SMB環境向けのサーバーとしてデザインされているWindows Server Essentialsには、社外/外出先からでもサーバーのリソースにアクセスできるAnywhere Accessという機能があります。
AnyWhere AccessにはWebベースでサーバーのファイルや社内のコンピューターなどにアクセスできる「リモートWebアクセス」と社外に持ち出したコンピューターを社内ネットワークに接続できる「VPN接続」の2つの機能があります。これらを使うことで、働く場所を意識しない多様なワークスタイルを実現することができます。
ユーザー名/パスワードにセキュリティの不安を感じる管理者へのソリューションは?
AnyWhere Accessの接続には、ActiveDirectoryのユーザー名とパスワードを利用します。昨今のセキュリティトレンドを踏まえると、ユーザー名・パスワードでの認証に不安を感じる管理者もいるかもしれません。
また、Windows Server Essentialsの導入の稟議を上げる際に、上司や経営層からセキュリティの不安を指摘されるケースもあるかもしれません。
多要素認証によるセキュリティ強化
そんな際には、MFA(Multi-Factor-Authentication)を導入して、ただユーザー名・パスワードを「知っている」だけの認証から、それ以外のものを「持っている」「ある場所にいる」といった要素を加えた認証を実現することで、セキュリティを向上させることができます。
ESET Secure Authenticationが実現する多要素認証
ESET Secure Authintication(以下、ESA)を利用すると、Windows Server EssentialsのリモートWebアクセスやVPN接続など社外からの接続手段に対して、ユーザー名・パスワードに加えてワンタイムパスワード(以下、OTP)での認証をかけることができます。設定により、社外だけでなく社内でもログオンに対してOTP認証をかけることができます。
OTPを生成するトークンは、スマートフォンのアプリで生成することが可能です。もちろん、ハードウェア型のトークンを用いることもできます。
ただし、ESAは有償かつ日本語版はなし。現状国内ではライセンス販売もなし。
ESAは有償のソフトウェアで、さらに残念なことに日本語版は提供されていません。
ソフトウェアの価格は、ユーザー数ごとのライセンスとなっています。参考までに見つけたイギリスでのライセンス販売価格は5ユーザー、1年ライセンスで£305.96からでした。
国内でもESET製品を販売しているキヤノンITソリューションズさんなどから、製品・ライセンスが入手できるようになるといいのですが。
現状は国内入手できないが、MFAでできることを見てみる
現状、国内入手ができず、サポートも受けられないのが残念ですが、以降はESAを導入して実現できるMFAを具体的にみてみます。
具体的にこんなことができる
実際に、Windows Server Essentialsの機能にOTPを導入した場合「リモートWebアクセス」「リモートデスクトップ」時の認証は以下のようになります。
リモートWebアクセスへのログイン
- 外出先等から、ブラウザでリモートWebアクセスを開きます。Microsoftが無償で提供するDDNSサービスを利用すると、https://xxx.remotewebaccess.com 、そのほか自身でドメインを取得して設定することもできます。
以下のように、ユーザー名とパスワードの入力を求められます。
- ユーザー名とパスワードが正しい場合、通常はこれでログオンできるのですが、ESAを導入すると、ここで次の画面に遷移し、OTPの入力を求められます。
リモートデスクトップ接続の場合
リモートデスクトップ接続の場合、通常のユーザー名、パスワードを入力したあと、以下の画面になってOTPの接続が求められます。
このように、もう1要素の認証が加わることで、格段にセキュリティのレベルを向上させることができます。
ESET のインストール方法
具体的な導入の手順は以下のようになります。
- ESETのサイトからESET Secure Authenticationをダウンロードします。
- サーバー上でダウンロードしたインストーラーをクリックします。
- 事前に、管理者アカウントに対してSchema Admin権限を与えておかないと、チェックで引っかかります。
- 導入するコンポーネントを選択します。
リモートWebアクセスだけでなく、リモートデスクトップやWindowsへのローカルログオンなどにもOTPを導入することができます。
- インストール中。
- 完了。ものの10分程度で終了です。
ESET のライセンス認証
- インストールが完了したら、ESET Secure Authentication Settingsを開きます。
- ADのドメイン名を選択すると、ライセンス認証画面になります。購入したライセンスのユーザー名とパスワードを入力します。
- 認証が完了すると以下のように緑色になります。
ESAでOTPを適用するユーザー、スマホの設定
- OTPを利用するデバイスでワンタイムパスワードを利用可能にするため、あらかじめ、該当ユーザーの連絡先の携帯電話に、「+81」の国番号から始まる形で、頭の0を外して「8190xxxxxxxx」形式で携帯番号を入力します。
- ActiveDirectoryのユーザーのプロパティに、ESET Secure Authenticationタブが追加されていますので、そこから設定をします。
SMSベースのOTPか、スマホアプリベースのOTP、あるいはハードトークンも指定できます(ただし、現状は国内のSMS-OTPは利用できないと思われます)。指定したら、[Send]を押下してモバイル端末に設定します。 - [Send]押下後に端末にURLを送ったと表示されますが、国内にはSMSが配信されないようなので、URLをメモして利用するモバイルデバイスからアクセスします。
- アクセスしたURLからアプリをダウンロード・インストールし、アクティベートします。
- インストール完了後に[Activate and Use]を押下するとアプリが起動し、初期設定画面になります。
- [Continue]を押下、4桁のPINを設定します。このPINはアプリ起動時に必ず入力を求められます。
- 設定が完了すると、OTPを表示するサーバーの選択画面になります。ここで表示される名称は、ESAサーバーで設定した名称になります。
- サーバー名称を押下すると、OTPが表示されます。サーバーへのアクセス時はこのOTPを入力します。なお、このOTPはデバイスがネットワークにアクセスできない場合でも表示可能です。
ESAの設定
- 基本設定画面。
Token Name欄に設定した名称が、トークンアプリにも表示されます。
- Windows ログオンの設定画面
- リモートデスクトップの設定
- Windowsログオンの設定
- ホワイトリストの設定
IPアドレス(CIDRでも、アドレス直でも可。IPv4,v6ともに指定可能)を指定して、該当のアドレスからのアクセスはOTPなしで利用させるホワイトリストの指定もできます。
社内ネットワークからのアクセスはOTPなし、外部からの接続だけにOTPの入力を求めるといったことができます。
国内でも入手できるようになると面白いMFAソリューション
残念ながら現状は国内では入手できないESAですが、Windows Server Essentials製品の導入にセキュリティを理由に二の足を踏んでいる層がもしあるならば、国内でも入手できるようになると面白いかもしれません。
この製品は、Windows Server Essentialsだけでなく、通常のMicrosoft製品でも利用できることから、興味を示されるマーケットはそれなりにあるのではないかと思います。
セキュリティの懸念を理由に、リモートワークや社員へのノートPCの貸与、BYODを躊躇している企業はSMBだけでなく大企業にも多数あります。
日本のビジネスにおける働き方がもっと人にやさしく、便利になることでこの国の労働力問題の解消や、生産性の向上が可能になるはずです。
早く、そういった世界がやってこないかと願っています。
