採用情報 お問い合わせ

BLOG

  1. HOME
  2. BLOG
  3. 電子認証局サービス BLOG
  4. クライアント認証ソリューション
  5. 【Google Cloud Platform(GCP) × デバイス ID】デバイス ID 証明書でクライアント認証してみた

電子認証局サービス BLOG

クライアント認証ソリューション

2026 年 06 月 11 日

【Google Cloud Platform(GCP) × デバイス ID】デバイス ID 証明書でクライアント認証してみた

なぜ GCP で「デバイス認証」が必要なのか

企業でのクラウドサービスの利用は 2024 年で 8 割超※1と年々拡大している中、情報資産に対するアクセス管理の課題となるのが「許可されていない私物端末(BYOD)や外部の端末からの接続」をいかに防ぐかという点です。

※1
出典:総務省「令和 7 年版 情報通信白書

Google の圧倒的なインフラと最先端 AI 技術に強みに持ち、データ分析とコストパフォーマンスの高さで多くの企業から選ばれている「Google Cloud Platform(GCP)」と、「サイバートラスト デバイス ID」を組み合わせることで、以下のメリットを享受できます。

  • 強固なクライアント認証
    ID・パスワードによる認証に加えて、電子証明書によるクライアント認証を追加し、厳格な端末認証によって管理者が許可した端末にのみアクセス可能にできます。
  • 多層防御による不正アクセス防止
    ロードバランサーでの証明書確認に加え、WAF(Cloud Armor)での属性フィルタリング、バックエンドでの失効確認を組み合わせることで、多段的なセキュリティを構築できます。
  • 社内リソースの保護
    仮想マシン(VM)作成・実行サービスである「Compute Engine」上のアプリケーションなど、重要なデータへの入り口を物理的な電子証明書を持つ端末のみに絞り込むことが可能です。

今回は、設定を行ったシステム構成や処理のフロー、設定イメージをご紹介します。

システム構成と処理のフロー

今回の設定では、以下の 3 段階で強固なアクセス制御を実現する構成としています。

  1. mTLS認証(ロードバランサー
    サイバートラスト デバイス ID ルート認証局から発行された証明書を保持しているかを確認します。
  2. 属性フィルタリング(Cloud Armor)
    証明書の DN 情報から特定の値を識別し、許可された組織の端末のみを通します。
  3. 失効確認(Compute Engine / nginx)
    万が一の紛失時なども安心なよう、CRL(証明書失効リスト)を用いて失効(無効化)された証明書をバックエンドで弾きます。

構成と処理のイメージ

事前準備

設定にあたり、以下の環境およびリソースを用意しました。

  • Compute Engine(VM インスタンス /nginx 構築済み)
  • Google Cloud Armor の基本設定
  • ロードバランサー(LB)の設定およびサーバー証明書および秘密鍵
  • サイバートラスト デバイス ID ルート認証局証明書

設定のポイント:主要な 4 ステップ

① Certificate Manager での「信頼構成」作成

「Certificate Manager」を利用して、サイバートラスト デバイス ID を信頼できる認証基盤として GCP に登録します。

  • 「信頼構成」メニューから、ルート認証局証明書の文字列を貼り付けるかファイルをアップロードして登録します。

② 認証構成と mTLS の有効化

作成した信頼構成をロードバランサー(LB)に紐付け、クライアント認証(mTLS)を有効化(認証構成)します。

③ nginx による失効確認(CRL 連携)

バックエンドの nginx で CRL を参照させることで、失効した証明書を確実に拒否する仕組みを構築します。

  • バックエンド(nginx)にシリアル番号の情報を引き渡す設定を行います。

④ Cloud Armor によるフィルタリング

証明書の保持に加え、証明書の DN 情報を利用してさらに厳密な制御を行います。

  • Cloud Armor のカスタムルールを使用し、証明書内の O(Organization Name)などの値でフィルタリングをする設定を行います。

設定のおおまかなステップは以上です。

動作検証の結果

上記の設定をすべて完了した後、実際の挙動を確認しました。

  • 許可している端末
    サイバートラスト デバイス ID をインストールした端末からは、正常にアクセス可能であることを確認しました。
  • 未許可の端末
    証明書を持たない端末や、あえて失効させた証明書を用いたアクセスは、期待通り即座に拒否(403 Forbidden 等)されることを確認できました。

以上の設定により、3 段階で強固なアクセス制御を実現し、条件を満たしたデバイス ID 証明書だけが接続可能となります。

最後に

GCP と「サイバートラスト デバイス ID」を組み合わせることで、特殊な認証ゲートウェイを立てることなく、クラウド上のリソースへ「会社が許可したデバイスのみ」をアクセスさせることが可能なため、手軽に厳格な「クライアント認証」や「端末認証(デバイス認証)」を実現することができます。
そして、今回ご紹介した設定手順の詳細は、「サイバートラスト デバイス ID」のご契約者様専用の WEB サイト「サイバートラスト デバイス ID 運用ポータル」にて公開しており、無償で 1 ヶ月間、10 台までの機器で評価いただけるトライアルキットのお申し込み完了時点から本ポータルをご覧いただけますので、ご興味がありましたら、是非ともお申し込みください。

本記事に関連するリンク
< 前の記事へ
次世代校務 DX 環境の最適解:Chromebook を活用した校務用/学習用端末の統合
最新 BLOG 記事
【Google Cloud Platform(GCP) × デバイス ID】デバイス ID 証明書でクライアント認証してみた
【Google Cloud Platform(GCP) × デバイス ID】デバイス ID 証明書でクライアント認証してみた
2026 年 06 月 11 日
次世代校務 DX 環境の最適解:Chromebook を活用した校務用/学習用端末の統合
次世代校務 DX 環境の最適解:Chromebook を活用した校務用/学習用端末の統合
2026 年 05 月 14 日
【CloudGate UNO × デバイス ID】デバイス ID 証明書をクライアント端末に配付して、証明書認証をしてみた
【CloudGate UNO × デバイス ID】デバイス ID 証明書をクライアント端末に配付して、証明書認証をしてみた
2026 年 05 月 08 日
【Cato Cloud × デバイス ID】デバイス ID 証明書を保持したクライアント端末で証明書認証をしてみた
【Cato Cloud × デバイス ID】デバイス ID 証明書を保持したクライアント端末で証明書認証をしてみた
2026 年 03 月 16 日
ユーザー操作なしで Windows と macOS 端末にデバイス ID 証明書をインストールしてみた
ユーザー操作なしで Windows と macOS 端末にデバイス ID 証明書をインストールしてみた
2026 年 03 月 11 日
継続的顧客管理の負担をどう減らす? マイナンバーカードで実現する「現況確認」と「最新の基本4情報取得」について
継続的顧客管理の負担をどう減らす? マイナンバーカードで実現する「現況確認」と「最新の基本4情報取得」について
2026 年 03 月 06 日
カテゴリ