VMware AirWatch は、来年 2018 年の早い段階で AirWatch アプリへの SSL ピン留めの適用を開始します。オンプレミス環境および専用 SaaS 環境の場合、お客様の判断でデバイス サービスの SSL ピン留めを無効にすることが可能です。しかし、VMware AirWatch モバイル アプリと VMware AirWatch クラウド サービスとの通信にはセキュリティ確保のため必ず SSL ピン留めが使用されます。
AirWatch SaaS 上のグローバル自動検出 (AutoDiscovery) エンドポイントとの接続、および閉域ネットワーク内のオンプレミス展開の信頼サービスとの接続には常にピン留めが使用されます。このピン留めのための情報はモバイル アプリにハードコードされており、無効にすることはできません。このピン留めの目的は、中間者攻撃 (MITM 攻撃) により VMware AirWatch モバイル アプリの通信を改ざんしようとする攻撃者の脅威に対抗するために、「信頼の起点」を確立することです。ピン留め処理のこの段階で改ざんが発生すると、その後の通信すべてにおいてセキュリティが棄損されます。
これはつまり、SSL/TLS ネットワーク トラフィックのインスペクションのために何らかのネットワーク アプライアンスを導入している場合でも、モバイル デバイスとこれらのサービスとの間の通信に対してはインスペクション実施できないことを意味します。最初の接続は加入時に発生しますが、その後もデバイスがデバイス サービス エンドポイントと信頼された接続を確立できない場合には、同様の接続手順が実行されます。
重要:お客様へのお願い
送信トラフィックに対して SSL/TLS インスペクションを行うネットワーク アプライアンスを導入している場合、または閉域ネットワーク環境で AirWatch を展開している場合でも、AirWatch サービスに対してピン留めを使用したセキュアな接続が可能になっている必要があります。このためには、貴社展開環境が次の追加要件を満たすようにしてください。この要件を満たさない場合、接続は失敗します。
- 加入中および加入済みのすべてのデバイスから https://discovery.awmdm.com エンドポイントへのネットワーク アクセスを許可する (または、信頼サービスをインストールし、すべてのデバイスから信頼サービスへのアクセスを許可する)
- SSL/TLS インスペクション アプライアンスに、すべてのデバイスから https://discovery.awmdm.com または信頼サービス (展開タイプによる) へのトラフィックをバイパスする例外を追加する
さらに、SaaS 環境をご利用の場合は、次の要件を満たす必要があります (注:セキュリティ リスクを理解したうえでデバイス サービス サーバのピン留め設定を無効にしている専用 SaaS 環境およびオンプレミス環境のお客様には当てはまりません)。
- 加入中および加入済みのすべてのデバイスから貴社環境のデバイス サービス エンドポイントへのネットワーク アクセスを許可する
- SSL/TLS インスペクション アプライアンスに、すべてのデバイスからデバイス サービス エンドポイントへのトラフィックをバイパスする例外を追加する
AirWatch での SSL ピン留めの詳細は、こちらの KB 記事を参照してください。
お問い合わせ
上記要件に関するご質問は、AirWatch サポートまでお問い合わせください。サポート リクエストを発行するには、貴社の AirWatch サポート ラインに連絡するか、myAirWatch からサポート リクエストを提出してください。
敬具
AirWatch チーム
Other Languages: English
免責事項:これは英文の記事「SSL Pinning and Outbound SSL Interception Proxies」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。
2 Comments