採用情報

お問い合わせ

BLOG

  1. HOME
  2. BLOG
  3. 電子認証局サービス BLOG
  4. クライアント認証ソリューション
  5. Jamf Pro の SCEP 機能を利用し「デバイスID証明書」を配付してみた ~ Apple 製デバイスのセキュリティ強化を効率化 ~

電子認証局サービス BLOG

クライアント認証ソリューション

2025 年 05 月 21 日

Jamf Pro の SCEP 機能を利用し「デバイスID証明書」を配付してみた ~ Apple 製デバイスのセキュリティ強化を効率化 ~

スマートフォンやノートパソコンなど、デバイスの業務利用が拡大する中、サイバー攻撃や内部不正などに備えたセキュリティ対策を講じる必要性が高まっています。MDM(モバイルデバイス管理/Mobile Device Management)とは、業務で利用するモバイルデバイスを一元管理し、セキュリティを強化する仕組みです。

Jamf Pro は、Apple 製デバイス専用の MDM として高い親和性と豊富な機能を持ち、ゼロタッチ導入や自動化によって IT 管理者の運用負荷を大幅に軽減します。セキュリティポリシーの適用やリモートロック、アプリ配布などの一元管理ができるため、情報漏洩リスクの低減や業務効率化を目的として、多くの企業・教育機関で採用されています。

今回は、Jamf Pro の SCEP(Simple Certificate Enrollment Protocol)機能 を利用して 「サイバートラスト デバイスID」から発行する証明書(以下、デバイスID 証明書)を配付し、配付後のデバイスID 証明書を利用した クライアント認証 を行いました。

モバイルデバイスが自動的に認証局(CA)から電子証明書を取得・更新するための標準プロトコルです。

本記事は、事業でモバイルデバイスを利用しているものの、サイバー攻撃などのリスクに不安がある IT 管理者をはじめ、

  • Apple 製デバイス向けに MDM サービス導入を検討中の方
  • Jamf Pro を導入中の方
  • セキュリティ対策として、「多要素認証(MFA)」および「クライアント認証」や「端末認証(デバイス認証)」を検討されている方
  • 文部科学省が公開している「教育情報セキュリティポリシーに関するガイドライン」に則した " 強固なアクセス制御 " 導入を検討中の方

におすすめです。今後の対応検討や、情報収集の一助にしていただければ幸いです。

Jamf Pro × デバイスID によりできること

一般的に電子証明書は、多要素認証を回避する攻撃に対抗できる有効な認証手段の一つとして、現在さまざまな業界で採用が拡大しています。一方で、管理者による各端末への電子証明書の配付方法や、利用者による証明書インストール作業が運用上の課題となっています。Jamf Pro の SCEP 機能を利用することにより、管理者は MDM 管理下の端末へ電子証明書を自動で配付でき、利用者は手動でのインストール作業が不要となるため、運用負荷を大幅に軽減しつつ、電子証明書を用いたセキュリティ強化を実現できます。

それでは、実際に動作検証で行った準備や設定について、ご紹介します。

事前準備

Jamf Pro が利用できることが前提で、以下の準備が必要となります。

  • Apple ID の取得(Apple プッシュ証明書取得時に必要)
  • 「サイバートラスト デバイスID」の申込(要 SCEP オプション)
    • SCEP オプション 接続 URL(当社よりご案内)
    • SCEP オプション チャレンジパスワード(当社よりご案内)

Apple プッシュ証明書の取得・登録

Apple 製デバイスの管理 / 制御を行うため、Jamf Pro は Apple 社の APNs(Apple Push Notification service)と通信する必要があり、その際に Apple プッシュ証明書が必要です。

今回は以下の手順で Apple プッシュ証明書の取得・登録を行いました。

  1. Jamf Pro の管理コンソール内におけるグローバル設定より、Apple プッシュ証明書を発行するための CSR(Certificate Signing Request)を取得
  2. Apple Push Certificates Portal にて、取得した CSR をアップロードの上、Apple プッシュ証明書を取得
  3. 取得した Apple プッシュ証明書を Jamf Pro の管理コンソールにて登録

構成プロファイルにて SCEP の設定

Apple 製デバイスへ適用する構成プロファイル内で、SCEP サーバから証明書を取得する設定を行います。

URL: 当社よりご案内する「SCEP オプション接続先 URL」の値を入力します。
件名:「X.500 の名称の表示」を指定します。固定値ではなく、「ペイロード変数」という MDM の端末ごとに変数を指定します。構成プロファイルのペイロード変数については Jamf Pro ドキュメントの「 モバイルデバイス構成プロファイル 」にて説明されています。

チャレンジ / チャレンジの検証: 当社からご案内する「SCEP オプションチャレンジパスワード」の値を入力します。

以上が、SCEP 機能を用いたデバイスID 証明書を配付する際の設定概要です。

デバイスID 証明書によるクライアント認証

Jamf Pro の管理コンソールよりプロファイルを適用すると、対象の Apple 製デバイスでは、作成した構成プロファイルならびデバイスID 証明書が自動でインストールされます。
インストールしたデバイスID 証明書は、Web サーバや、VPN 機器などのネットワーク機器へのアクセス時における認証に利用することができます。
デバイスID 証明書をインストールしている端末からのアクセスのみを許可( 端末認証 )するといったことが可能となるため、第三者の端末や組織が管理していない端末からのアクセスを防ぐことができます。

最後に

Jamf Pro の SCEP 機能を用いたデバイスID 証明書配付の設定手順詳細は、「サイバートラスト デバイスID」のご契約者様専用の WEB サイト「サイバートラスト デバイスID 運用ポータル」で公開しています。
「サイバートラスト デバイスID」は、 無償で 1 ヶ月間、10 台までの機器で評価いただけるトライアルキット を提供しております。従来の ID・パスワードを用いた認証にデバイスID 証明書を用いた認証を追加することで、 多要素認証 としてご利用いただくこともできますので、認証やセキュリティに関する課題をお持ちのお客様がいらっしゃいましたら、お気軽に当社までご相談ください。

本記事に関連するリンク
< 前の記事へ
【StartIn × デバイス ID】デバイス ID 証明書をクライアント端末に配付して、証明書認証をしてみた
次の記事へ >
ゼロトラストアーキテクチャの実現に求められるデバイス管理事例 【ビジネス・コンシェル デバイスマネジメント編】
最新 BLOG 記事
PMDAの申請電子データシステムで利用可能な個人証明書とは?~承認申請時の負担を軽減~
PMDAの申請電子データシステムで利用可能な個人証明書とは?~承認申請時の負担を軽減~
2025 年 06 月 05 日
2025 年運用開始、組織印の電子版「eシール」とは?~電子書類の真正性を担保し、企業の信頼性向上にも貢献~
2025 年運用開始、組織印の電子版「eシール」とは?~電子書類の真正性を担保し、企業の信頼性向上にも貢献~
2025 年 05 月 30 日
ゼロトラストアーキテクチャの実現に求められるデバイス管理事例 【ビジネス・コンシェル デバイスマネジメント編】
ゼロトラストアーキテクチャの実現に求められるデバイス管理事例 【ビジネス・コンシェル デバイスマネジメント編】
2025 年 05 月 29 日
iPhone「AppleWallet」が法律上の本人確認方法として利用可能に~マイナンバーカード機能搭載で何が変わる?~
iPhone「AppleWallet」が法律上の本人確認方法として利用可能に~マイナンバーカード機能搭載で何が変わる?~
2025 年 05 月 28 日
Jamf Pro の SCEP 機能を利用し「デバイスID証明書」を配付してみた ~ Apple 製デバイスのセキュリティ強化を効率化 ~
Jamf Pro の SCEP 機能を利用し「デバイスID証明書」を配付してみた ~ Apple 製デバイスのセキュリティ強化を効率化 ~
2025 年 05 月 21 日
【StartIn × デバイス ID】デバイス ID 証明書をクライアント端末に配付して、証明書認証をしてみた
【StartIn × デバイス ID】デバイス ID 証明書をクライアント端末に配付して、証明書認証をしてみた
2025 年 04 月 10 日
カテゴリ
CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
iTrust SSL/TLS サーバー証明書