Entra IDとJamfで実現する金融業界のセキュリティ対策 〜デバイストラストへの道のり〜

Transcript

1. 1 Kenichi Hikita 2024/08/06 Entra IDとJamfで実現する 金融業界のセキュリティ対策 〜デバイストラストへの道のり〜 Jamf Nation

   Live Tokyo 2024

2. 2 引田 健一(hikky) corporate engineer at Kanmu, Inc. 株式会社カンム コーポレートエンジニア

   一般社団法人日本ビジネステクノロジー協会 理事 運営コミュニティ - Japan EMS User Group(EMS勉強会) - Japan Okta User Group - 情シスSlack Admin etc 第一種大型免許、第一種けん引免許保持 https://blog.intracker.net/ 自己紹介

3. 3 Mac歴はまだ4年弱

4. 4 会社概要 COMPANY

5. 5 会社概要 社名 住所 設立 代表者 資本金 事業内容 許認可 主要な株主

   株式会社カンム 〒150-0013 東京都渋谷区恵比寿 1-20-18 三富ビル新館 4階 2011年1月 八巻 渉 約32億9038万円（資本剰余金含む） ブランドプリペイド・クレジットカード事業の開発・運営 資金決済法 第三者型前払式支払手段 関東財務局長 第00690号 第二種金融商品取引業 関東財務局長（金商）第 3321号 株式会社三菱 UFJ銀行（親会社）、株式会社セブン銀行

6. 6 プロダクト 誰でもすぐに作って買い物できる Visaプリカアプリ 手元の資産形成に活用できる クレジットカード 新規事業 立ち上げ中

7. 7 バンドルカード 誰でもすぐ作れる 1分でVisaカードが発行可能 1 すぐ確認できる 使ってすぐにPush通知で金額確認 2 後でも払える その場でチャージして翌月末にお支払い

   3 🎊 2024年2月：累計1,000万DLを突破

8. 8 Pool 決済で1%キャッシュバック 入金した金額に応じて利用可能枠が付与されるクレジット カード 使った金額の1%をキャッシュバック 1 投資ができて予定利回り 1%〜 値動きがなく年利1%〜のリターンが期待でき、少額から投

   資をはじめることができます （税引前、運用成果を保証するものではありません） 2 投資とVisaカードを組み合わせたプロダクト

9. 9 デバイスは CYOD

10. 10 2024/08/06 皆さんデバイストラストやってますか？

11. 11 agenda INDEX 1 2 3 4 What’s 「デバイストラスト」？ Why

    「デバイストラスト」？ やってみた 4パターン紹介 検証した気づき（所感と悩み）

12. 12 デバイストラストとは？ アクセス条件 アクセス許可 OSVerは？ 最新 サポート切れ どのデバイス？ 私物 社給

    誰が？ 社員 社外スタッフ アクセス OK アクセス NG

13. 13 - 私物PCから会社資産へアクセスできないようにしたい - リモートワーク中に会社 PCを利用させたい - デバイスの状態を確認してから、アクセスさせたい - コンプライアンス要件を満たしたい

    - 柔軟なアクセス制御を実現したい デバイストラストを設定する理由？

14. 14 - Intune + Jamf条件付きアクセス - Intune + Jamfデバイスコンプライアンス -

    Entra CBA + Secure W2 - Platform SSO やりたいなと、色々と試してきました。

15. 15 2024/08/06 Intune + Jamf Pro連携

16. 16 Intune + Jamf条件付きアクセス 当時はこれで Macも条件付きアクセスで制御ができる！！ と大喜びしました。

17. 17 2024/08/06 しかしそんなうまくいかない・・・

18. 18 Intune + Jamf条件付きアクセス - Chromeがデフォルトブラウザだと登録に失敗する (現在は解消 ) - Intune上「準拠済み」状態でも、認証に失敗する

    - 準拠済端末が、非準拠端末に戻ってしまう - Jamf Pro上の条件指定はできない - Intune側のデバイスコンプライアンスポリシーで評価される - 評価されるまで時間が結構かかる、外れるとすぐアクセス不可 - 再登録が結構面倒 - 結局除外のオンパレード

19. 19 Intune + Jamfデバイスコンプライアンス Jamf Proのスマートコンピュターグループが使えるようになった！ 最高！ EMS勉強会 ✕ JMUGでも取り上げました

    https://youtu.be/ty9XZ3P7Veo?si=pT9EqiWwrHjj8U1u

20. 20 Intune + Jamfデバイスコンプライアンス パートナーコンプライアンス管理に統合されましたね

21. 21 2024/08/06 やっぱりうまくいかない・・・

22. 22 Intune + Jamfデバイスコンプライアンス - Intune上「準拠済み」状態でも、認証に失敗する - 準拠済端末が、非準拠端末に戻ってしまう - 対象スマートコンピュータグループにいるが、登録に失敗する

    - 評価されるまで時間が結構かかる (Intune側) - 再登録が結構面倒 - 結局除外のオンパレード

23. 23 2024/08/06 こうなったら証明書だ！！

24. 24 Entra CBA + Secure W2 1. Jamfを利用して証明書を配布 2. 証明書があることを条件とした条件付き

    アクセスポリシーを作成 3. 認証強度で証明書以外を禁止設定 画像引用元 https://www.securew2.com/blog/auto-enrolling-certificates-in-jamf

25. 25 Entra CBA + Secure W2(認証強度とか） Entra CBA認証を強制する場合には、認証強度の設定が必要

26. 26 Entra CBA + Secure W2 - 1デバイスごと証明書費用が必要 - 組織がスケールした際に、費用が高額になる

    - VPNログイン認証に Entra IDを利用していたが、証明書選択画面 がでてこない (これはCASBのせいだったかも ) - Entra ID側の設定が複雑になる - 証明書運用がやっぱり大変 - コンプライアンスポリシーは評価されない

27. 27 Entra CBA + Secure W2 設定方法の続きはブログで https://blog.intracker.net/archives/4893

28. 28 2024/08/06 Platform SSO

29. 29 Platform SSO - macOS13(Ventura)以上から利用可能 - Mac端末に対して、 IdPの情報を同期して利用可能になる - IdPのパスワードを

    Mac端末に同期する

30. 30 Platform SSO - Jamf Proから構成プロファイルを配布

31. 31 Platform SSO

32. 32 Platform SSO Platform SSOを設定した端末は Entra ID上で以下のように表示され ます。

33. 33 Platform SSO(条件付きアクセス） 以下のような条件で条件付きアクセスポリシーを作成 Entra ID Joinでない端末はアクセスをブロック

34. 34 Platform SSO(注意点） Chromeで判定をするには、 Microsoft Single Sing On拡張機能のインス トールが必要なので、 Chrome

    Enterpriseを利用して全端末へ配布

35. 35 Platform SSO(注意点） 拡張機能がインストールされていないと、 デバイスIDが取得できず認証に失敗する

36. 36 Platform SSO(注意点） CASBが導入されている場合には、プロセスや URL除外等の設定が必要 https://learn.microsoft.com/ja-jp/entra/identity/devices/how-to-hybrid-join#network-co nnectivity-requirements 調べた限りでは以下のプロセスが利用されている - company

    portal - mac sso extension - appssoagent

37. 37 Platform SSO - ちゃんと登録されれば安定する - 登録時にエラーとなったりすることがたまにある - 条件付きアクセス +

    Platform SSOという構成で比較的わかりやす い - コスト増がない - コンプライアンスポリシーは評価されない - 一度登録されると再評価はされない - Entra Joined状態と認識されている限りアクセスが可能

38. 38 2024/08/06 検証した気づき（所感と悩み）

39. 39 所感と悩み 所感 - Entra ID Joined状態でないと、各種 SaaSへのアクセスができないという環境 の構築はできた -

    デバイスリスク等に関しては、 EDRや、Identity Protectionに任せよう - なんちゃってデバイストラスト (デバイス制限かも）ですみません ここが微妙 - OSのバージョン情報等を元にアクセス許可、拒否はできない - デバイスフィルタ条件を変えれば多少は可能 - パスワードレスからは遠のいている - Entra IDのパスワードで macOSにログインできるので

40. 40 2024/08/06 すべての手法に共通すること

41. 41 Entra IDデバイスの棚卸しが必ず必要 Entra IDデバイスとして登録され、デバイスを使いまわした場合新しい デバイスとして登録されてきます。棚卸しをしないとカオスな状況に

42. 42 2024/08/06 ゼロタッチキッティング

43. 43 ゼロタッチキッティング - 弊社では、登録カスタマイゼーションを利用しているため、セットアッ プ時にEntra IDの認証が入る - セットアップ時は Entra ID

    Joined状態ではないことになる - 当然ながら認証に失敗し、設定アシスタントが先に進まない

44. 44 ゼロタッチキッティング - 以下のアプリケーションを条件付きアクセスから除外することで対 応 - Jamf Pro - Microsoft

    Intune - My Apps

45. 45 2024/08/06 まとめ

46. 46 まとめ - Platform SSOを組みあわせることで、ちょっとしたデバイストラスト を実現することができる - Jamf Pro(MDM)のフレームワークを利用することで、スマートにセ キュアな環境を構築していくことができる

    - 完璧だとは思っていないので、別な防御策も組み合わせる必要が 当然ある - パスワードレスからは遠のくので、導入判断は悩む - Mac + Entra IDのデバイストラストはここ数年で変化が色々とでて きているので今後にも期待

47. 47 デバイス制限はしたけど・・・ - 貸与PCから他テナント SaaSへのアクセスはできてしまう - CASB等で監視、制御はしている - このあたりは社内教育も大事なこと -

    データのラベリングのほうが大事 - データが一番大事 - 私物PCもやろうと思えば突破できる (MDMが入るけど） - 新しい端末が登録されたという通知が必要 - Jamf Proを利用して check-inが無いマシンを通知するのも効 果的

48. 48 今後の展望 - Jamf ZTNAを利用することでもっといい方法がないかチャレンジ - 資産管理台帳と組み合わせて、台帳に存在しないマシンが登録された 場合に通知等をさせる or 登録拒否

    - Intune + Jamf Proデバイスコンプライアンスが安定してきたら切り替 えたい

49. 49 2024/08/06 宣伝

50. 50 採用について We Are Hiring https://kanmu.co.jp/jobs/ カンム　採用

51. 51 Business Technology Conference Japan BTCONJP2024開催のお知らせ 日時：2024/10/12 (土) 11:00 -

    18:00 場所：LINEヤフー本社 　　　　　セミナールーム (紀尾井町) 公式サイト： https://btcon.jp/

52. 52 Thank you! ありがとうございました