「SSL-VPNは今まさに認知されつつある」とF5 Networks

F5 Networksが6月にリリースしたFirePassソフトウェアの最新版、Version 5.0には、いくつかユニークな機能が搭載されている。

[ITmedia]

　「SSL-VPNは、従来とはまったく異なるリモートアクセスを提供するソリューションとして、業界に受け入れられようとしている」と語るのは、SSL-VPN機器「FirePass」を提供している米F5 Networksのエンジニアリング担当バイスプレジデント、イーゴリ・プロトニコフ氏だ。

　F5 Networksは今年6月に、FirePassソフトウェアのVersion 5.0を発表した。この新バージョンでは、対応プラットフォームがMacintoshやLinuxにも拡大したほか、いくつかユニークな機能が追加されていると同氏は説明した。

　その1つが、最近話題になっている「検疫」システムだ。FirePass経由でアクセスを試みる際に、クライアントのOSのバージョンやレジストリ情報、ウイルス対策ソフトの定義ファイルなどを確認し、ポリシーを満たさない限りフルアクセスを許可しないという仕組みである。「どのレベルまでアクセスを許可するか、ポリシーにしたがって決定を下すことができる」（プロトニコフ氏）。

　また、同じ回線を用いながらも、FirePass経由で行われる企業ネットワークへのVPNアクセスと一般的なWeb閲覧とを別々のトンネルとして扱い、バックドアによる侵害のリスクを減らす「セーフ・スプリット・トンネリング」という機能が搭載されているという。「これは他のSSL-VPN製品には見られない機能だ」とプロトニコフ氏は語り、企業が従業員に配布するノートパソコンに対して、より厳密にポリシーを適用できるとした。

　FirePass Version 5.0ではさらに、ネットカフェなど不特定多数の人々が利用する環境からのアクセスを考慮し、セッション終了後にキャッシュなどのデータを消去する「プロテクテッド・ワークプレイス」や、JavaScript形式でキーボードを画面上に表示させ、マウスクリックで入力を行わせる「セキュア・バーチャル・キーボード」といった機能が追加されている。特に後者は、端末に仕掛けられたキーロガーによって、重要な情報が盗み取られる事態を防いでくれるという。

　また、SSL-VPN経由で最初にアクセスするポータルそのもののセキュリティを強化するため、ClamAVの統合によりウイルス対策機能を追加した。ICAPインタフェース経由で他のセキュリティ製品と連携することも可能だ。さらに、クロスサイトスクリプティングやSQLインジェクションといった、Webアプリケーションをターゲットとした攻撃をブロックする機能が搭載された。

　ちなみに同社は5月31日付けで、Webアプリケーションファイアウォールを開発しているイスラエルのセキュリティ企業、MagniFire WebSystemsの買収を発表している。同社の「TrafficShield」は、ポジティブポリシー方式に基づいて不正なトラフィックをブロックすることにより、Webアプリケーションに対するさまざまな種類の攻撃だけでなく、いわゆる「0-day」状態での攻撃からもシステムを防御するという。F5 Neworksブランドでの製品は今年夏より提供される予定ということだ。

「FirePass」と、F5 Networks製品群に加わったアプリケーションファイアウォール「TrafficShield」

システム間のコミュニケーションも

　FirePassの新バージョンに関しては、もう1つ、同社独自のAPI「iControl」とSDKの提供により、サードパーティ製のアプリケーションがFirePassを通じてシームレスにかつ自動的にSSL-VPNアクセスを行えるようにしたことも特徴という。このAPIは「ユーザーとシステムの間だけでなく、システムどうしの安全なコミュニケーションを可能にする」（プロトニコフ氏）。

　F5 Networksではさらに機能の強化に努める計画だ。もっとも直近のサービスパックでは、1人のユーザーに複数のグループを割り当てられるようになるほか、VLANサポートの拡張などが予定されているといい、「今後も、もっとも幅広いソリューションを提供していく」（同氏）。

　「SSL-VPNは、今ようやく認識され始めてきたばかりだ。現時点ではただのWebベースのアクセスと思われているかもしれないが、それはほんの限られた見方に過ぎない。SSL-VPNにはもっといろいろな可能性がある」（プロトニコフ氏）。