情報漏洩事故が増加している昨今、システムへのログインにおけるセキュリティ対策が重要視されている反面、多要素認証のように認証の手間が増えてしまうことで、ユーザーのログイン時の負担が増加してしまうことが懸念されます。
そこで、GMOグループでは業務効率化のため、RPAの利用が推奨されていることから、そのようなツールの使用などの手段で認証の自動化も可能かどうかを検証しました。
今回は、クライアント証明書の認証時に必要となる証明書の選択について、その負担を減らす自動化の方法を紹介します。

Power Automate Desktopでの可否

代表的なRPAツールである Power Automate Desktop で弊社の証明書管理Web画面「GSパネル」の操作(例:マネージドPKI Lite byGMOにおける発行済みクライアント証明書の検索結果のCSVダウンロードなど)ができないかと思っておりましたが、Power Automate Desktop ではクライアント証明書が必要なページに対応できないようで、証明書の提示でRPA処理が止まってしまいます。

rpa_clientcert_240306_図1.png
8のタイミングでクライアント証明書の要求が行われるが、RPAの処理がストップしてしまう
rpa_clientcert_240306_図2.png
8のタイミングのブラウザ画面では、クライアント証明書を選択できず処理が止まってしまう

ブラウザのレジストリへの設定

Power Automate Desktopの他に良い方法がないかと考えた結果、Microsoft Edgeではレジストリに設定を追加することで、クライアント証明書の自動提示ができるようなので試してみました。


レジストリの場所:
HKCU\SOFTWARE\Policies\Microsoft\Edge\AutoSelectCertificateForUrls

ここに以下のようなURLのパターンと、クライアント証明書の選択条件(発行者、サブジェクト)をJSON形式で指定します。


{"pattern":"https://ctl1.system.globalsign.com/cr/cauth/login.do","filter":{"SUBJECT":{"CN":"PAR999999_testadmin"}}}
rpa_clientcert_240306_図3.png

この例では、GSパネルにおいて管理者証明書が必要なサイトに対し、証明書のCNが管理者アカウント名になっている証明書を自動選択するようにしています。これでクライアント証明書管理画面でもRPA操作が可能になり、ユーザーの手間が軽減されます。

なお、同様なことはGoogle Chromeでも可能です。


レジストリの場所:
HKCU\SOFTWARE\Policies\Google\Chrome\AutoSelectCertificateForUrls

まとめ

RPAでの利用以外でも、業務Webアプリなどでクライアント証明書を必要とするサイトにおいて、ブラウザ起動時に毎回証明書提示を求められ手間を感じているユーザーもいらっしゃるかもしれません。そのような場合、指定したサイトへのログインに発行者(ISSUER)を指定した証明書の自動選択を設定することで解決できそうです。

弊社では検証用のクライアント証明書を無料で提供しております。今回紹介した設定の検証や、個人情報を含む機密情報を管理するシステムのセキュリティ強化として、クライアント証明書にご興味がありましたら、お気軽にお問い合わせください。

トピック関連記事

#

2015年05月08日

Windows10で多要素認証を構築するMicrosoft

#

2017年04月14日

多要素認証の有効性 -ID・パスワードだけの認証の限界とより強固な認証方法

#

2015年02月16日

証明書マネージドサービスを利用する3つの理由

この記事を書きました

グローバルサインブログ編集部

グローバルサインカレッジ編集部
所属:GMOグローバルサイン マーケティング部
当サイトの運営・管理を担当。