Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Entra IDとJamfで実現する金融業界のセキュリティ対策 〜デバイストラストへの道のり〜

hikky
August 06, 2024

Entra IDとJamfで実現する金融業界のセキュリティ対策 〜デバイストラストへの道のり〜

JAMF NATION LIVE TOKYO 2024の登壇資料です。

内容は2024年8月時点のものです。

hikky

August 06, 2024
Tweet

More Decks by hikky

Other Decks in Technology

Transcript

  1. 2 引田 健一(hikky) corporate engineer at Kanmu, Inc. 株式会社カンム コーポレートエンジニア

    一般社団法人日本ビジネステクノロジー協会 理事 運営コミュニティ - Japan EMS User Group(EMS勉強会) - Japan Okta User Group - 情シスSlack Admin etc 第一種大型免許、第一種けん引免許保持 https://blog.intracker.net/ 自己紹介
  2. 5 会社概要 社名 住所 設立 代表者 資本金 事業内容 許認可 主要な株主

    株式会社カンム 〒150-0013 東京都渋谷区恵比寿 1-20-18 三富ビル新館 4階 2011年1月 八巻 渉 約32億9038万円(資本剰余金含む) ブランドプリペイド・クレジットカード事業の開発・運営 資金決済法 第三者型前払式支払手段 関東財務局長 第00690号 第二種金融商品取引業 関東財務局長(金商)第 3321号 株式会社三菱 UFJ銀行(親会社)、株式会社セブン銀行
  3. 11 agenda INDEX 1 2 3 4 What’s 「デバイストラスト」? Why

    「デバイストラスト」? やってみた 4パターン紹介 検証した気づき(所感と悩み)
  4. 14 - Intune + Jamf条件付きアクセス - Intune + Jamfデバイスコンプライアンス -

    Entra CBA + Secure W2 - Platform SSO やりたいなと、色々と試してきました。
  5. 18 Intune + Jamf条件付きアクセス - Chromeがデフォルトブラウザだと登録に失敗する (現在は解消 ) - Intune上「準拠済み」状態でも、認証に失敗する

    - 準拠済端末が、非準拠端末に戻ってしまう - Jamf Pro上の条件指定はできない - Intune側のデバイスコンプライアンスポリシーで評価される - 評価されるまで時間が結構かかる、外れるとすぐアクセス不可 - 再登録が結構面倒 - 結局除外のオンパレード
  6. 24 Entra CBA + Secure W2 1. Jamfを利用して証明書を配布 2. 証明書があることを条件とした条件付き

    アクセスポリシーを作成 3. 認証強度で証明書以外を禁止設定 画像引用元 https://www.securew2.com/blog/auto-enrolling-certificates-in-jamf
  7. 26 Entra CBA + Secure W2 - 1デバイスごと証明書費用が必要 - 組織がスケールした際に、費用が高額になる

    - VPNログイン認証に Entra IDを利用していたが、証明書選択画面 がでてこない (これはCASBのせいだったかも ) - Entra ID側の設定が複雑になる - 証明書運用がやっぱり大変 - コンプライアンスポリシーは評価されない
  8. 37 Platform SSO - ちゃんと登録されれば安定する - 登録時にエラーとなったりすることがたまにある - 条件付きアクセス +

    Platform SSOという構成で比較的わかりやす い - コスト増がない - コンプライアンスポリシーは評価されない - 一度登録されると再評価はされない - Entra Joined状態と認識されている限りアクセスが可能
  9. 39 所感と悩み 所感 - Entra ID Joined状態でないと、各種 SaaSへのアクセスができないという環境 の構築はできた -

    デバイスリスク等に関しては、 EDRや、Identity Protectionに任せよう - なんちゃってデバイストラスト (デバイス制限かも)ですみません ここが微妙 - OSのバージョン情報等を元にアクセス許可、拒否はできない - デバイスフィルタ条件を変えれば多少は可能 - パスワードレスからは遠のいている - Entra IDのパスワードで macOSにログインできるので
  10. 46 まとめ - Platform SSOを組みあわせることで、ちょっとしたデバイストラスト を実現することができる - Jamf Pro(MDM)のフレームワークを利用することで、スマートにセ キュアな環境を構築していくことができる

    - 完璧だとは思っていないので、別な防御策も組み合わせる必要が 当然ある - パスワードレスからは遠のくので、導入判断は悩む - Mac + Entra IDのデバイストラストはここ数年で変化が色々とでて きているので今後にも期待
  11. 47 デバイス制限はしたけど・・・ - 貸与PCから他テナント SaaSへのアクセスはできてしまう - CASB等で監視、制御はしている - このあたりは社内教育も大事なこと -

    データのラベリングのほうが大事 - データが一番大事 - 私物PCもやろうと思えば突破できる (MDMが入るけど) - 新しい端末が登録されたという通知が必要 - Jamf Proを利用して check-inが無いマシンを通知するのも効 果的
  12. 51 Business Technology Conference Japan BTCONJP2024開催のお知らせ 日時:2024/10/12 (土) 11:00 -

    18:00 場所:LINEヤフー本社      セミナールーム (紀尾井町) 公式サイト: https://btcon.jp/