出先のカフェからセキュアに仕事、を実現する新ガジェット

[IDG Japan]

　ワイヤレス技術とモバイルコンピューティングの普及に伴い、ネットワーク管理者にとって新たな脅威が生まれている。ハッカーやウイルスがセキュリティの甘いノートPCや公共コンピュータ端末につけ込んで、ネットワークに不正侵入する問題が浮上してきているのだ。

　悪意を持ったハッカーやワームは、ホームオフィス内のコンピュータに入り込んだり、無防備なコンピュータからVPNセッションをくぐり抜けたり、あるいはStarbucksなどが一般向けに開放しているホットスポットを利用して、厳重な警戒網を敷いたネットワークの境界を密かに通過することができる。こうした脅威を受けて、Cisco SystemsやMicrosoftなどの大手ITベンダーは、モバイルコンピュータの「エンドポイント」セキュリティと呼ばれる問題に一層の注意を向けるようになっている。

　そして今、この問題の解決策があると2社の企業が名乗りを上げている。両社の掲げる解決策は、機密情報にカギをかけ、無線・有線ネットワークでの通信をセキュアにするプラグイン式のハード機器だ。

　Seclarityは6月21日、「SiNic Wireless NIC（ネットワークインタフェースカード）」を披露する。このカードは、IEEE 802.11標準の無線ネットワークトラフィックの送受信が可能で、デスクトップPC、ノートPC、サーバとの通信を保護するための独自組み込みOS、暗号化ソフト、ファイアウォールを備える。またRedCannon Securityも同日、USBトークンの「Fireball KeyPoint」をリリースする。「安全なモビリティアプライアンス」といううたい文句で、Webブラウザ、メールクライアント、暗号化文書保存機能を備え、従業員は出先から、どんなデスクトップ・ノートPCからでも安全に仕事ができる。

　SeclarityのSiNic Wirelessカードは、米軍から出資を受けて開発された。見た目はほかの無線LANカードと似ているが、実際には本格的なスタンドアロン型のUNIXコンピュータになっている。標準的なPCカードスロットに合うサイズで、32Mバイトのメモリと独自のプロセッサを備える。このプロセッサを使って802.11a/b/gのトラフィックを管理し、内蔵のPKIモジュールによりトラフィックを暗号化・復号する。このカードには強化・カスタマイズされたNetBSDのバージョンと、カスタマイズされたステートフル・プロキシファイアウォールが搭載されている。ユーザーのアクセスポリシーも記録・管理すると、SeclarityのCEO（最高経営責任者）アドリアン・バンジル氏は説明する。

　より複雑で脆弱性の多いノートPCのOSから、重要なセキュリティ機能を分離するというのがこの製品の主眼だ。これによりユーザーやPCで動作中のアプリケーションからセキュリティ機能が見えなくなり、ユーザーが重要なセキュリティ機能をいじったり無効にしたりする恐れが軽減されるという。

　SiNicカードが送受信する無線通信は、発信元から発信先まで認証が行われ、外部の人間が無線トラフィックや無防備なホストシステムから機密情報を「かぎ当てる」ことが不可能になるとバンジル氏。

　「エンドポイントセキュリティが、ユーザーのモバイル性を制限することは多い。ユーザーは（社内）ネットワークを離れたり、Starbucksからログインすることは不可能だと告げられている。当社のソリューションを使えば、ユーザーがStarbucksからログインした場合にハッカーなどがファイルを手に入れようとしても、マシンが有効な電子証明を求めるため、入手は不可能だ」（同氏）

　管理システムはWindows 2000やWindows Server 2003で別に動作し、SiNicカードを使うシステムのPKI証明書のルート認証局として機能する。また、PKIシステム、アクセスポリシー管理、ソフトアップデート、監査におけるデバイス登録も管理する。

　Meta Groupのセキュリティ担当上級副社長、クリス・バーンズ氏は、SiNicカードはデータの発信元から到着先まで「エンドツーエンド」の保護を提供し、悪意あるハッカーなどが機密データを取得するのを非常に困難にすると説明する。プロセッサの負荷が大きい暗号化処理をNICに任せることで、コンピュータはソフトクライアントの暗号化に伴って頻発する処理速度の低下を避けることもできるという。

　とは言え、SiNicカードはあらゆる会社に適しているわけではないとバーンズ氏は指摘する。

　「企業は全通信をセキュアにしたいと考えていなければならない。インターネットを使う場合、明らかに（セキュアな通信が）必要だが、ほとんど、あるいはまったく費用をかけずWebベースのトラフィックをセキュアにする方法が多数存在する――SSLのように」

　Webを介さないネットワークエンドポイント間の通信の保護を望む企業には、IPSec（Internet Protocol Security）やVPNなど、追加ハードを必要としない競合技術がたくさんあるという。

　「こうした技術は、（SiNicよりも）優れていることも劣っていることもない」とバーンズ氏は語り、SiNicのアプローチの方が、企業が大規模導入する上で管理が容易かもしれないと言い添えた。

　この製品は、銀行や政府機関など、業務全般において重大な機密情報を大量に扱う組織にとって、最も魅力的なものになるだろうと同氏。

　米軍はSiNicカードの第一陣のテストに乗り出しており、Seclarityは銀行や医療機関などの規制の厳しい民間産業も狙っている。このカードは即日出荷され、数や種類に応じた価格付けになるとバンジル氏は話している。

　一方RedCannon Securityは、エンドポイントシステムのセキュリティをいかに確保するかではなく、ほぼ確実にセキュアではないエンドポイントシステムを使うモバイルワーカーとの送受信の信頼性をどうやって高めるかが問題だと考えている。

　RedCannonの新しいUSBトークン「Fireball KeyPoint」は、モバイルワーカーに安全な環境を提供する。この環境では、公共の端末、ホテルのビジネスセンター、ホットスポットを使って接続するPCなど、管理されていないコンピュータから、安全にメールの読み出し、文書の管理、Web閲覧ができる。

　キーチェーン型のKeyPointには、独自プロセッサと256Mバイトまたは512Mバイトのストレージ、カスタマイズ版Internet Explorer（IE）、MicrosoftのOutlookをベースにするメールクライアントソフトが含まれる。データ領域には128ビットのAES（Advanced Encryption Standard）ファイル暗号化機能を採用、ユーザーはドラッグ＆ドロップでWindowsデスクトップからこの領域に文書を移動させることで暗号化でき、この領域からデスクトップに文書を移すことで復号できるとRedCannonのジョン・ミュングCEOは説明する。

　USBポート付きWindows 2000/XP搭載コンピュータにKeyPointを差し込むと、RedCannonが開発したスパイウェア対策ソフトがスパイウェア、キーロガー、トロイの木馬型ウイルスなどの脅威がホストコンピュータに含まれていないかスキャンし、マシンの安全性に関するレポートを作成する。この最初のスキャン後に、ユーザーはWindowsデスクトップ上に表示される中央コンソールからWebサーフィン、メール用のKeyPointアプリケーションにアクセスできる。

　KeyPointのWebブラウザはIEと同じような外観で、cookieやインターネットの一時ファイルなど、個人情報を含む情報をすべてKeyPointのセキュアな領域に保存する。電子メールクライアントでは、POP3やWebベースのメールを送受信できる。このUSBデバイスは、SSLによってメールを暗号化して、ホストシステムではなくデバイス本体にメールをダウンロードする。アドレス帳のインポートも可能だ。

　独立型のファイアウォール管理アプリケーションを使うことで、IT管理者はKeyPointアプリケーションにアクセスルールを設定し、社内ネットワークへの接続を許可する前にスパイウェアのスキャンを行うよう義務付けることができる。パスワードをなくしたか忘れた場合に復旧したり、KeyPointが発信するWebやメールのトラフィックの監査もできる。セキュアHTTPを使えば、ネットワークの共有ディレクトリやWebディレクトリからセキュリティポリシーや署名済みXMLアップデートをダウンロードできる。

　KeyPointの発売は7月1日。RedCannonのWebサイトで、256Mバイト版が149ドル、512Mバイト版が299ドルで販売される。

　SeclarityはワイヤレスカードSiNicを間もなく発売する。同社は具体的な価格情報を出しておらず、ユーザー数と機器の種類で決まると説明している。