Appleデバイスのリスクスコアに応じて証明書を自動失効し、無線認証を制限する方法

はじめに

近年、EDRやデバイス管理ソリューションの普及により、デバイスのリスク状態をリアルタイムに把握できるようになりました。一方で、証明書ベースの無線認証では、リスクに応じてアクセス制御を動的に変更することが難しいという課題があります。従来は、リスクが検知されても管理者が手動で証明書を失効しない限り、デバイスはネットワークに接続し続けることが可能でした。また、証明書を失効した場合でも、CRLの更新や再認証が行われるまでは通信が継続される可能性があります。

本記事では、Jamf Security Cloud・Jamf Pro・SecureW2を連携し、デバイスのリスク状態に応じて証明書を自動的に失効させる構成（Adaptive Defense）を解説します。

なお、本記事では「証明書の自動失効」までを対象としています。本ソリューションの最終的なゴールは、Adaptive DefenseとRTI（Real-Time Intelligence）を組み合わせることで、リスクのあるデバイスのネットワーク接続を短時間で遮断することです。RTIについては、後日公開予定の別記事で詳しく解説します。

すでにJamf Security CloudやJamf Proを導入されているお客様、あるいはデバイスのリスク状態に応じた動的な証明書管理・アクセス制御を検討されているお客様にとって、本記事は導入効果をより具体的に理解いただける内容です。ぜひ最後までご覧ください。

Adaptive Defense導入で何が変わるのか

証明書は有効期限内であっても失効確認によって拒否できますが、失効情報が反映されるまでは認証に利用される可能性があります。従来は、マルウェア感染やポリシー違反が発生した場合でも、管理者が手動で証明書を失効し、失効情報が認証基盤に反映されるまで、デバイスがネットワークに接続し続ける可能性がありました。
このような状態で証明書を速やかに失効できない場合、不正に操作された端末が正規の証明書を使用し、ネットワークや社内システムへアクセスし続けるリスクがあります。そのため、リスク検知を起点として証明書失効を自動化し、短時間で反映できる仕組みを整備することが重要です。

Adaptive Defenseを導入すると、Jamf Security Cloudで管理しているデバイスのリスク状態をもとに、Jamf Proで管理している同デバイスの所属グループが動的に変更されることをトリガーとして、SecureW2が対象デバイスのクライアント証明書を自動的に失効できるようになります。これにより、手動で行っていた証明書失効対応を自動化し、リスク対応を迅速化できます。

ただし、Adaptive Defenseで実現できるのは証明書の自動失効までであり、ネットワークの遮断は含まれません。RTIを組み合わせることで、証明書失効を起点としたリアルタイムなネットワーク遮断が可能になります。

Adaptive Defenseで期待できる効果

ここまでで、Adaptive Defenseが提供できるPKIの変化についてご説明いたしました。この変化から想定されるAdaptive Defenseの魅力をご紹介します。

リスク状態に応じた証明書失効の自動化

• デバイスリスクの変化をトリガーとして証明書失効を自動化
• 高リスク状態のデバイスに対するアクセス制御の初動対応を迅速化
• 当社検証環境では、トリガーイベントの発生から証明書失効完了まで、おおむね1〜2分程度で安定して動作することを確認しています。

▶ 活用シーン：リモートワーク、機密情報を扱う業種、セキュリティ重視の組織

管理負担の大幅軽減

• 証明書の手動失効や設定変更が不要
• IT部門の工数を大幅削減

▶ 活用シーン：IT部門の人的リソースが限られる企業、教育機関、大規模組織

仕組みの流れを理解いただけたと思いますが、「実際の導入は複雑ではないのか」と疑問に感じる方もいるかもしれません。そこで、Jamf Security Cloud、Jamf Pro、SecureW2を連携させる際に必要となる代表的な設定項目を、概要レベルで整理しました。

Adaptive Defenseの簡易的な導入手順

Jamf Security CloudとJamf ProのWebhook連携

1. Jamf Security Cloudの統合タブからUEM Connectにアクセスし、Webhookのトークンを作成します。

   

2. Jamf Proの設定タブからWebhookの設定にアクセスし、本検証では、対象とするスマートグループに応じてWebhookを作成します。

   

以上でJamf Security CloudとJamf ProのWebhook連携は完了です。

Jamf ProとSecureW2のAPI連携

1. Jamf Proの設定タブからAPIロールとクライアントの設定にアクセスし、APIロールを作成します。

   

2. APIクライアントを作成し、クライアントシークレットを生成し、コピーしておきます。

   

3. コピーしたクライアント情報を使用して、SecureW2のIntegration HubからCore Platformsを作成します。

   

以上でJamf ProとSecureW2のAPI連携は完了です。

証明書の自動失効設定

1. SecureW2のIntegration HubからAdaptive Defense Platformsを作成します。

   

2. Policy ManagementからAdaptive Defense Templatesを作成します。Adaptive Defense Platformsがトリガーされたとき、デバイスのリスクレベル属性を参照するように設定します。

   

   

   
   

3. Adaptive Defense Workflowsを作成します。Adaptive Defense Templatesに基づいて、デバイスのリスクレベルがHIGHの時、デバイスに格納された証明書を失効するように設定します。

   

以上で証明書の自動失効設定は完了です。

動作確認

今回は、実際にデバイスリスクレベルが上昇する行動を行った後、証明書が自動失効され、以後の再認証時に無線認証が制限される状態まで検証を行いました。

下の動画ではそれに加えて、SecureW2の機能であるReal-Time Intelligence （RTI）によってデバイスがネットワークから遮断される動作を紹介します。

おわりに

今回は、デバイスのリスクレベル上昇をトリガーとして、該当デバイスに紐づく証明書を自動で失効させる検証を実施しました。本検証で使用した「Adaptive Defense」は、SecureW2が提供する機能の一つであり、IDaaSやMDM、EDRで検知されたリスクイベントをもとに、証明書の自動失効を実現します。さらに、CRLの更新を速やかに反映できるため、失効済み証明書による認証要求を受け入れてしまう時間を短縮できます。Adaptive Defenseを導入することで、以下のようなメリットが期待できます。

• 迅速なリスク対応
  • Jamf Security Cloudで検知されたデバイスのリスク状態をJamf Pro経由で反映し、SecureW2による証明書失効までを自動化できます。これにより、従来は管理者の手動対応に依存していた証明書失効の初動を短縮できます。
• 管理者の運用負荷軽減
  • Jamf Pro、Jamf Security Cloud、SecureW2の各システムが連携して処理を行うため、証明書の手動失効といった運用上の人的負荷を軽減できます。

一方で、本記事で扱ったAdaptive Defenseで実現できるのは、あくまで証明書の自動失効までです。証明書失効後も、CRLの更新反映や再認証が行われるまでは、端末が通信を継続できる場合があります。ネットワーク接続のリアルタイム遮断を実現するには、RTIとの組み合わせが重要になります。

ぜひ、Jamf Security Cloud × Jamf Pro × SecureW2 を組み合わせた本ソリューションの導入をご検討ください。以上で「Appleデバイスのリスクスコアに応じて証明書を自動失効し、無線認証を制限する方法」の検証レポートを終わります。

＊本サイトに掲載されている製品またはサービスなどの名称及びロゴは、各社の商標または登録商標です。