Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Entra IDとJamfで実現する金融業界のセキュリティ対策 〜デバイストラストへの道のり〜
Search
hikky
August 06, 2024
Technology
3
1.3k
Entra IDとJamfで実現する金融業界のセキュリティ対策 〜デバイストラストへの道のり〜
JAMF NATION LIVE TOKYO 2024の登壇資料です。
内容は2024年8月時点のものです。
hikky
August 06, 2024
Tweet
Share
More Decks by hikky
See All by hikky
JMUG #9
ken_hikita
2
390
Office 365を利用して GPS Botもどきをつくろう
ken_hikita
0
35
EMS(Intune)で色々なデバイスをセットアップしてみた
ken_hikita
0
310
Other Decks in Technology
See All in Technology
リンクアンドモチベーション ソフトウェアエンジニア向け紹介資料 / Introduction to Link and Motivation for Software Engineers
lmi
4
300k
マルチプロダクトな開発組織で 「開発生産性」に向き合うために試みたこと / Improving Multi-Product Dev Productivity
sugamasao
1
300
社内で最大の技術的負債のリファクタリングに取り組んだお話し
kidooonn
1
550
TanStack Routerに移行するのかい しないのかい、どっちなんだい! / Are you going to migrate to TanStack Router or not? Which one is it?
kaminashi
0
580
信頼性に挑む中で拡張できる・得られる1人のスキルセットとは?
ken5scal
2
530
Evangelismo técnico: ¿qué, cómo y por qué?
trishagee
0
360
元旅行会社の情シス部員が教えるおすすめなre:Inventへの行き方 / What is the most efficient way to re:Invent
naospon
2
340
Lambda10周年!Lambdaは何をもたらしたか
smt7174
2
110
Amazon CloudWatch Network Monitor のススメ
yuki_ink
1
200
CysharpのOSS群から見るModern C#の現在地
neuecc
2
3.2k
Security-JAWS【第35回】勉強会クラウドにおけるマルウェアやコンテンツ改ざんへの対策
4su_para
0
180
TypeScript、上達の瞬間
sadnessojisan
46
13k
Featured
See All Featured
How STYLIGHT went responsive
nonsquared
95
5.2k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
109
49k
Keith and Marios Guide to Fast Websites
keithpitt
409
22k
Navigating Team Friction
lara
183
14k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k
[RailsConf 2023] Rails as a piece of cake
palkan
52
4.9k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
31
2.7k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
506
140k
Build The Right Thing And Hit Your Dates
maggiecrowley
33
2.4k
jQuery: Nuts, Bolts and Bling
dougneiner
61
7.5k
Done Done
chrislema
181
16k
How to Think Like a Performance Engineer
csswizardry
20
1.1k
Transcript
1 Kenichi Hikita 2024/08/06 Entra IDとJamfで実現する 金融業界のセキュリティ対策 〜デバイストラストへの道のり〜 Jamf Nation
Live Tokyo 2024
2 引田 健一(hikky) corporate engineer at Kanmu, Inc. 株式会社カンム コーポレートエンジニア
一般社団法人日本ビジネステクノロジー協会 理事 運営コミュニティ - Japan EMS User Group(EMS勉強会) - Japan Okta User Group - 情シスSlack Admin etc 第一種大型免許、第一種けん引免許保持 https://blog.intracker.net/ 自己紹介
3 Mac歴はまだ4年弱
4 会社概要 COMPANY
5 会社概要 社名 住所 設立 代表者 資本金 事業内容 許認可 主要な株主
株式会社カンム 〒150-0013 東京都渋谷区恵比寿 1-20-18 三富ビル新館 4階 2011年1月 八巻 渉 約32億9038万円(資本剰余金含む) ブランドプリペイド・クレジットカード事業の開発・運営 資金決済法 第三者型前払式支払手段 関東財務局長 第00690号 第二種金融商品取引業 関東財務局長(金商)第 3321号 株式会社三菱 UFJ銀行(親会社)、株式会社セブン銀行
6 プロダクト 誰でもすぐに作って買い物できる Visaプリカアプリ 手元の資産形成に活用できる クレジットカード 新規事業 立ち上げ中
7 バンドルカード 誰でもすぐ作れる 1分でVisaカードが発行可能 1 すぐ確認できる 使ってすぐにPush通知で金額確認 2 後でも払える その場でチャージして翌月末にお支払い
3 🎊 2024年2月:累計1,000万DLを突破
8 Pool 決済で1%キャッシュバック 入金した金額に応じて利用可能枠が付与されるクレジット カード 使った金額の1%をキャッシュバック 1 投資ができて予定利回り 1%〜 値動きがなく年利1%〜のリターンが期待でき、少額から投
資をはじめることができます (税引前、運用成果を保証するものではありません) 2 投資とVisaカードを組み合わせたプロダクト
9 デバイスは CYOD
10 2024/08/06 皆さんデバイストラストやってますか?
11 agenda INDEX 1 2 3 4 What’s 「デバイストラスト」? Why
「デバイストラスト」? やってみた 4パターン紹介 検証した気づき(所感と悩み)
12 デバイストラストとは? アクセス条件 アクセス許可 OSVerは? 最新 サポート切れ どのデバイス? 私物 社給
誰が? 社員 社外スタッフ アクセス OK アクセス NG
13 - 私物PCから会社資産へアクセスできないようにしたい - リモートワーク中に会社 PCを利用させたい - デバイスの状態を確認してから、アクセスさせたい - コンプライアンス要件を満たしたい
- 柔軟なアクセス制御を実現したい デバイストラストを設定する理由?
14 - Intune + Jamf条件付きアクセス - Intune + Jamfデバイスコンプライアンス -
Entra CBA + Secure W2 - Platform SSO やりたいなと、色々と試してきました。
15 2024/08/06 Intune + Jamf Pro連携
16 Intune + Jamf条件付きアクセス 当時はこれで Macも条件付きアクセスで制御ができる!! と大喜びしました。
17 2024/08/06 しかしそんなうまくいかない・・・
18 Intune + Jamf条件付きアクセス - Chromeがデフォルトブラウザだと登録に失敗する (現在は解消 ) - Intune上「準拠済み」状態でも、認証に失敗する
- 準拠済端末が、非準拠端末に戻ってしまう - Jamf Pro上の条件指定はできない - Intune側のデバイスコンプライアンスポリシーで評価される - 評価されるまで時間が結構かかる、外れるとすぐアクセス不可 - 再登録が結構面倒 - 結局除外のオンパレード
19 Intune + Jamfデバイスコンプライアンス Jamf Proのスマートコンピュターグループが使えるようになった! 最高! EMS勉強会 ✕ JMUGでも取り上げました
https://youtu.be/ty9XZ3P7Veo?si=pT9EqiWwrHjj8U1u
20 Intune + Jamfデバイスコンプライアンス パートナーコンプライアンス管理に統合されましたね
21 2024/08/06 やっぱりうまくいかない・・・
22 Intune + Jamfデバイスコンプライアンス - Intune上「準拠済み」状態でも、認証に失敗する - 準拠済端末が、非準拠端末に戻ってしまう - 対象スマートコンピュータグループにいるが、登録に失敗する
- 評価されるまで時間が結構かかる (Intune側) - 再登録が結構面倒 - 結局除外のオンパレード
23 2024/08/06 こうなったら証明書だ!!
24 Entra CBA + Secure W2 1. Jamfを利用して証明書を配布 2. 証明書があることを条件とした条件付き
アクセスポリシーを作成 3. 認証強度で証明書以外を禁止設定 画像引用元 https://www.securew2.com/blog/auto-enrolling-certificates-in-jamf
25 Entra CBA + Secure W2(認証強度とか) Entra CBA認証を強制する場合には、認証強度の設定が必要
26 Entra CBA + Secure W2 - 1デバイスごと証明書費用が必要 - 組織がスケールした際に、費用が高額になる
- VPNログイン認証に Entra IDを利用していたが、証明書選択画面 がでてこない (これはCASBのせいだったかも ) - Entra ID側の設定が複雑になる - 証明書運用がやっぱり大変 - コンプライアンスポリシーは評価されない
27 Entra CBA + Secure W2 設定方法の続きはブログで https://blog.intracker.net/archives/4893
28 2024/08/06 Platform SSO
29 Platform SSO - macOS13(Ventura)以上から利用可能 - Mac端末に対して、 IdPの情報を同期して利用可能になる - IdPのパスワードを
Mac端末に同期する
30 Platform SSO - Jamf Proから構成プロファイルを配布
31 Platform SSO
32 Platform SSO Platform SSOを設定した端末は Entra ID上で以下のように表示され ます。
33 Platform SSO(条件付きアクセス) 以下のような条件で条件付きアクセスポリシーを作成 Entra ID Joinでない端末はアクセスをブロック
34 Platform SSO(注意点) Chromeで判定をするには、 Microsoft Single Sing On拡張機能のインス トールが必要なので、 Chrome
Enterpriseを利用して全端末へ配布
35 Platform SSO(注意点) 拡張機能がインストールされていないと、 デバイスIDが取得できず認証に失敗する
36 Platform SSO(注意点) CASBが導入されている場合には、プロセスや URL除外等の設定が必要 https://learn.microsoft.com/ja-jp/entra/identity/devices/how-to-hybrid-join#network-co nnectivity-requirements 調べた限りでは以下のプロセスが利用されている - company
portal - mac sso extension - appssoagent
37 Platform SSO - ちゃんと登録されれば安定する - 登録時にエラーとなったりすることがたまにある - 条件付きアクセス +
Platform SSOという構成で比較的わかりやす い - コスト増がない - コンプライアンスポリシーは評価されない - 一度登録されると再評価はされない - Entra Joined状態と認識されている限りアクセスが可能
38 2024/08/06 検証した気づき(所感と悩み)
39 所感と悩み 所感 - Entra ID Joined状態でないと、各種 SaaSへのアクセスができないという環境 の構築はできた -
デバイスリスク等に関しては、 EDRや、Identity Protectionに任せよう - なんちゃってデバイストラスト (デバイス制限かも)ですみません ここが微妙 - OSのバージョン情報等を元にアクセス許可、拒否はできない - デバイスフィルタ条件を変えれば多少は可能 - パスワードレスからは遠のいている - Entra IDのパスワードで macOSにログインできるので
40 2024/08/06 すべての手法に共通すること
41 Entra IDデバイスの棚卸しが必ず必要 Entra IDデバイスとして登録され、デバイスを使いまわした場合新しい デバイスとして登録されてきます。棚卸しをしないとカオスな状況に
42 2024/08/06 ゼロタッチキッティング
43 ゼロタッチキッティング - 弊社では、登録カスタマイゼーションを利用しているため、セットアッ プ時にEntra IDの認証が入る - セットアップ時は Entra ID
Joined状態ではないことになる - 当然ながら認証に失敗し、設定アシスタントが先に進まない
44 ゼロタッチキッティング - 以下のアプリケーションを条件付きアクセスから除外することで対 応 - Jamf Pro - Microsoft
Intune - My Apps
45 2024/08/06 まとめ
46 まとめ - Platform SSOを組みあわせることで、ちょっとしたデバイストラスト を実現することができる - Jamf Pro(MDM)のフレームワークを利用することで、スマートにセ キュアな環境を構築していくことができる
- 完璧だとは思っていないので、別な防御策も組み合わせる必要が 当然ある - パスワードレスからは遠のくので、導入判断は悩む - Mac + Entra IDのデバイストラストはここ数年で変化が色々とでて きているので今後にも期待
47 デバイス制限はしたけど・・・ - 貸与PCから他テナント SaaSへのアクセスはできてしまう - CASB等で監視、制御はしている - このあたりは社内教育も大事なこと -
データのラベリングのほうが大事 - データが一番大事 - 私物PCもやろうと思えば突破できる (MDMが入るけど) - 新しい端末が登録されたという通知が必要 - Jamf Proを利用して check-inが無いマシンを通知するのも効 果的
48 今後の展望 - Jamf ZTNAを利用することでもっといい方法がないかチャレンジ - 資産管理台帳と組み合わせて、台帳に存在しないマシンが登録された 場合に通知等をさせる or 登録拒否
- Intune + Jamf Proデバイスコンプライアンスが安定してきたら切り替 えたい
49 2024/08/06 宣伝
50 採用について We Are Hiring https://kanmu.co.jp/jobs/ カンム 採用
51 Business Technology Conference Japan BTCONJP2024開催のお知らせ 日時:2024/10/12 (土) 11:00 -
18:00 場所:LINEヤフー本社 セミナールーム (紀尾井町) 公式サイト: https://btcon.jp/
52 Thank you! ありがとうございました