はじめに
Microsoftが進めるSMB over QUICのセキュリティ強化策の一環として、クライアントアクセスコントロールが新たに導入されました。
これにより、SMB over QUICサーバーへの接続を許可するクライアントを制限できるようになり、VPNのいらない、暗号化されたファイル共有の利便性を保ちながら、不正アクセスを防止できます。
標準では、サーバーの証明書を信頼するすべてのクライアントが接続可能ですが、クライアントアクセスコントロールを有効にすることで、IT管理者はクライアント証明書に基づいた許可リスト・ブロックリストを設定でき、既存の認証モデルを変更することなく、より厳格なアクセス管理が可能になります。
このチュートリアルでは、PowerShellコマンドを使ったSMB over QUICのクライアントアクセスコントロール設定手順について詳しく解説します。
また、コンセプトから設定完了までの流れを紹介する以下の動画も、あわせてご覧ください。
SMB over QUICクライアント:変更前
これまでは、サーバー証明書を信頼しているクライアントであれば、誰でもSMB over QUICサーバーに接続できる仕様となっていました。
この仕様より、通信自体は安全に暗号化されていましたが、特定のデバイス単位で細かくアクセス制御を行うことはできませんでした。
SMB over QUICクライアント:変更後
SMB over QUICのクライアントアクセスコントロール機能が導入されたことで、管理者は次のような管理が可能になりました:
✅ 証明書ベースの認証を使って、特定のデバイスのみ接続を許可
✅ クライアント接続に対して、許可リスト・ブロックリストを定義
✅ SMBの認証プロセスには影響を与えず、サーバー単位でアクセスコントロールポリシーを適用
SMB over QUIC クライアントアクセスコントロールの設定手順
クライアントアクセスコントロールを適用するには、以下の手順をPowerShellで実行します。
1. クライアント証明書の特定
まず、クライアントデバイスに登録されている証明書を一覧表示します:
\> Get-ChildItem -Path Cert:\LocalMachine\My
これにより、サムプリント(Thumbprint)やサブジェクト名(Subject Name)などを含む証明書リストが表示されます。
次に、SMB over QUIC接続に使用する特定のクライアント証明書を取得します:
\> $clientCert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -Match “<subject name>”}
正しい証明書が選択されているか、出力内容を確認してください。
2. 証明書ハッシュの生成と登録
取得したクライアント証明書からSHA-256ハッシュを抽出します:
\> $clientCert.GetCertHashString(“SHA256”)
次に、SMBサーバーに証明書を登録します:
\> New-SmbClientCertificateMapping -Namespace <namespace> -Thumbprint $clientCert.Thumbprint -StoreName My
3. クライアントへのアクセス許可
証明書のマッピングが完了したら、証明書ハッシュまたは発行者名を指定して、クライアントにアクセス許可を付与します。
ハッシュを指定する場合:
\> Grant-SmbClientAccessToServer -Name <server_name> -IdentifierType SHA256 -Identifier <hash>
発行者名を指定する場合:
\> Grant-SmbClientAccessToServer -Name <server_name> -IdentifierType ISSUER -Identifier “<subject name>”
これにより、許可された証明書を持つクライアントのみが接続できるようになります。
4. 接続テスト
クライアントデバイスから、以下のコマンドを使用して接続テストを行います:
\> New-SmbMapping -RemotePath \\<server DNS name>\<share name> -TransportType QUIC
必要に応じて、一時的にSMB over QUICを無効化し、ポリシーが適用されているか確認することもできます:
\> Set-SmbClientConfiguration -EnableSMBQUIC $false
確認メッセージが表示されたら、「Y」を入力して実行を確定します。
ベストプラクティスと注意点
✅ 推奨事項(Do)
- 証明書ベースの認証を使って、厳格なクライアントアクセスコントロールを実施すること(これにより、認可されたデバイスだけがSMB over QUICにアクセスできるようになる)
- 設定を本番環境に適用する前に、必ずテスト環境で十分に動作確認を行うこと
❌ 避けるべきこと(Don’t)
- ファイアウォールルールだけに依存すること(証明書ベースのクライアントコントロールを組み合わせることで、エンドツーエンドの保護を実現できる)
- 証明書の更新を怠らないこと(証明書が期限切れになると、アクセス障害やセキュリティリスクの原因となる恐れがある)
まとめ
SMB over QUICのクライアントアクセスコントロールを活用することで、IT管理者はリモートファイルアクセスの利便性を損なうことなく、より厳格なセキュリティポリシーを適用できるようになりました。
証明書ベースの認証を採用することで、既存の認証方式を変更することなく、接続を許可するデバイスをきめ細かく制御できるようになります。
詳しくはこちら:
Visuality SystemsのQUICアドオン- YNQおよびjNQ向けにSMB over QUICを実現
SMBに関するご相談はお気軽にお問い合わせください。
Visuality Systems ― SMBプロトコルのエキスパート
Raphael Barki, Head of Marketing, Visuality Systems
