Check Point FWの認証のベストプラクティス
目次
認証方式
対応可能な認証方式
Check Point FWの認証に関わる3つの機能について、対応可能な認証方式を以下にまとめてみました。Check Point FWの標準的な認証は、パスワード認証となりますが、SingleIDと連携することで、クライアント証明書認証やワンタイムパスワード認証(2要素認証)など強固な認証方式が利用可能となります。
パスワード認証 | ワンタイムパスワード認証(2要素認証) | クライアント証明書認証 | |
---|---|---|---|
管理者の認証 | パスワード認証 | 〇(SingleID利用) | × |
リモートアクセスVPNの認証 | 〇 | 〇(SingleID利用) | 〇(SingleID利用) |
WiFiアクセスの認証 | 〇 | 〇(SingleID利用) | 〇(SingleID利用) |
認証方式とメリット/デメリット
次に、認証方式ごとに、セキュリティ強度、導入の難易度、ユーザの利便性を比較してみました。
パスワード認証は、強固なパスワードポリシーを適用することで認証強度は増しますが、フィッシング被害によるパスワード漏洩の危険は回避できません。一方、 ワンタイムパスワード認証(2要素認証) は、一般にも広く利用される認証方式ですが、常にトークンを持ち歩く必要があったり、パスワードを2回入力する必要があったりと手間もコストもかかります。出張中に、トークンを紛失してしまったら、仕事もできないという、目も当てられない事態となります。クライアント証明書認証については、導入のハードルが高いことが唯一の難点ですが、SingleIDには、PKIの機能が標準装備され、クライアント証明書を無制限に発行できるため、必要に応じて、PC、スマートフォン、タブレットなど様々な端末にインストールして使うことができます。そして、一度、インストールしてしまえば、何の入力もせずにログインでき、非常に利便性が高いことが特徴です。
利用者は複数システムへログインすることが多いので、SingleIDでログインアカウントの統合を行うことで、さらに、セキュリティや利便性が向上します。
パスワード認証 | ワンタイムパスワード認証(2要素認証) | クライアント証明書認証 | |
---|---|---|---|
セキュリティが強い | × ・フィッシングによる危険 ・同一パスワードの使いまわしの危険 | 〇 | 〇 |
導入の難易度が易しい | 〇 | × ・OTPシステムを導入が必要 ・利用者へトークン配布が必要 | × ・PKIシステムの導入が必要 ・個々の端末へ証明書のインストールが必要 |
ユーザの利便性が高い | × ・個々のシステムのパスワードを記憶する必要がある ・ログインごとに入力が必要 | × ・トークンを常に所持する必要がある。 ・トークン紛失の危険性 ・2回パスワードを入力する手間 ・ログインごとに入力が必要 | 〇 |
推奨パターン
利便性とセキュリティを考えて、クライアント証明書による認証がこれからのテレワークには最適だと考えます。
これに基づき、Check Point FWにおいて、3つの認証を行う場合のベストプラクティスをあげさせていただきます。参考になれば幸いです。
パターン1
管理者の認証: パスワード+ワンタイムパスワード認証(2要素認証)
リモートアクセスVPNの認証:クライアント証明書
WiFiアクセスの認証: クライアント証明書
パターン2
管理者の認証: パスワード認証(複雑なパスワードポリシー、パスワードの有効期限を無期限、セルフパスワードリセット)
リモートアクセスVPNの認証:クライアント証明書
WiFiアクセスの認証: クライアント証明書
パターン3
管理者の認証: パスワード認証+送信元IP制限
リモートアクセスVPNの認証:クライアント証明書
WiFiアクセスの認証: クライアント証明書