UniFiControllerとセキュリティの関係
概要 MKControllerは、3つの層を通じてUniFi Controllerアクセスにエンタープライズグレードのセキュリティを提供します:MFAと動的IPホワイトリストによるVPNトンネル経由の暗号化リモートアクセス、UniFi APIを通じた範囲制限付き権限による自動化されたユーザー認証情報プロビジョニング、および自動証明書更新によるエンドツーエンドSSL暗号化。MKControllerでのユーザー非活性化により、UniFi環境での認証情報の即時かつ完全な取り消しが起動されます — これはUbiquiti自身のUniFi Cloud Controllerでネイティブには利用できない機能です。
UniFiにとってMKControllerセキュリティとは何を意味するか?
UniFiのMKControllerセキュリティは、ユーザーがMKControllerクラウドプラットフォームを通じてUniFi Controllerに認証、接続、操作する方法を制御するアクセスガバナンス層です。認証(VPN + MFA)、認可(範囲制限付きユーザープロビジョニング)、データ保護(エンドツーエンドSSL)をカバーし、証明書、ファイアウォールルール、またはユーザーデータベースを手動で管理する必要はありません。
リモートアクセスセキュリティはどのように機能するか?
MKControllerは、高度なVPNトンネルを通じてUniFi Controllerへのすべてのリモートアクセスをルーティングします。アクセスには有効なMKControllerアカウントとMFA検証の両方が必要で、セッションレベルで動的IPホワイトリストが適用されます。未検証のセッションはUniFiバックエンドに到達できません。
このモデルは、UniFi展開における最も一般的な攻撃面を排除します:UniFiウェブインターフェースの直接インターネット露出。コントローラーはMKControllerの暗号化インフラストラクチャを通じてのみアクセス可能です。
ユーザー認証情報プロビジョニングはどのように機能するか?
MKControllerにユーザーを追加すると、認証情報はAPI経由でUniFi Controllerに直接プロビジョニングされます — 特定のサイト、APグループ、または運用ロールに紐付けられた事前定義済みの範囲制限付き権限を持ちます。このプロセスは完全に自動化されており、手動入力、認証情報スプレッドシート、またはSSHコマンドは不要です。
プロビジョニングワークフローは、マルチサイト展開にわたって繰り返し可能でスケーラブルです。このレベルのAPI駆動の認証情報自動化は、コントローラーごとに手動のユーザー管理を必要とするUbiquiti自身のUniFi Cloud Controllerではネイティブには利用できません。
ユーザーが非活性化された場合に何が起こるか?
ユーザーがMKControllerで非活性化または削除された場合 — 役割変更、契約終了、またはセキュリティインシデントにより — その認証情報はUniFi環境から即時かつ完全に取り消されます。残存権限、ゴーストセッション、宙ぶらりんのアクセストークンはありません。取り消しはリアルタイムで、外科的に精密で、完全にログに記録されます。
セキュリティについてMKControllerはUniFi Cloudとどう比較されるか?
| 機能 | UniFi Cloud(ネイティブ) | MKController |
|---|---|---|
| リモートアクセス認証 | ユーザー名/パスワード | VPNトンネル + MFA + 動的IPホワイトリスト |
| ユーザー認証情報プロビジョニング | コントローラーごとに手動 | 範囲制限付き権限でAPI経由自動化 |
| 認証情報取り消し | 手動 | ユーザー非活性化時に即時かつ完全 |
| マルチサイトユーザースコープ | 限定的 | サイト、APグループ、またはロールにスコープ設定 |
| SSL証明書管理 | 手動または自己署名 | 自動更新、HTTPS全体に強制 |
データはどのように暗号化されるか?
MKController環境のすべてのセッションとデータストリームは、自動更新による業界標準のSSL証明書で保護されています。HTTPSはすべてのインターフェースに適用され、ブラウザからUniFiバックエンドまでの暗号化された管理トラフィックを確保します。自己署名証明書は使用されません — すべての接続は有効な自動更新証明書で認証されます。
自動認証情報取り消しが重要な理由
従来のUniFiセットアップでは、技術者がチームを離れたり契約が終了したりした場合、管理者は各UniFi Controllerに手動でログインしてそのユーザーのアカウントを削除する必要があります。数十のコントローラーを持つマルチサイト展開では、これはエラーが発生しやすく、しばしば見落とされ — 元従業員や元パートナーが無期限にアクティブな認証情報を持つ状態になります。
MKControllerの即時取り消しはこれをインフラストラクチャレベルで解決します:1か所でユーザーを非活性化すると、関連するすべてのUniFi Controllerから同時にアクセスが削除され、取り消しイベントの完全な監査ログが残ります。
よくある質問
MKControllerはSSL証明書を手動で管理する必要がありますか? いいえ。MKControllerのUniFi Controllerで使用されるすべてのSSL証明書は自動的にプロビジョニングおよび更新されます。HTTPSはすべての接続に適用されます — 手動更新ステップなし、有効期限警告なし、暗号化されていないHTTPにフォールバックするリスクなし。
UniFiアクセスにはMFA(多要素認証)は必須ですか? MFAはMKControllerアカウントレベルで強制されます。すべてのUniFi Controllerアクセスは認証済みMKController VPNトンネルを経由してルーティングされるため、MFAはすべてのUniFi管理セッションに適用されます — UniFi Controller自体にMFAが設定されているかどうかに関係なく。
MKControllerへのアクセスを失った場合、UniFiデバイス設定はどうなりますか? 採用されたUniFiデバイスは既存の設定を保持し、通常通り動作し続けます。コントローラーによって管理され続けますが、MKController固有のガバナンス機能(アラート、監査ログ、一元化されたユーザー管理)はアクセスが復元されるまで利用できなくなります。
特定のUniFiデバイスに誰がいつアクセスしたかを監査できますか? はい。MKControllerはユーザー帰属とタイムスタンプとともにすべてのアクセスイベントをログに記録します。プラットフォーム全体での監査ログの仕組みについてはアクション履歴を参照してください。
UniFiセキュリティ設定やユーザープロビジョニングについての質問は?WhatsAppでMKControllerサポートに問い合わせ。