最新SSL VPN獲得でMSのハードウェア事業参入の可能性が(1/3 ページ)

MicrosoftはWhale Communicationsの買収により、Internet Security and Acceleration Serverの将来のバージョンへの統合を期待できる、新しいSSL VPN機能を獲得した。また、ハードウェア事業進出の可能性も生まれている。

» 2006年07月05日 07時00分 公開
[Peter Pawlak,Directions on Microsoft]
Directions on Microsoft 日本語版

 Microsoftは、SSL(Secure Sockets Layer)VPN(仮想プライベートネットワーク)ソリューションの開発企業Whale Communicationsの買収を進めている。WhaleのVPN製品はWindows Server 2003およびInternet Security and Acceleration(ISA)Server 2004のVPN機能を補完し、例えばインターネットキオスクなどの非管理PCからの企業アプリケーションへのアクセスが必要な場合に、優れたセキュリティを提供できる。ただし、WhalesのテクノロジーをMicrosoft製品ラインにどのように組み込んでいくかについて、具体的なプランは発表されていない。

 Whale Communicationsは非公開企業で、本社はニュージャージー州フォートリーにある。買収条件は公開されていない。

現在のWindows VPN機能の限界

 組織は、自社のユーザーや場合によってはビジネスパートナーにも、サーバリソースへのインターネットアクセスを提供する必要がある。このようなリソースには、ファイルサーバ、電子メールサーバ、Webポータル、基幹業務アプリケーションサーバなどが含まれる。しかし、安全なリモートアクセスを実現することは容易ではない。これらのサーバへの接続には、IT管理PCだけでなく、ユーザーの自宅のコンピュータやインターネットキオスク、インターネットカフェのPCなどの非管理デバイスや、スマートフォンなどのモバイルデバイスも使われるためだ。

 リモートアクセスを提供することで業務の生産性を向上できるが、ファイアウォール外部のクライアントPC、中でも非管理クライアントは、組織のネットワークへのマルウェアの侵入経路となり得る。感染したPCでは、ユーザーセッションがユーザーに気付かれることなくハイジャックされ、ネットワークにアクセスするための資格情報やサーバから取得した企業データなどの機密情報がハッカーに転送されてしまう可能性がある。また、感染したクライアントPCがルータとして使われ、ユーザーがアクセスするネットワークリソースすべてにハッカーがリアルタイムでアクセスできてしまう場合もある。

 現在Microsoftは、管理クライアントPCからの安全なリモートアクセスを実現する以下のようなテクノロジーを提供している。この場合の管理クライアントPCとは、企業ネットワークに社内からアクセスすることがあるラップトップと、完全に社外のみで使われるが組織のActive Directory(AD)ドメインに参加しているPCである。

ルーティングとリモートアクセスサービス(RRAS、Windows Serverのコンポーネント)
 RRASに実装されているVPNテクノロジーは、リモートユーザーに企業ネットワークへのアクセスを提供するためのサーバサイドとクライアントサイドのコンポーネントで構成されている。このサービスを使うとクライアントPCは、速度は遅くなるものの直接LANに接続している場合と同様にネットワークリソースにアクセスできる。ただし、情報漏えいを防ぐため、クライアントとサーバ間のトラフィックはすべて暗号化される。RRASベースのVPNは、スマートカードやRSA SecureIDトークンなどを併用する多要素認証を必須とすること、およびSystems Management Server(SMS)などのツールを利用してセキュリティパッチやマルウェア検出プログラムなどの最新版がクライアントPCに常に適用されるようにすることで、さらにセキュリティを強化できる。

ISA Server
 ISA Server 2004を使用すると、RRASにISA Serverのファイアウォール機能を統合して追加のフィルタ機能とログ機能を提供できるため、VPNの安全性を高めることができる。ISA Server 2004とWindows Server 2003は、どちらも検疫機能をサポートしており、クライアントPCがセキュリティポリシーを満たしていない場合に、そのPCのVPNアクセスをブロックできる(Windows VistaクライアントおよびWindows“Longhorn”サーバでは検疫機能が強化され、管理も現在のソリューションより簡素化される見込みだ)。

ADのグループポリシーオブジェクトおよびカスタマイズした接続マネージャスクリプト
 これらを用いて、セキュリティポリシーに沿って適切にVPNクライアントを設定する。

 これらすべてを組み合わせると、Microsoft自体が社員や協力会社にリモートアクセスを提供する分には十分安全なソリューションを実現できる。しかし同社のVPNソリューションは、非管理PCからの内部リソースへのインターネットアクセスには適しておらず、前述した脅威に対する保護を十分提供できない可能性がある。RRASのクライアントサイドソフトウェアは、WindowsおよびWindows Mobileのすべてのバージョンに標準で搭載されているが、非管理PCから企業ネットワークへの接続にこれを使用するのは安全ではない。非管理PCがセキュリティで保護されているかどうかをユーザーが確認できる手段が用意されていないうえ、VPNを使用せずにOutlook Web Access(OWA)などのWebアプリケーションを使用した場合に、キャッシュされた資格情報やデータ、ダウンロードしたドキュメントが不用意に残される可能性があり、特にWindowsのログオンをロックし、ブラウザを開いたままにしていることが多いインターネットカフェやインターネットキオスクでは、次の利用者がこれらのデータにアクセスできてしまう場合がある。

       1|2|3 次のページへ

Copyright(C) 2007, Redmond Communications Inc. and Mediaselect Inc. All right reserved. No part of this magazine may be reproduced, stored in a retrieval system, or transmitted in any form or by any means without prior written permission. ISSN 1077-4394. Redmond Communications Inc. is an independent publisher and is in no way affiliated with or endorsed by Microsoft Corporation. Directions on Microsoft reviews and analyzes industry news based on information obtained from sources generally available to the public and from industry contacts. While we consider these sources to be reliable, we cannot guarantee their accuracy. Readers assume full responsibility for any use made of the information contained herein. Throughout this magazine, trademark names are used. Rather than place a trademark symbol at every occurrence, we hereby state that we are using the names only in an editorial fashion with no intention of infringement of the trademark.

注目のテーマ