| エンタープライズ:ニュース | 2003/04/07 20:35:00 更新 |
「SSLがIPSec VPNを凌駕する」、米ネオテリスが新タイプのVPN製品を投入
米ネオテリスは4月7日、SSL-VPNによって、リモートユーザーと社内リソースを安全に接続するためのアプライアンス製品「Neoteris Access」ファミリを発表した。既存のIPSec VPNでは困難だった、クライアントからの透過的なアクセスを可能にすることが特徴だ。
ぼつぼつ「枯れて」きたと思われていたVPN市場に、新たな勢力が登場してきた。SSLとプロキシ技術を活用し、Webブラウザ経由で社内リソースへの安全なアクセスを可能にするSSL-VPNだ。
複数の新興企業、そして大手ネットワークベンダーが乗り出そうとしているこの市場で、先頭を切って製品を展開しているのが、米ネオテリスである。同社は4月7日、同社言うところの“インスタント・バーチャル・エクストラネット(IVN)”を実現するための製品群「Neoteris Access」ファミリの日本語対応版を発表した。SSL-VPNによって、リモートユーザーと社内リソースを安全に、しかも透過的に接続するための製品である。
同社CEO(最高経営責任者)を努めるクリシュナ・コールリ氏は、Neoteris Accessを、IPSecを利用したVPNと閉域エクストラネットの長所を兼ね合わせたものだと表現する。「IPSec VPNはパブリックなインターネットを用いるため、通信コストは低く抑えられるが、展開・運用コストが高くつく。一方カスタムエクストラネットの場合、クライアントからは透過的に利用できるが、コストがかさむし、導入までの時間も長い」(コールリ氏)。この問題を解決するのがNeoteris Accessだという。
クライアントに必要なのは「ブラウザだけ」
もはやIT業界でもおなじみになったVPNだが、それを実現する技術はいくつかある。代表的なものが、IPSec(もしくはL2TP、PPTP)を用いるVPNだ。この場合はトランスポート(通信路)を暗号化することによって、第三者による盗聴からはきわめて堅牢なネットワークを仮想的に作り出す。
ただ、これにも不得意な部分はある。まず、ユーザーに応じたアプリケーション制御は困難だ。IPアドレスが変換されてしまうNAT越しのアクセスも実現が難しい。何より、サイト間接続はともかく、リモートアクセスに利用するとなると、クライアント側に専用ソフトウェアを導入し、それぞれ適切に設定する必要がある。これではユーザー自身も面倒だし、サポートを行う管理者にとっても負担は大きい。これらは特に、さまざまなパートナー企業が、さまざまな期間・条件でアクセスしてくるエクストラネット実現においては不利に働く。
ネオテリスの製品は、こうした問題を解決するために開発された。
Neoteris Accessは、セキュリティを強化したLinuxをベースに開発されたアプライアンス製品で、企業のDMZ部分に配置して利用する。これは、クライアントとWebアプリケーションの間で、一種のデュアル・アプリケーション・プロキシとして動作し、URL変換やコンテンツ変換を行う。
こうしたアプローチはSOCKSベースの製品でも用いられた手法だが、「SOCKSの場合は、クライアントソフトのインストールが必要だ。だがNeoteris Accessではソフトウェアインストールは必要なく、Webブラウザだけで利用できる」(コールリ氏)。そのうえNeoteris Accessはユーザー認証とアクセス制御まで行い、シングルサインオンサーバとしての役割も果たす。
クライアント側に必要なのはSSL対応のWebブラウザのみ。バックエンド側も、一般的なWebアプリケーションであれば変更は必要ない。これで、通常のWebアクセスやイントラネット/パートナー向け公開サイトへのアクセスを安全に行えるだけでなく、ファイル共有システムやメッセージングシステム、Telnetなどのターミナルアクセスまでを保護できるという。この際には、Javaアプレットをダウンロードして利用することになるが、この方法でクライアント/サーバ型のカスタムアプリケーションもサポート可能だ。
コールリ氏は同ファミリの強みを「まず第一にコスト効率に優れていること。それでいながらセキュリティを強化できること。そして、ユーザーの生産性向上を実現し、企業とパートナーとを効果的に結び付けられること」と述べている。特にTCOについては、3年ベースで比較した場合、IPSec VPNを利用すると1ユーザーあたり毎月54ドルのコストとなるのに対し、SSLを活用すれば25ドルですむという。
日本市場には大きなチャンス
Neoteris Accessファミリには、規模に応じて3種類の製品がある。エントリモデルで最大同時250ユーザーに対応する「Neoteris Access 1000」、ミッドレンジ向けで最大同時1000ユーザーまでサポートする「同3000」、フラグシップ機種で2500同時ユーザーまで可能な「同5000」だ。うちNeoteris Access 3000と同5000ではクラスタリングを可能にするオプションが提供される。Neoteris Access 5000ではさらに、負荷分散やSSLアクセラレーションといった機能も搭載される。なお同社によれば、Neoteris Accessには8つの特許技術が利用されているということだ。
米国ではドイチェバンクやメリルリンチ証券、BEAシステムズなどがNeoteris Accessを採用しており、中にはIPSec VPNと併用しているケースもあるという。日本ではマクニカネットワークカンパニーと高千穂交易が販売代理店となって製品を提供済みだが、改めて日本語版を投入していく。既に国内導入事例もいくつかあるそうだが、さらに販売代理店を4〜5社に拡大し、30%の市場シェアを獲得していく方針だ。
「日本におけるチャンスは大きい」とコールリ氏。というのも、無線LANやADSLが普及しており、そこではIPSecがうまく使えなかったり、サービスプロバイダーによってブロックされていたりするからだ。
「日本は無線デバイスのパイオニアであり、ADSLに代表されるブロードバンドのパイオニアでもある。これはまさに、われわれのテクノロジを活用できる分野だ。日本ではまだ(IPSec)VPNは離陸しておらず、いずれSSLを用いたアクセスが追い越すことになるだろう」(同氏)。
関連記事
ソリューション志向を鮮明に打ち出したノーテル、無線LAN製品も近々投入へ「SSLの適用範囲は業務アプリケーションにまで広がる」とソニックウォール関連リンク
米ネオテリス[高橋睦美,ITmedia]
