamf ZTNAを利用することでもっといい方法がないかチャレンジ - 資産管理台帳と組み合わせて、台帳に存在しないマシンが登録された 場合に通知等をさせる or 登録拒否
- Intune + Jamf Proデバイスコンプライアンスが安定してきたら切り替 えたい
49 2024/08/06 宣伝
50 採用について We Are Hiring https://kanmu.co.jp/jobs/ カンム 採用
51 Business Technology Conference Japan BTCONJP2024開催のお知らせ 日時:2024/10/12 (土) 11:00 -
18:00 場所:LINEヤフー本社 セミナールーム (紀尾井町) 公式サイト: https://btcon.jp/
52 Thank you! ありがとうございました