Trusted Gateway – BIG-IP APM で実現するテレワーク

Trusted Gateway サービス概要

Trusted Gateway(以下、TG)は、様々なテレワークの利用シーンに共通したセキュリティ基盤をオールインワンで提供します。企業規模、テレワーク形態、対象とする利用者の業務特性などに柔軟に対応し、効率的なセキュリティ対策を実現します。
2020年東京オリンピックの開会式にあたる7月24日の「テレワーク・デイ」実施に向け、多様な働き方にマッチするTrusted Gatewayソリューションをご利用ください。

本サービスではF5 Networks 社の Access Policy Manager に弊社独自開発の機能を追加し、テレワーク利用に適した機能を提供します。

4つのテレワーク利用方式とそのセキュリティ対策

社内システムとその利用方式によってセキュリティ対策は異なります。
利用方式を4つに分類して、それぞれのセキュリティ課題と TG を利用した解決方法をご紹介します。

4つのテレワーク利用方式

Trusted Gateway は様々なテレワーク利用方式で効果的な機能をオールインワンで提供します。

4つのテレワーク利用方式

① デスクトップ仮想化方式

デスクトップ仮想化方式には、オフィスのサーバで実行される仮想デスクトップ基盤(VDI)に、テレワーク端末からリモートログインして利用する仮想デスクトップ方式と、オフィスに設置されたコンピュータのデスクトップ環境をテレワーク端末から遠隔から閲覧、操作するリモートデスクトップ方式の2種類があります。
デスクトップ仮想化方式は、オフィスのデスクトップ操作全てを遠隔で行うことで、手元の端末にデータが残らないので情報漏洩が起きにくくテレワークでの利用に適しているといわれています。

  • この方式の課題
    • テレワーク端末の紛失・盗難に備えて、安全な多要素認証方式の採用が必要となります。
    • テレワーク端末からリモートアクセスする際の通信の暗号化が必要となります。
  • Trusted Gateway の解決策
    • 端末登録-事前に利用者向け端末管理ポータルサイト「My Portal」から端末を登録します。会社PCであることを判定する条件をクリアした端末のみ登録できます。
    • 端末管理-「My Portal」から端末を一元管理します。
    • 暗号化通信-VPN接続ソフト「F5 Edge Client」 によるSSL-VPN接続を行います。
    • 本人認証 / 端末認証-SSL-VPN接続時に本人認証に加え端末認証の多要素認証を行います。
デスクトップ仮想化方式

② 会社PC持ち帰り方式

オフィスで使用している端末を社外に持ち出し、社内のサーバーシステムやストレージに持ち出し端末からアクセスする方式です。

  • この方式の課題
    • 端末内に重要なデータが保存されている可能性や、社内システムから重要なデータをローカルにコピーする可能性があるため、紛失・盗難による情報漏洩の危険性が高まります。それを防止するための堅牢なセキュリティ対策が必要となります。
    • インターネット経由でオフィスのシステムにアクセスする為の情報漏洩対策として通信の暗号化が必要となります。
  • Trusted Gateway の解決策
    • 端末登録-事前に利用者向け端末管理ポータルサイト「My Portal」から端末を登録します。会社PCであることを判定する条件をクリアした端末のみ登録できます。
    • 端末管理-「My Portal」から端末を一元管理します。
    • 暗号化通信-VPN接続ソフト「F5 Edge Client」 によるSSL-VPN接続を行います。
    • 本人認証 / 端末認証-SSL-VPN接続時に本人認証に加え端末認証の多要素認証を行います。
会社PC持ち帰り方式

③ 会社PC持ち帰り方式+クラウド型アプリ方式

オフィスで使用している端末を社外に持ち出し、 利用するアプリケーションやシステムは全てクラウド上で提供され、社内システムへのアクセスが必要の無い方式です。

  • この方式の課題
    • 端末内に重要なデータが保存されている可能性や、社内システムから重要なデータをローカルにコピーする可能性から、紛失・盗難による情報漏洩の危険性が高まります。それを防止するための堅牢なセキュリティ対策が必要となります。
    • インターネット経由からクラウド型アプリケーションを利用する際の端末認証と端末管理が必要となります。
  • Trusted Gateway の解決策
    • 端末登録-事前に利用者向け端末管理ポータルサイト「My Portal」から端末を登録します。会社PCであることを判定する条件をクリアした端末のみ登録できます。
    • 端末管理-「My Portal」から端末を一元管理します。
    • 本人認証-Trusted Gateway が SAML-IdP になり、WEBアプリ認証にSSO(シングルサインオン)を提供します。
    • 端末認証-本人認証時に、端末のブラウザ内で「Endpoint Security」機能により端末情報を取得します。端末情報から接続の可否を判断します。
会社PC持ち帰り方式+クラウド型アプリ方式

④ セキュアブラウザ方式

営業など外出が多い業務の場合、移動中や顧客先など様々な場所で効率的な作業が必要になります。モビリティに優れ、手軽に利用できる端末としてモバイル端末を活用する方式です。
利用するアプリケーションやシステムは全てクラウド上で提供され、社内システムへのアクセスが必要の無い方式です。

  • この方式の課題
    • クラウドから重要なデータをスマートフォンなどに保存する可能性があります。
    • 端末の手軽さとは裏腹に、紛失や盗難、それに伴う情報漏洩の危険性が高まります。それを防止するための堅牢なセキュリティ対策が必要となります。
  • Trusted Gateway の解決策
    セキュリティ対策を万全にしたBYOD (Bring Your Own Device) 専用ブラウザ Trusted Gateway Browser (以下、TG Browser) を利用します。TG BrowserがWEBアプリをラッピングしデータを保護します。
    • 端末登録-事前に利用者向け端末管理ポータルサイト「My Portal」から端末を登録します。会社PCからのみ端末登録できます。
    • 端末管理-「My Portal」から端末を一元管理します。
    • 本人認証-Trusted Gateway が SAML-IdP になり、WEBアプリ認証にSSO (シングルサインオン) を提供します。
    • データ保護-TG Browserによるファイルダウンロード禁止、スクリーンショット制御、ブラウザキャッシュ削除機能を提供します。
    • 情報漏洩-TG Browserによるブラウザ画面ロックや自動ログアウト機能により不正利用を阻止します。
セキュアブラウザ方式

まとめ

テレワーク(「モバイルワーク」、「在宅勤務」、「サテライトオフィス勤務」)を実現するには、社内システムの方式、形態にあった端末管理とセキュリティ対策をどのように実践するかが重要となります。
テレワーク利用方式毎に専用の環境を整えていたのでは導入費用は増え続けシステム管理も複雑になります。
様々なテレワークシーンに対応できる必要機能を一つにまとめた認証ゲートウェイ(BIG-IP APM)を基盤とすることで導入と運用の費用を最小限に抑えることができます。

テレワーク
システム方式
社内システム
/アプリ
端末 端末への
データ保存
デスクトップ仮想化方式 リモート
デスクトップ
会社PC
スマートデバイス (BYOD)
しない
仮想デスクトップ
会社PC持ち帰り方式 クライアント
/サーバ型
会社PC する
会社PC持ち帰り方式
+クラウド型アプリ方式
会社PC
スマートデバイス
(BYOD)
セキュアブラウザ方式 クラウド型アプリ しない

テレワーク
システム方式
セキュリティ要件
本人認証*1 暗号化通信 端末認証 端末管理
デスクトップ仮想化方式 F5 Edge Client SSL-VPN Endpoint Security
Trusted Gateway Controller
Trusted Gateway Cloud
会社PC持ち帰り方式 F5 Edge Client SSL-VPN
会社PC持ち帰り方式
+クラウド型アプリ方式
SAML WAN
(SSL*2)
Trusted Gateway Browser
Trusted Gateway Controller
Trusted Gateway Cloud
セキュアブラウザ方式 SAML WAN
(SSL*2)

*1 外部認証サーバ連携
*2 クラウド型WEBアプリの通信

サービス提供対象

カテゴリ サービス内容
対象製品 F5 Networks BIG-IPシリーズ
対象機器 BIG-IP iシリーズ / BIG-IP Virtual Edition (VE)
対象バージョン Ver.13.1.1以降
対象モジュール Access Policy Manager (APM)
セキュアブラウザ対応スマートデバイス iOS12以上、Android 6以上

F5 BIG-IPに
関するお問い合わせ

  • テクマトリックス株式会社
    東京本社

    ネットワークセキュリティ事業部
    ネットワーク営業部
    ネットワークプロダクツ営業1課

    03-4405-7812

  • テクマトリックス株式会社
    西日本支店

    ネットワークセキュリティ営業課

    06-6484-7486

メールでのお問い合わせ
f5-info@techmatrix.co.jp

CONTACT

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。