AEG（Auto Enrollment Gateway）サービス｜GMOグローバルサイン【公式】

グローバルサインのAEGについて

グローバルサインのAEG(Auto Enrollment Gateway) は、クライアント環境に電子証明書の自動インストールを可能にするサービスで、多様化した組織内のシステム環境において、運用コストを下げることができるソリューションです。
グローバルサインのSaaS型認証局(電子証明書の発行機関)とActive Directoryの連携を行えるため、Windows環境を導入している企業であれば、電子証明書のプロビジョニング^※と管理を自動化することができます。

※プロビジョニングとは、支給や供給などを意味するProvisionが元となってできた造語で、ユーザから要求があった場合などに備えてネットワークやコンピュータなどのリソースを確保、準備しておくことを意味します。

多様化したエンドポイント環境のための
総合的なクライアント証明書管理サービス

AEGは、Windows Server 2008 R2・2012 R2および2016にインストールすることができ、Active Directory以外にもSCEPおよびACMEプロトコル、Mac OS Xへの登録機能のオプションなど、独自の機能を備えております。

直感的に操作できるユーザーインターフェースと、ドメイン追加されていないデバイスへの証明書発行機能により、組織内の証明書関連業務の一元管理と自動化およびコントロールが容易に行えます。

Active Directory連携による電子証明書の自動化と管理のメリット

・Microsoft Certificate Servicesと同等の証明書とプロファイルを用いたプライベートCAの構築
・Active Directoryを用いた証明書の管理機能
・証明書や認証局を運用している管理者の負担削減
・認証局として20年以上の実積があるグローバルサインによる、セキュリティ・高い可用性、SLAおよびコンプライアンス監査へ準拠した認証局運用を外部委託

ドメイン管理下でないエンドポイントへの展開　パブリックルートを追加

・SCEPサーバ機能がモバイル機器やネットワーク機器に証明書を発行し、MDMと統合
・ACMEプロトコルに対応、Linuxサーバへの証明書自動発行が可能
・SSLマネージドサービスやマネージドPKI Liteと連携して、電子署名や暗号化されたセキュアな電子メールおよび外部公開ウェブサーバに利用

電子証明書のサイレントインストール

ユーザのクライアント環境へ証明書のインストールを自動で行い、システム管理者の人的リソース削減、証明書の有効期限切れ、それに伴うトラブルのリスクを軽減します。

SaaS型認証局

認証局の運用をグローバルサインのパブリック認証局に外部委託することで、自社運営でプライベート認証局を運営するのと比較して担当者の負担を軽減し、他の作業へリソースを割くことができます。

複雑化したエンドポイント環境に対応

WindowsおよびMac OS X環境のエンドポイント、Linuxサーバ、モバイル機器、ネットワーク機器における証明書の発行・管理に対応しています。

さまざまな利用用途

事前に用意された各種の証明書テンプレートは、メールへのS/MIME電子署名、スマートカードログオン、Microsoft Office文書向けのデジタル署名、SSL通信、暗号化ファイルシステム(EFS)、ユーザ認証、機器認証に対応しています。

ACME/SCEP

Linuxサーバ、モバイル機器、ネットワーク機器へのプロビジョニングを自動化します。また、他社のモバイルデバイス管理(MDM)との連携も可能です。

ルート証明書の選択が可能

利用用途やお客様のご希望に応じて、グローバルサインのパブリックルート、またはグローバルサインからお客様に提供するホスト型の専用プライベートルートが選択可能です。

稼働イメージ

Active Directoryとの統合やSCEPプロトコル・ACMEプロトコルへの対応により、コントロール性能を保持したまま、スピーディかつシームレスに証明書の登録やプロビジョニングが行えます。証明書を発行する元となる認証局は、パブリックな信頼性が必要となるセキュリティアプリケーションの場合はパブリック認証局、パブリックな信頼性を必要としない場合は、グローバルサインがホストする専用のプライベート発行局のどちらか、用途に合わせて選択可能です。
どちらの場合も、グローバルサインによる可用性の高い、世界トップレベルのセキュアなインフラストラクチャに支えられています。

AEGの活用例・利用事例

ミッションクリティカルなトラブルの回避

課題１: 電子証明書の更新忘れ等による管理トラブルを防ぐことで、利用者の業務に支障が出ないようにしたいです。

解決: AEGを利用することで、電子証明書の管理がActiveDirectoryと統合され、証明書の更新忘れや管理ミスなどのリスクを低減できます。

課題２: クライアント証明書を用いて認証の強化を行うにあたり、できるだけ低コストかつユーザへの負担を少なくする形で導入したいです。

解決: 証明書の発行には認証局の構築が必要となりますが、グローバルサインのSaaS型認証局を利用することにより、認証局の様々な負担から開放されます。
ユーザは、電子証明書を利用することで、ワンタイムパスワードのような入力の手間がありません。

課題３: 認証局の構築運営を行うことに、多くの社内ITリソースを割かれています。

解決: グローバルサインでは、20年以上もの間認証局の運営をしております。負担のかかる認証局の運営や管理はグローバルサインに委託し、社内ITチームは他の業務にリソースを集中させることができます。

ITチームの課題と解決方法

課題１: 認証局の可用性を維持することは課題であるが、ITチームはすでに多くの業務を担っており、これ以上の負担は増やせません。

解決: グローバルサインのSaaS型認証局は可用性の高いサービスです。利用することにより、認証局の運営・管理・監視から解放されます。

課題２: SaaS型認証局を、どのようにして既存のActive Directory環境とマイクロソフト証明書サービスへ組み込めばいいのかわかりません。

解決: AEGでは、Active Directoryで管理されているユーザとポリシーはそのまま利用可能です。既存のActive Directoryの情報に沿って、グローバルサインへ電子証明書の発行・更新のリクエストを自動的に行います。

※対応している証明書テンプレートは別途、お問い合わせください。

課題３: プライベート認証局を構築・運営している場合、コストが大きくなり、ユーザへのサポートも課題になります。

解決: AEGでは、グローバルサインで管理するプライベートもしくはパブリックCAと顧客のActive Directoryと連携して、証明書の発行等が行えるようになります。プライベートCAの場合は、プロファイル設定の柔軟性が増し、既存のプロファイルに沿って、認証局を構築することができるので、CAの自社運営コストを下げる事ができます。

管理権限・外出先からのアクセス・安全なメールの送受信

課題１: 重要なサーバを制御する管理者には、認証セキュリティの強化を行った上でアクセス権限を与えるべきです。
さらに、設定ミスによる不正アクセスのリスクを考慮したうえで、強力な相互認証が必要です。

解決

Active Directoryに登録されたユーザ権限に基づき、二要素認証に必要な電子証明書が自動的に配布されます。

例): セキュアレベル中：IDパスワード + 電子証明書; セキュアレベル高(1)：IDパスワード + USBトークン格納の電子証明書; セキュアレベル高(2)：IDパスワード + スマートカード格納の電子証明書

課題２

社員の生産性向上のため、いつでも・どこからでも社内サーバにセキュアにアクセスできる環境が必要です。

例): メールの受信をセキュアに行いたい。; 暗号化メールの送受信を行いたい。; Wi-fiへの接続をセキュアに行いたい。

解決: グローバルサインのSaaS型認証局とAEGは、Active Directoryで管理している複数のドメインおよびフォレストと連携し、ユーザの安全なリモートアクセス環境の構築に必要なクライアント証明書の発行が行えます。
・VPN経由で外部からのログインが可能
・S/MIMEによる暗号化メールの送受信可能
・社内Wi-Fiネットワークに電子証明書を利用した自動認証が可能

課題３: パートナーや顧客と、電子署名されたメールや署名者の身元確認かつ改ざん検知可能なドキュメントの送受信を行う必要があります。

解決: AEGは、グローバルサインのePKIと連携して個人用の電子証明書を発行することができます。
この電子証明書は、一般的なメールクライアントで利用可能であり、Microsoft Officeで利用することも可能です。

関連用語

Active Directory (AD) アクティブディレクトリ

「ディレクトリサービス」というネットワークサービスを、Microsoft Windows 2000 Server以降のバージョンに実装したものです。
Active Directoryはユーザやネットワーク上のリソースとその属性を記憶し、システムリソースの管理を一括化して検索できるシステム上の「電話帳・住所録・案内板」のような機能です。
Active Directoryで管理できるように、管理者は資源情報をActive Directoryデータベースに登録しておく必要があります。
※リソースとは、サーバ・サービス・プリンタなどの利用可能な機器、ネットワークを利用するユーザや組織に関する情報などを指します。

Domain Tree ドメインツリー／Tree ツリー

Active Directoryで複数のドメイン（グループ）を作り、階層構造に連ねた管理単位をドメインツリーといいます。
同じドメインツリーに属するドメインであれば、ドメインが別々であっても、お互いのリソースを共有利用できます。また、同一組織内であっても、別のドメインツリーを構築すれば、階層を分けることができます。

Certificate Authority (CA) 認証局

認証局の役割の1つは電子証明書を発行することです。たとえば、メールの暗号化などに使われるクライアント証明書の発行の場合、登記事項証明書や印鑑登録証明書を用いて申請元の企業が実在しているかを確認したりします。
2つ目の役割は、失効の依頼を受けた電子証明書や秘密鍵の危殆化の可能性のある証明書を失効させることです。

認証局には、パブリック認証局とプライベート認証局という2種類の形があります。
パブリック認証局が発行する電子証明書のルート証明書は、一般的なウェブブラウザやメールソフトにあらかじめ組み込まれており、ルート証明書の配布やインストールが不要なため、取引先など外部とのやり取りに電子証明書を利用す場合に煩雑な設定が必要なく便利です。
プライベート認証局は、事業会社などが独自の運用基準を設けて設立したものです。ルート証明書の配布や設定などに手間が掛かりますが、運用規程を自由に設定できるため、社内だけなど限られたネットワークで電子証明書を利用する場合は、プライベート認証局を設立し電子証明書を発行する方が便利です。

Domain ドメイン

Active Directoryでは、「ドメイン」単位で管理範囲を定義します。
1つのドメインを作成すれば、その組織（グループ）内にあるマシン・グループ・ユーザ・サービスなどを集中管理することができます。
※Active Directoryにおいてのドメインとは、ウェブサイトのドメインとは異なります。

Domain Controller (DC) ドメインコントローラ

Windowsネットワークにおいて、ログオン認証を行うためのアカウントまたはドメイン情報を一括管理するサーバのことです。ドメインコントローラはドメインを制御管理するためのコアシステムで、最も重要な役割は、システムリソースが登録されたデータベースの維持・保持とユーザ認証です。
^※ユーザ認証とは、ユーザがあるサービス（PCやマシンなど）をログオンする際に、そのユーザが登録された本人であるかどうかを認証する処理です。

Forest フォレスト

Active Directory構造におけるグループ化の最も大きな管理単位をフォレストといいます。
ドメインツリー同士が信頼関係を結んだら、分けたドメインツリーを同じ組織として管理できます。このような状態を「フォレスト」といいます。
異なるドメインでリソースを管理していても、同じフォレストにあるドメインツリーは、システムリソースも開放になり、相互アクセスすることができます。これをドメイン間に推移的で双方向な信頼関係が自動的に結ばれるといい、Active Directoryは大規模な組織にも対応できますので、優れた拡張性を持っています。

フォレストにあるドメイン間には、推移信頼関係が結ばれます。推移とはGlobalSign.localとGs.localが信頼関係を結び、Gs.localとJp.Gs.localが信頼関係を結んでいると、自動的にJp.Gs.localとGlobalsign.localも信頼関係が結ばれることです。