| エンタープライズ:ニュース | 2002/08/23 21:14:00 更新 |
完成度高まるWindows .Net Server〜ネットワークセキュリティ編
マイクロソフトが公開したWindows .Net Server RC1には、VPNゲートウェイの採用や、IEEE 802.1xのサポート、認証サービス「Internet Authentication Service」など、セキュアなネットワーク接続を可能にするためにさまざまな取り組みがなされている。
マイクロソフトはWindows .Net Server RC1(Release Candidate 1)についてのプレス向けセミナーを開催した。チーフソフトウェアアーキテクトのビル・ゲイツ氏が全社員に送信した電子メール(関連記事「MSセキュリティ優先策,Gates氏のメールを解読する」)により、一度はすべての新規コーディングを禁止して、セキュリティ問題の発見や改善に努めたという。「信頼できるコンピューティング」を強調する同社は、「とにかく実際にWindows .Net Serverを試してほしい」と繰り返す。同製品の品質に確信を持っていることは確かなようだ。そうなると、実際のユーザーがどう評価するかが焦点になる。今回は、ネットワークセキュリティの観点からWindows .Net Server(.Net Server)の新機能や改善点について紹介する。
まず、セキュアなネットワークを構築するための取り組みの1つとして.Net Serverでは、VPN(Virtual Private Network)ゲートウェイを採用し、スマートカードによる認証にも対応する。
また、ワイヤレス接続では、IEEE 802.1xのサポートを通じて「全物理ネットワークアクセスを認証、暗号化する」モデルに移行するという。同社は、証明書を持たないユーザーには接続許可を与えないEAP-TLS(Extensible Authentication Protocol-Transport Level Security)機能付きの802.1xが、動的なキー決定機能を提供することで、WEP(Wired Equivalent Privacy)や802.11における既知の問題点に対処できるようになり、ワイヤレスネットワークのセキュリティが劇的に改善されていると説明する。ただし、802.1xにも、アソシエーション属性に起因する問題や「man in the middle」攻撃に遭う可能性もあるといった弱点があるという指摘があるのも事実だ。(関連記事)
また、認証について、Windows .Net Serverの新機能として注目されるのはIAS(Internet Authentication Service)だ。これは、RADIUS(Remote Authentication Dial-in User Service)サーバとプロキシでユーザーの認証管理を行うもの。RADIUSサーバは、VPNやIEEE 802.1xベースのネットワークアクセスに対して、認証、承認、アカウンティング機能を提供する。例えば、Active Directory(AD)において、信頼関係のない2つのフォレスト同士がフォレストを超えて相互認証したい場合、両フォレストにRADIUSサーバが設置してあれば、RADIUSプロキシでメッセージ転送することで可能になる。つまり、IASを利用することにより、有線、無線、リモートアクセスのいずれにおいても、相互認証サービスを導入できるわけだ。
認証については、KerberosやPKI認証など、業界標準技術もサポートしていることも強調されている。
インターネットセキュリティでは、ICF(Internet Connection Firewall)が提供される。ICFはインターネットに直結しているコンピュータや、インターネットに接続しているLANセグメントにあるコンピュータの基本的な保護を行うもの。LAN、VPN、PPPoE接続で利用でき、ICS(Internet Connection Sharing)、RRA(Routing and Remote Access)サービスと統合されるという。
また、IPアドレスの枯渇を解決するIPv6への対応や、PPPoE(Point-to-Point Protocol over Ethernet)、IPSec(Internet Protocol Security)の監視機能などの改善も行われ、ネットワーク基盤の多様性が向上する。前述のIASや、IPSec VPNの負荷分散(ロードバランシング)機能なども加わり、信頼性も向上しているという。
管理性の改善にも力を入れた。グループポリシーを通じた管理と集中管理のリモートアクセスクライアントを展開するためのCMAK(Connection Manager Administration Kit)が追加されている。
同社は、Windowsのセキュリティについて外部組織による監査を推進している。FIPS 140-1評価では、暗号化サービスプロバイダ(CSP)が既に完了している。また、Common Criteria(ISO/IEC 15408)ではWindows 2000 Serverが現在監査中という。そのほか、IETF RFC 2459やITU-T X.509などの国際標準への対応を進めていることが紹介された。
関連記事
完成度高まるWindows .Net Server「今の無線LANは、情報を窓から投げ捨てるようなもの」と米ファンクのクシ氏無線LAN環境のセキュリティマイクロソフトのセキュリティ,「電気や水道並み」の安全性を目指すマイクロソフト,セキュリティを強化すべくWindowsコードを修正へマイクロソフトのセキュリティへの取り組み関連リンク
マイクロソフト[怒賀新也,ITmedia]
