インタビュー
2004/02/13 11:56:00 更新
Interview:自由なアクセスとIT部門によるコントロールの両立を図るノキアのSSL-VPN
ノキアでSSL-VPN製品を担当するスティーブ・ショール氏によると、同社製品の特徴は、クライアント環境を精査し、それに基づいてダイナミックにアクセス制御を行える点にあるという。
需要の高まるセキュリティ市場の中でも、最も急速に成長している分野の1つがSSL-VPNだと言われる。
IPSecを用いたVPNは、拠点間接続には適しているものの、クライアントPCからのリモート接続となると運用の手間やコストがネックとされてきた。専用ソフトウェアのインストールや設定、メンテナンスなどが必要となるからだ。これに対しSSL-VPNは、SSLに対応したWebブラウザさえあれば利用できる。この点に目を付けて、この1年あまりのうちに主だったセキュリティベンダーはもちろん、シスコシステムズをはじめとするネットワーク機器ベンダーまでもがSSL-VPN機能のサポートに動いてきた。
ノキアもその1社だ。同社は2003年7月にアプライアンス製品「Secure Access System」を発表してSSL-VPN市場に参入した。ノキアでエンタープライズ・ソリューションズ プロダクトマネージメント担当ディレクターを務めるスティーブ・ショール氏によると、「徹底してセキュリティを検討したデザインになっている」点が特徴の1つだという。その同氏に、SSL-VPNの特徴や今後の製品計画について聞いた。
ITmedia SSL-VPNのメリットは何でしょうか? なぜ企業に受け入れられているのでしょう?
ショール 主に3つの理由が挙げられるでしょう。1つは、導入やメンテナンスに要するコストが少ないことです。IPSecは、NATなどが存在している環境では導入が困難ですが、SSL-VPNではクライアントのメンテナンスが不要ですから。2つめの理由として、企業イントラネットの成熟が挙げられます。SSL-VPNは1990年代半ばに登場した技術ですが、その当時は、これを活用できるほどイントラネットが進化していませんでした。3つめは、SSL対応のブラウザが当たり前になり、ブロードバンドによる高速接続が普及してきたことです。この結果、自宅のPCからインターネット経由でイントラネットにアクセスするというやり方が現実味を帯びてきています。
ITmedia アクセス制御が可能なこともSSL-VPNの魅力では?
ショール IPSecでもアクセス制御は可能です。ただこの場合、実装がやや困難になります。SSL-VPNはこれをプロキシベースで実現するため、より容易にアクセス制御を行えます。アクセス制御はSecure Access Systemの重要な基盤の1つであり、他にはない革新的なコントロールを実現しています。ユーザーが利用しているデバイスや設定に応じて、ダイナミックにアクセス権限を変更できるのです。
この背景には、ユーザーがどこにいようと、どんなデバイスを利用していようと、企業システムへの自由なアクセスを実現させたい、というノキアのビジョンがあります。しかもこれは、IT部門によるポリシーの適用とコントロールの維持を考慮した形で実現されなくてはなりません。単なるリモートアクセスに終わらないこのコンセプトを、われわれは「モビリティ」と表現しています。さまざまなデバイスからのアクセスを可能にしつつ、しかもその種類に応じてアクセス権限を調整しなければなりません。それにより、従来型のセキュリティのようにアプリケーションを「妨げる」のではなく、「可能にする」ことができます。
ITmedia Secure Access Systemと他社のSSL-VPN製品との違いは何でしょう?
ショール 幾つかありますが、まずは「Nokia IPシリーズ」と専用OSの「IPSO」という実績のあるプラットフォームをベースに構築されていることが挙げられるでしょう。2つめは、単なる接続のための製品に終わるのではなく、初めからセキュリティ機器として設計されていることです。そのことを示す機能が「Client Integlity Scanning(CIS)」技術で、ユーザーの利用しているデバイス上のソフトウェア構成や脆弱性をチェックし、ダイナミックにアクセス権限を設定できます。
また、攻撃者に悪用される可能性をアーキテクチャ的に回避しています。具体的には、CGIスクリプトは利用せず、クロスサイトスクリプティングやFlood攻撃への防御機能も組み込んでいます。もう1つは先ほども挙げたアクセス制御で、非常にきめ細かいコントロールが可能です。ユーザーの認証方法やCISで得た情報を基に、同一のユーザーであっても、あるときはオフィスとまったく同じ環境を提供することも、また状況によっては権限を縮小することもできます。
ITmedia Webアプリケーション以外に、クライアント/サーバ型のアプリケーションや独自開発のシステムも利用できるのでしょうか?
ショール もちろん、SSL-VPNにはクライアント/サーバ型アプリケーションのサポートが求められていますし、われわれも対応しています。ですが、単にポートフォワーディングを通じてどこからでもクライアント/サーバ型アプリケーションを利用できるようにするよりも、企業のコントロール下にあるデバイスでにのみ利用を許可するほうが、ソリューションとして優れているでしょう。
つまり、不特定多数の人が利用するキオスクやインターネットカフェなどの環境は、企業の管理の外にあります。こういった環境であらゆるアプリケーションへのアクセスを許すと、ローカルハードディスク内に重要なデータがキャッシュとして残るかもしれませんし、ユーザーの設定情報がそのままになるかもしれません。私だったら、そんな使い方は許可させませんね。Secure Access SystemのCIAは、IT部門が管理できないデバイスからのアクセスをも想定して設計されています。そのPC上で動作しているタスクやレジストリ、ファイルや導入ソフトといった環境をチェックし、アクセス権限を自動的に設定できます。利用形態に応じて、その企業のIT部門がコントロールを行えるのです。
ITmedia 今後の製品計画は?
ショール 4月上旬にSecure Access Systemのバージョン1.2をリリースします。標準外のさまざまなアプリケーションをサポートするほか、認証/アクセス制御システムを強化します。具体的には、Cookieの扱いをより安全なものにする予定です。もしセッションの最中にPCがクラッシュしたとしても、端末にその情報を残さないようにするSecure Cookieをサポートします。クライアント側には普通のCookieに見せかけながら、実体はゲートウェイ側にある、いうものです。
さらに6月には、バーチャル・デスクトップ機能をサポートした2.0を発表します。データを暗号化し、デバイス上で動作している他のセッションからはアクセスできないような仕組みです。インターネットカフェや自宅からでも、単なるキャッシュの消去だけでは実現できない完全に安全なセッションを実現します。
関連記事
SSL-VPNは従業員の8割の生産性向上を支援する――ノキアが新製品を投入関連リンク
ノキア・ジャパン[聞き手:高橋睦美,ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
