Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Entra IDとJamfで実現する金融業界のセキュリティ対策 〜デバイストラストへの道のり〜
Search
hikky
August 06, 2024
Technology
3
1.2k
Entra IDとJamfで実現する金融業界のセキュリティ対策 〜デバイストラストへの道のり〜
JAMF NATION LIVE TOKYO 2024の登壇資料です。
内容は2024年8月時点のものです。
hikky
August 06, 2024
Tweet
Share
More Decks by hikky
See All by hikky
JMUG #9
ken_hikita
2
380
Office 365を利用して GPS Botもどきをつくろう
ken_hikita
0
35
EMS(Intune)で色々なデバイスをセットアップしてみた
ken_hikita
0
310
Other Decks in Technology
See All in Technology
VPC間の接続方法を整理してみた #自治体クラウド勉強会
non97
1
770
チームを主語にしてみる / Making "Team" the Subject
ar_tama
4
300
話題のGraphRAG、その可能性と課題を理解する
hide212131
4
1.4k
グローバル展開を見据えたサービスにおける機械翻訳プラクティス / dp-ai-translating
cyberagentdevelopers
PRO
1
150
カメラを用いた店内計測におけるオプトインの仕組みの実現 / ai-optin-camera
cyberagentdevelopers
PRO
1
120
AWS CDKでデータリストアの運用、どのように設計する?~Aurora・EFSの実践事例を紹介~/aws-cdk-data-restore-aurora-efs
mhrtech
4
630
プロダクトエンジニアが活躍する環境を作りたくて 事業責任者になった話 ~プロダクトエンジニアの行き着く先~
gimupop
1
460
現地でMeet Upをやる場合の注意点〜反省点を添えて〜
shotashiratori
0
500
MAMを軸とした動画ハンドリングにおけるAI活用前提の整備と次世代ビジョン / abema-ai-mam
cyberagentdevelopers
PRO
1
110
「最高のチューニング」をしないために / hack@delta 24.10
fujiwara3
21
3.4k
独自ツール開発でスタジオ撮影をDX!「VLS(Virtual LED Studio)」 / dx-studio-vls
cyberagentdevelopers
PRO
1
170
CI/CDやテスト自動化の開発プロジェクトへの適用
megascus
3
740
Featured
See All Featured
KATA
mclloyd
29
13k
Into the Great Unknown - MozCon
thekraken
31
1.5k
Building Applications with DynamoDB
mza
90
6.1k
Fireside Chat
paigeccino
32
3k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
37
1.8k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.1k
Happy Clients
brianwarren
97
6.7k
A Modern Web Designer's Workflow
chriscoyier
692
190k
Gamification - CAS2011
davidbonilla
80
5k
Code Review Best Practice
trishagee
64
17k
Embracing the Ebb and Flow
colly
84
4.4k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
664
120k
Transcript
1 Kenichi Hikita 2024/08/06 Entra IDとJamfで実現する 金融業界のセキュリティ対策 〜デバイストラストへの道のり〜 Jamf Nation
Live Tokyo 2024
2 引田 健一(hikky) corporate engineer at Kanmu, Inc. 株式会社カンム コーポレートエンジニア
一般社団法人日本ビジネステクノロジー協会 理事 運営コミュニティ - Japan EMS User Group(EMS勉強会) - Japan Okta User Group - 情シスSlack Admin etc 第一種大型免許、第一種けん引免許保持 https://blog.intracker.net/ 自己紹介
3 Mac歴はまだ4年弱
4 会社概要 COMPANY
5 会社概要 社名 住所 設立 代表者 資本金 事業内容 許認可 主要な株主
株式会社カンム 〒150-0013 東京都渋谷区恵比寿 1-20-18 三富ビル新館 4階 2011年1月 八巻 渉 約32億9038万円(資本剰余金含む) ブランドプリペイド・クレジットカード事業の開発・運営 資金決済法 第三者型前払式支払手段 関東財務局長 第00690号 第二種金融商品取引業 関東財務局長(金商)第 3321号 株式会社三菱 UFJ銀行(親会社)、株式会社セブン銀行
6 プロダクト 誰でもすぐに作って買い物できる Visaプリカアプリ 手元の資産形成に活用できる クレジットカード 新規事業 立ち上げ中
7 バンドルカード 誰でもすぐ作れる 1分でVisaカードが発行可能 1 すぐ確認できる 使ってすぐにPush通知で金額確認 2 後でも払える その場でチャージして翌月末にお支払い
3 🎊 2024年2月:累計1,000万DLを突破
8 Pool 決済で1%キャッシュバック 入金した金額に応じて利用可能枠が付与されるクレジット カード 使った金額の1%をキャッシュバック 1 投資ができて予定利回り 1%〜 値動きがなく年利1%〜のリターンが期待でき、少額から投
資をはじめることができます (税引前、運用成果を保証するものではありません) 2 投資とVisaカードを組み合わせたプロダクト
9 デバイスは CYOD
10 2024/08/06 皆さんデバイストラストやってますか?
11 agenda INDEX 1 2 3 4 What’s 「デバイストラスト」? Why
「デバイストラスト」? やってみた 4パターン紹介 検証した気づき(所感と悩み)
12 デバイストラストとは? アクセス条件 アクセス許可 OSVerは? 最新 サポート切れ どのデバイス? 私物 社給
誰が? 社員 社外スタッフ アクセス OK アクセス NG
13 - 私物PCから会社資産へアクセスできないようにしたい - リモートワーク中に会社 PCを利用させたい - デバイスの状態を確認してから、アクセスさせたい - コンプライアンス要件を満たしたい
- 柔軟なアクセス制御を実現したい デバイストラストを設定する理由?
14 - Intune + Jamf条件付きアクセス - Intune + Jamfデバイスコンプライアンス -
Entra CBA + Secure W2 - Platform SSO やりたいなと、色々と試してきました。
15 2024/08/06 Intune + Jamf Pro連携
16 Intune + Jamf条件付きアクセス 当時はこれで Macも条件付きアクセスで制御ができる!! と大喜びしました。
17 2024/08/06 しかしそんなうまくいかない・・・
18 Intune + Jamf条件付きアクセス - Chromeがデフォルトブラウザだと登録に失敗する (現在は解消 ) - Intune上「準拠済み」状態でも、認証に失敗する
- 準拠済端末が、非準拠端末に戻ってしまう - Jamf Pro上の条件指定はできない - Intune側のデバイスコンプライアンスポリシーで評価される - 評価されるまで時間が結構かかる、外れるとすぐアクセス不可 - 再登録が結構面倒 - 結局除外のオンパレード
19 Intune + Jamfデバイスコンプライアンス Jamf Proのスマートコンピュターグループが使えるようになった! 最高! EMS勉強会 ✕ JMUGでも取り上げました
https://youtu.be/ty9XZ3P7Veo?si=pT9EqiWwrHjj8U1u
20 Intune + Jamfデバイスコンプライアンス パートナーコンプライアンス管理に統合されましたね
21 2024/08/06 やっぱりうまくいかない・・・
22 Intune + Jamfデバイスコンプライアンス - Intune上「準拠済み」状態でも、認証に失敗する - 準拠済端末が、非準拠端末に戻ってしまう - 対象スマートコンピュータグループにいるが、登録に失敗する
- 評価されるまで時間が結構かかる (Intune側) - 再登録が結構面倒 - 結局除外のオンパレード
23 2024/08/06 こうなったら証明書だ!!
24 Entra CBA + Secure W2 1. Jamfを利用して証明書を配布 2. 証明書があることを条件とした条件付き
アクセスポリシーを作成 3. 認証強度で証明書以外を禁止設定 画像引用元 https://www.securew2.com/blog/auto-enrolling-certificates-in-jamf
25 Entra CBA + Secure W2(認証強度とか) Entra CBA認証を強制する場合には、認証強度の設定が必要
26 Entra CBA + Secure W2 - 1デバイスごと証明書費用が必要 - 組織がスケールした際に、費用が高額になる
- VPNログイン認証に Entra IDを利用していたが、証明書選択画面 がでてこない (これはCASBのせいだったかも ) - Entra ID側の設定が複雑になる - 証明書運用がやっぱり大変 - コンプライアンスポリシーは評価されない
27 Entra CBA + Secure W2 設定方法の続きはブログで https://blog.intracker.net/archives/4893
28 2024/08/06 Platform SSO
29 Platform SSO - macOS13(Ventura)以上から利用可能 - Mac端末に対して、 IdPの情報を同期して利用可能になる - IdPのパスワードを
Mac端末に同期する
30 Platform SSO - Jamf Proから構成プロファイルを配布
31 Platform SSO
32 Platform SSO Platform SSOを設定した端末は Entra ID上で以下のように表示され ます。
33 Platform SSO(条件付きアクセス) 以下のような条件で条件付きアクセスポリシーを作成 Entra ID Joinでない端末はアクセスをブロック
34 Platform SSO(注意点) Chromeで判定をするには、 Microsoft Single Sing On拡張機能のインス トールが必要なので、 Chrome
Enterpriseを利用して全端末へ配布
35 Platform SSO(注意点) 拡張機能がインストールされていないと、 デバイスIDが取得できず認証に失敗する
36 Platform SSO(注意点) CASBが導入されている場合には、プロセスや URL除外等の設定が必要 https://learn.microsoft.com/ja-jp/entra/identity/devices/how-to-hybrid-join#network-co nnectivity-requirements 調べた限りでは以下のプロセスが利用されている - company
portal - mac sso extension - appssoagent
37 Platform SSO - ちゃんと登録されれば安定する - 登録時にエラーとなったりすることがたまにある - 条件付きアクセス +
Platform SSOという構成で比較的わかりやす い - コスト増がない - コンプライアンスポリシーは評価されない - 一度登録されると再評価はされない - Entra Joined状態と認識されている限りアクセスが可能
38 2024/08/06 検証した気づき(所感と悩み)
39 所感と悩み 所感 - Entra ID Joined状態でないと、各種 SaaSへのアクセスができないという環境 の構築はできた -
デバイスリスク等に関しては、 EDRや、Identity Protectionに任せよう - なんちゃってデバイストラスト (デバイス制限かも)ですみません ここが微妙 - OSのバージョン情報等を元にアクセス許可、拒否はできない - デバイスフィルタ条件を変えれば多少は可能 - パスワードレスからは遠のいている - Entra IDのパスワードで macOSにログインできるので
40 2024/08/06 すべての手法に共通すること
41 Entra IDデバイスの棚卸しが必ず必要 Entra IDデバイスとして登録され、デバイスを使いまわした場合新しい デバイスとして登録されてきます。棚卸しをしないとカオスな状況に
42 2024/08/06 ゼロタッチキッティング
43 ゼロタッチキッティング - 弊社では、登録カスタマイゼーションを利用しているため、セットアッ プ時にEntra IDの認証が入る - セットアップ時は Entra ID
Joined状態ではないことになる - 当然ながら認証に失敗し、設定アシスタントが先に進まない
44 ゼロタッチキッティング - 以下のアプリケーションを条件付きアクセスから除外することで対 応 - Jamf Pro - Microsoft
Intune - My Apps
45 2024/08/06 まとめ
46 まとめ - Platform SSOを組みあわせることで、ちょっとしたデバイストラスト を実現することができる - Jamf Pro(MDM)のフレームワークを利用することで、スマートにセ キュアな環境を構築していくことができる
- 完璧だとは思っていないので、別な防御策も組み合わせる必要が 当然ある - パスワードレスからは遠のくので、導入判断は悩む - Mac + Entra IDのデバイストラストはここ数年で変化が色々とでて きているので今後にも期待
47 デバイス制限はしたけど・・・ - 貸与PCから他テナント SaaSへのアクセスはできてしまう - CASB等で監視、制御はしている - このあたりは社内教育も大事なこと -
データのラベリングのほうが大事 - データが一番大事 - 私物PCもやろうと思えば突破できる (MDMが入るけど) - 新しい端末が登録されたという通知が必要 - Jamf Proを利用して check-inが無いマシンを通知するのも効 果的
48 今後の展望 - Jamf ZTNAを利用することでもっといい方法がないかチャレンジ - 資産管理台帳と組み合わせて、台帳に存在しないマシンが登録された 場合に通知等をさせる or 登録拒否
- Intune + Jamf Proデバイスコンプライアンスが安定してきたら切り替 えたい
49 2024/08/06 宣伝
50 採用について We Are Hiring https://kanmu.co.jp/jobs/ カンム 採用
51 Business Technology Conference Japan BTCONJP2024開催のお知らせ 日時:2024/10/12 (土) 11:00 -
18:00 場所:LINEヤフー本社 セミナールーム (紀尾井町) 公式サイト: https://btcon.jp/
52 Thank you! ありがとうございました