Longhorn Serverを意識したISA Server 2006の控えめな進化（2/3 ページ）

[Peter Pawlak ，Directions on Microsoft]

SharePoint発行ウィザード
　Windows SharePoint ServicesおよびSharePoint Portal Serverは、イントラネットポータルやチームサイトをホストするためだけの製品ではない。インターネットを介して接続している社員や取引先に認証アクセスを提供したり、SharePointコンテンツの一部に対する匿名アクセスを外部ユーザーに提供することもできる（MicrosoftはSharePointの次のリリースに向けて、外部公開WebプラットフォームとしてのSharePointの利用を促進する機能の開発やライセンス要件の策定に取り組んでいる）。

　ISA Server 2006では、インターネットへのSharePointサイトの発行を支援するウィザードが導入される。このウィザードを使用して、認証や暗号化だけでなく、インターネットからイントラネットサイトへのアクセスを容易にするリンク変換などの機能を適切に設定することもできる。リンク変換機能は、パブリックWebアドレス（URL）をSharePointサイトに割り当てておくと、ISA Server 2006によってそのパブリックURLに対する着信要求が目的のSharePointサイトに対応するイントラネットURLに自動的に変換される機能である。また、SharePointの応答をユーザーにルートする前に、ページに埋め込まれているすべてのイントラネットURLが対応するパブリックURLに変換される。

サービス拒否攻撃に対する耐性の向上
　ISA Server 2006では、偽の要求を大量に送りつけてファイアウォールに過剰な負荷をかけるサービス拒否（DoS）攻撃によるパフォーマンスの低下を起こしにくくなった。ISA Server 2006では、接続要求数およびセッション数が制限（ユーザーによる設定が可能）を越えたクライアントを特定し、これを拒否する機能が追加される。また問題のクライアントの接続要求に対して警告を生成すると同時にログを無効にし、ログ処理に起因するファイアウォールのパフォーマンスの低下を回避すると同時に、ファイアウォールおよびイベントログが無意味な情報で埋まらないようにする。

認証およびシングルサインオンサポートの強化
　Exchangeアプリケーション、SharePointアプリケーション、基幹業務アプリケーション（ERPやCRM）などの社内アプリケーションを（最初にVPN接続の確立を必要とせずに）インターネットユーザーに公開するには、アプリケーションサーバへの接続を許可する前にファイアウォールが適切に接続要求を認証する必要がある。ISA Server 2006では、この点についてさまざまな強化が施されている。例えば、ExchangeのOutlook Web Access以外のアプリケーションに対してフォームベースの認証を利用できるようになり（複数の認証フォームテンプレートが26言語で提供される）、アクセスを要求するクライアントの種類（PC、PDA、携帯電話など）を識別して各デバイスの画面サイズに適したログオンフォームを提供できるようになった。また、ユーザーがクライアント証明書やスマートカード、RSA SecureIDトークンカード、Radius OPT（ワンタイムパスワード）ソリューションを使用して、Active Directory（AD）に対して自らを認証することもできる。ISA Server 2006では、ファイアウォールがドメインメンバーでなくてもADに対してユーザーを認証したり、ADのセキュリティグループからユーザーのメンバーシップを取得できる。ISA Server 2006では、LDAP（Lightweight Directory Access Protocol）を使用してこれらの機能をより安全に実現できる（LDAPは、ファイアウォールとドメインコントローラ間でRPCコールを渡す既存の方法に比べて、攻撃を受ける可能性のある範囲が狭い）。最初の要求が認証されると、ISA Server 2006のシングルサインオン機能によって、認証情報が公開されているほかのアプリケーションサーバに渡されるため、同じ資格情報に対して何度も要求を発行する必要がない。

証明書のサポートの強化
　ISA Serverおよびインターネットクライアントは認証にも暗号化にも証明書を頻繁に利用する。ただしISA Serverのサポートでは証明書関連の問い合わせが最も多く、コストのかかるサポートインシデントになっている。このため、ISA Server 2006では証明書の処理方法の改善をはかる機能が追加されている。例えば、複数の証明書を1つの外部IPアドレスにバインドできる機能が追加される。この機能によって、複数ある公開アプリケーションがそれぞれに異なる証明書を必要としている場合に、これらのアプリケーションへの外部からの接続を許可するファイアウォールの設定を簡素化できる。また、管理インタフェースにはISA Serverが使用している証明書の状態が表示されるようになり、適切にインストールされていない証明書や失効した証明書を確認できるようになった。そのほか、より迅速に問題を検出して対処できるよう、Microsoft Operations Managerなどの製品により認識可能な警告を生成する機能も追加されている。

サーバファームのサポートの強化
　ISA Server 2006では、Webまたはアプリケーションサーバファームを定義して、これを1つのURLとしてインターネットに発行できる。管理者は、例えば"ファーム内のすべてのサーバに対してインターネットからの匿名Webアクセスを許可する"といった個別のアクセスルールを定義し、これをファームの全メンバーに適用できる。ほかにISA Server 2006で追加されたサーバファーム機能としては、Web発行負荷分散（Web Publishing Load Balancing）がある。この機能を利用すると、ファイアウォールがインターネットからのユーザー要求をサーバアレイ内で分散でき、各アレイメンバーの状態を監視したり、障害が発生したメンバーに割り当てられた要求をリダイレクトしたりできる。

残された課題

　Directions on Microsoftでは以前ISA 2004の分析を行った際に、ISA Serverの導入を考えているユーザーが注意すべき問題点を指摘したが、ISA Server 2006でもこれらの課題は残されたままだ。

WebサービスXMLプロキシの欠如
　MicrosoftはWebサービスに力を入れている企業の1社だが、ISA Server 2006にはライバルのCheckPointの製品やForum XWallなどのISA Serverアドインが提供するようなXMLレベルのWebサービスの検査、フィルタリング機能がない。WebサービスはWebプロキシ経由でISA Serverへの通過を許可されるが、管理者はHTTP（Hypertext Transfer Protocol）ペイロード内部のXMLデータの属性をチェックするように設定できない。そうしたサポートが実現すれば、不正侵入やWebサービスをターゲットとするサービス拒否攻撃を検出、防御するファイアウォールの能力を向上させることができる。