新しいGoogle APIは暗号化によりChromebooksをよりセキュアに

サイバーセキュリティー
梅田 哲正
GoogleのChrome OSの優位性が広がっていきます。
これまでセキュリティ面がネックとなっていましたが、今回のセキュリティ強化により様々な場面での活用が進んでいくでしょう。働き方にも多様性が出てくるのではないでしょうか。また暗号化技術を持つ人はマーケットバリューがある上、フィンテックなど各局面においてその技術の汎用性が貴重とされることでしょう。

このコンサルタントに転職相談をする

Googleは、Verified Access for Chrome OSで、ネットワークへ接続する前段階にChrome OS端末での暗号型認証アクセス検証機能を提供しました。

VPNゲートウェイ、センシティブサーバー、企業の認証サーバー、企業用Wi-Fiアクセスポイントなどにアクセスする前に、Verified Accessでハードウェアの暗号化認証を行い、本人確認を終えたクライアントマシンのみを接続可能とします。これにより、Chrome OS端末に内蔵されているTrusted Platform Moduleのチップが改ざんされておらず、かつ、既存のポリシーと一致していることを確認できます。この検証方法で、ネットワークサービスはどの端末にどれくらいのレベルの企業の内部情報の開示権限を与えるか、あるいはどのアプリケーションにアクセス権限を許可するかを判断することができます。

端末の暗号化認証による改ざん防止のチップは、AppleのiOS 端末やBlackBerrysやSamsungのAndroid端末でも使用されています。Chrome OS端末内臓のTrusted Platform Module チップやハイエンドのWindows PCにも、不正防止としてここ数年使用されてきました。
「Googleは数年に渡って、内部情報開示の正確性や方針、コンプライアンスの強化の目的とセキュリティの向上の為にVerified AcessをChrome端末に搭載してきたが、今はそれが外部からも可能にりました。」とChrome for Workのシニアプロダクトマネージャーのサスワット・パニグラッヒイ氏はGoogle for Workのブログ上で語っていました。
Chrome OS Verified Access APIは、Google Apps Admin Panelで、今ではパブリックにも公開され設定可能。Verified Accessを許可し、enterprise.platformKeysのAPIのアクセス権限を更に許可すれば管理ができるようになります。更に、各端末にクローム機能の拡張をインストールすれば、enterprise.platformKeys APIと連動させることができます。

クライアント側の端末認証に依存するセキュリティ対策からの脱却

通常の場合、会社のポリシーによりネットワークが制限されたり、データアクセスを企業が支給し認証した端末にのみアクセス権を認めたりしていますが、これらはクライアント側が端末認証を行うことに依存しています。しかし、システムに対して悪意を持って侵入した者にとっては、シグナルを偽り、クライアント側のチェックをすり抜けるのは容易なことです。

しかし、Verified Accessを使用すれば、端末内のTrusted Platform Moduleのチップの暗号化で認証確認がされた上に、Googleサーバー側のAPIも利用し、端末自体のステータスを検証することができます。その端末が正規のChrome OSであり、Chrome OSがインストールされた他のハードウェアでないことを確認することもできます。また、メモリに一時的に貯蓄された古いものではなく、最近起動されたものであるかも確認することができます。Verified Accessは企業のドメインで管理でき、端末をセキュリティや方針の設定で二重にチェックでき、コンプライアンスや内部のポリシーごとにも確認可能となります。ユーザーも、自身がドメインの正当な利用者であることを確認することができます。
「今後、Verified Accessと企業の認証権限を融合する可能性もあります。この場合、IT部門が管理し、認証した端末にのみハードウェア認証の証明書発行を可能とします。VPNゲートウェイにアクセス権限を持つユーザーが検証できるように設定し、そのユーザーと端末の双方がVerified Accessにより承認された場合にのみ使用許可がおりる仕組みとなります。」とパ二グラッヒイ氏は語ります。これが実現すれば、内部情報の開示を企業は端末、ユーザー、方針の全てにおいて暗号化認証で確証されたものだけに限定することができます。
このセットアップは、Pulse Secure VPN, Dell SonicWALL Mobile Connect, Cisco AnyConnect, F5 Access, GlobalProtect, OpenVPNやL2TP over IPSecなどの他の人気が高いVPNゲートウェイでも活用可能。VPNのベンダーはVerified Accessと直接繋ぎ込みさえすれば、認証プロトコルも不要になります。
企業の多くで活用されているように、VPN設定が証明書の認証を可能にしている場合、「VPNゲートウェイに変更を加えなくとも証明証の発行はVerified Accessで設定ができるようになります」とパニグラッヒイ氏は説明しました。

Chromebookの優れたセキュリティ

自動アップデート、サンドボックス機能、信頼性の高い拡張機能に対するホワイトリスト、ビルトインの暗号化などのセキュリティ面でChromebookは優れているため、多くの企業は社員にChromebookを支給しています。
Duo Securityという会社では、「社内でVerified Accessを利用して内部情報のアクセス権限付与の正確性を査定した上で、25%以上の社員にChromebookを支給する決断をした」とセキュリティディレクターのマイケル・ハンリー氏はブログで語っていました。Duo Securityの場合、ログインするとVerified Access APIからChrome拡張機能に移行し、enterprise.platformKeys API によりレスポンスを得ます。チャレンジ・レスポンスは、Duoのサービスに送信され、Verified Access APIを経て認証が行われます。この時点でアクセス権限を与えられるか否かの判断がなされ、端末がプロトコルに不合格となれば、アクセス権限は与えられないこととなります。
Duo SecurityとRuckus WirelessはVerified Access APIと既に統合を完了しています。Duo Securityでは、今年の終わりまでにVerified Accessの一般利用の実用化を計画中。現在内部で既に使用しているように、Verified Accessからの情報を利用してDuo Securityのサービスへのアクセス権限の管理をする予定です。「我々は、プロトコルの使用方法や立証方法が分かりやすく、導入しやすい点を気に入っています。」とハンリー氏は語っています。
Ruckusでは、Cloudpath ESのセキュリティ管理プラットフォームとAPIを融合し、IT管理者とユーザーレベルのChromebookを区別する方法を用いています。CloudpathではAPIを通して、IT管理者のみがワイアレスなネットワークに接続でき、センシティブ情報にアクセスする権限を与えられる仕組みとなっています。
今後は、他のネットワークやセキュリティプロバイダーもRuckus WirelessやDuo Security同様にVerified Access APIとサービスを融合することが予想されます。Duoのハンリー氏は、Verified Accessは「最小限の修正」のみで導入が可能だったと述べ、更に付け加えて、「ChromebookやGoogleアプリに大きな比重を置いている場合、顧客が得るものは非常に大きい」と述べていました。
Googleは他にもChrome端末のセキュリティの強化ができないかと模索しています。例えば、Smartcard Authentication supportはその一つといえます。出たばかりのCitrix Receiver for Chrome 2.1 では、スマートカードを使ってユーザーの認証を可能にしています。
現時点では、Verified AccessはChrome端末のみで使用ができ、他のTPMプラットフォームまで拡大するかはまだ検討段階です。ただし、Verified Accessはセキュリティという観点から、Chrome OSを非常に魅力的なものにしているのは確実といえるでしょう。

Fahmida Y. Rashid著、InforWorld掲載

※本記事は以下の内容を翻訳・引用しています。
http://www.infoworld.com/article/3110454/chrome-os/new-google-api-cryptographically-secures-chromebooks.html