最新SSL VPN獲得でMSのハードウェア事業参入の可能性が(2/3 ページ)
非管理PCからの接続に対応するSSL VPNの登場
非管理PCからの接続に伴うセキュリティリスクに対応する新しいVPNテクノロジーが近年利用できるようになった。このテクノロジーは、業界では“SSL VPN”と呼ばれている。
Webブラウザからログオン資格情報やクレジットカード番号、電子メールメッセージ、企業アプリケーションデータなどの機密情報を転送する必要がある場合に、SSL(先頭に“https”を指定したURLで表される)を使用してセッションが暗号化される様子はほとんどのユーザーが日常的に目にしているだろう。SSL VPNは基本的に、WebサーバおよびWebブラウザに組み込まれているこの暗号化機能を利用したものだが、非Webアプリケーションをサポートするように拡張されている。
アプリケーションを識別しない(完全に接続を許可するか阻止するだけの)従来のVPNと異なり、SSL VPNはアプリケーション別に接続を許可または阻止することができる。例えば、Webアプリケーションからの接続は許可しても、電子メールプロトコルのPOP3を使用したOutlook Expressからの接続はブロックするということが可能だ。ただし、このような識別機能はSSL VPNの持つメリットのほんの一面でしかない。どのSSL VPN製品も、例えばキャッシュされたデータを自動的に削除するクライアントサイドのブラウザプラグインや、より詳細なアクセス制御を可能にするサーバサイドコンポーネントなど、追加のセキュリティ機能や拡張機能を提供している。
SSL VPN製品は現在、AEP、Aventail、F5、Juniper、Nokia、SonicWall、Symantec、Whaleなど多くのベンダーが提供している。
VPN機能を補完するWhaleテクノロジー
Whaleのフラグシップ製品Intelligent Application Gateway(IGA)のExpress EditionとEnterprise Editionは、ハードウェアによって相互に接続されている2つのロープロファイルサーバと、e-Gapと称するソフトウェアテクノロジーで構成されるハイブリッドなVPNファイアウォールアプライアンスである。各サーバはセキュリティ強化が施された32ビット版のWindows Server 2003インスタンスを実行し、インターネット側のフロントエンドサーバはISA Server 2004 Standard Editionを合わせて実行する。WhaleのSSL VPNソフトウェアは両サーバ上で稼働し、ISA Serverと連携する。また、両サーバ上のWhaleコンポーネントは、ブラウザベースの管理コンソールから一元的に管理できる。e-Gapテクノロジーは、これら2つのサーバ間でデータを転送するプロプライエタリなSCSI接続型のスイッチ(100Mbs)を使用することで、優れたセキュリティを実現する。Whaleでは、インターネット側のフロントサーバがハッキングされた場合でも、バックエンドサーバを保護できるとしている。
Whaleのソフトウェアは、以下のコンポーネントを追加することで、RRASおよびISA Serverの機能を補完する。
ActiveXおよびJavaコントロール
クライアントブラウザに組み込まれ、検疫機能や二要素認証のサポート、ファイルサービスおよびSSL非対応クライアントサーバアプリケーションのSSL VPNトンネルの利用を実現する拡張機能、ログオフまたはセッションのタイムアウト後にクライアントPCやワイヤレスデバイスからセッションデータをすべて消去するクリーンアップツールを提供する。クライアントデバイスのポリシーによってこれらのコントロールのインストールがブロックされる場合は、リソースや機能へのアクセスを部分的に制限して提供するようにIAGを構成できる。
ユーザーポータル
アプリケーションにリモートからアクセスする必要がある場合、カスタマイズされたIAGホームページからこれを起動できる。ここには、ユーザーまたはユーザーが所属するグループがアクセスできるアプリケーションのみが表示される。また、このポータルはWebベースのファイルエクスプローラインタフェースも備えており、権限のあるユーザーはアクセスが許可されたファイルサーバを参照し、ここからファイルをクライアントデバイスに移動することができる。
アプリケーションプロキシ環境
ペイロード内のデータがどのアプリケーションのものであるかをまったく認識しないISA Serverの汎用Webプロキシと異なり、IAGは各アプリケーション専用のプロキシを用意している。これらのプロキシは、個々のアプリケーションデータ要素を調べ、データ要素が適切な形式であることを確認したうえで、要求を実際のアプリケーションサーバに渡す。また、この機能を利用すると、アプリケーションへのリモートアクセスを完全に許可または阻止するのではなく、アプリケーションの一部にのみアクセスできるようにすることもできる。IAG Enterpriseには、Outlook Web Access、SharePoint、Lotus Domino、およびSAP Enterprise Portal用のプロキシが搭載されているほか、ユーザーやISVが自社のアプリケーション用のプロキシを開発できるツールキットも提供している。これらのプロキシは、ドキュメント内のイントラネット固有のURLやWebページにインターネットユーザーがアクセスできるようにするためのURLのリンク変換も行う。
Copyright(C) 2007, Redmond Communications Inc. and Mediaselect Inc. All right reserved. No part of this magazine may be reproduced, stored in a retrieval system, or transmitted in any form or by any means without prior written permission. ISSN 1077-4394. Redmond Communications Inc. is an independent publisher and is in no way affiliated with or endorsed by Microsoft Corporation. Directions on Microsoft reviews and analyzes industry news based on information obtained from sources generally available to the public and from industry contacts. While we consider these sources to be reliable, we cannot guarantee their accuracy. Readers assume full responsibility for any use made of the information contained herein. Throughout this magazine, trademark names are used. Rather than place a trademark symbol at every occurrence, we hereby state that we are using the names only in an editorial fashion with no intention of infringement of the trademark.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- セキュリティ担当者に求められる役割と責任に変化 その背景には何がある?
ITmediaはアイティメディア株式会社の登録商標です。