|
 |
WebSphere Developer Domain >
わかる!パーベイシブ・コンピューティング
第4回 「リモート環境からの最適なセキュアアクセス手段」
|
|
|
| 2005年08月24日(水) |
今回でパーベイシブ・コンピューティング周りの話も第4回目です。パーベイシブ・コンピューティングという耳慣れない言葉にも、皆さん、少しは慣れて頂けたでしょうか。
さて、前回の連載では、パーベイシブ・コンピューティングと音声の世界のつながりについてお話を進めてきました。そして今回は、また話しががらりと変わります。
第2回「パーベイシブ・コンピューティングとネットワーク」でご紹介した弊社の製品、WebSphere Everyplace Connection Manager(以下、WECM)を覚えてらっしゃいますか。社内ネットワーク環境に、リモート環境からVirtual Private Network(以下、VPN)をはることができる弊社のソフトウェア製品です。製品の概要については、第2回の記事に目を通していただくことにして、今回は特にリモート環境からのセキュアなアクセスを実現するVPNを実現する技術、IPSecやSSL-VPNとWECMとの関係についてお話していこうと思います。
|
VPNは、最近よく耳にする言葉なので皆さんご存知だと思いますが、念のためここで簡単におさらいをした後、本題に入っていくことにします。
まず、VPNが使われている場面を見てみましょう。
LAN間接続
東京本社と大阪支社を持つA社。本社と大阪支社のLAN間を安全に接続したい場合、以前は、多大なコストをかけて専用線を引いていました。しかし、今では、VPNをLAN間接続の手段として使っています。そして、インターネットを介して低コストでかつ、専用線を使っているかのような安全な通信をLAN間で行うことが可能になりました。
モバイル接続
また、一日に何件もお客様を訪問しなくてはならない営業マンのB氏。以前は、営業日誌を書くために、毎日、一日の最後には必ず自社に戻って作業を行わなくてはなりませんでした。しかし、今は、B氏の会社でもVPNが採用され、会社の外からでもLAN環境に安全にアクセスすることができるようになりました。その結果、最後のお客様訪問後、直帰して自宅のネットワークからインターネット経由で会社のLANに接続し営業日誌を書くことができる環境ができ時間の余裕が生まれました。
営業所端末-本社間接続
または、こんな例もあります。全国に営業所を持つC社。各営業所は東京にある本社からの情報提供のスピードの遅さに不満を感じていました。ここで、各営業所と本社間をVPNでつなぎ、各営業所から本社サーバーにアクセスできるようにしたところ、サーバー上で更新された情報を即時に営業所から参照できるようになりました。しかも、これまでFaxや郵便で送付していたような営業店からの売り上げ報告もネットワーク経由で行うことができるようになりました。
上記3つとも、VPNを導入することによって、リモートにあるLANに専用線のような強固なセキュリティを保ちながら公衆のネットワーク経由でアクセスすることが可能になっています。
VPNとは、一言でいうと、公衆ネットワーク(たとえばインターネット)上に作られる仮想の専用線、または、それを作るための技術のことなんです。
では、上記のような通信を実現するために、VPNではどんなことをしているのでしょうか。とても簡単にいうと、まずパケットにヘッダを追加してカプセル化しパケットを公衆ネットワーク経由で社内ネットワークへのゲートウェイに向けて送り出します。そして、ゲートウェイでそのカプセル化を解除します。このような処理全体を「トンネリング」というのですが、こうすることによって、社内ネットワーク向けのパケットを公衆ネットワーク経由で送信することが可能になります。
さらに、「トンネリング」しただけでは送信するデータの中身が公衆ネットワーク上で丸見えになってしまうのでそれらを「暗号化」します。「暗号化」されていれば、公衆ネットワーク上でたとえデータを盗み見されたとしても内容が外に漏れることはありません。
さらにさらに、安全な通信のためには、その「暗号化」されたデータを送信した送信元を本当に信頼していいのか、届いたデータは本当にその信頼した送信元から送られてきたものなのか、等をチェックする「認証」の機能が必要です。
ただ、一概にVPNといっても「トンネリング」「暗号化」「認証」のために使われている技術は、各社が提供している製品によって異なります。よりセキュアなアクセスを実現するために各社知恵を絞ってさまざまな特徴を持つ製品を提供しているのが現状です。
一口メモ・・・VPN製品はいろいろなものがあります。ルーターにVPN機能を付加したハードウェアからWECMのようなソフトウェア製品まで多種多様です。多くの製品の中から最適なものを選ぶには、セキュリティ強度、運用/管理方法、自社システムとの親和性など考慮した検討が必要になります。
現在、VPNを実現するための技術として代表的なものに、IPSecやVPN-SSLといったものがあります。
IPSec
IPSec(IP Security)はインターネットでデータを暗号化するため機能を備えた複数の規格の総称です。IPパケットを暗号化するためIPより上位のプロトコルを使うアプリケーションはまったく暗号化のことを考えずに通信を行うことができます。
このIPSecは、通常、リモート端末にインストールされたクライアント・ソフトウェアと社内ネットワークへの入り口となるゲートウェイとで構成されます。そして、リモート端末のクライアントで、どのアプリケーションのパケットをどこのゲートウェイに暗号化して送るか、というような設定を行い暗号化通信が可能になります。
(表1)IPSecのスペック
| 通信データの暗号化方式 |
共通鍵暗号方式(*1) |
| 通信データの暗号化アルゴリズム |
DES(*2)、3DES(*3)、その他製品によって追加アルゴリズムもあり |
(*1)データの暗号化を行う場合、送り主がまず鍵を使ってデータを暗号化します。そしてそのデータを受け取った相手も同じ鍵で暗号化を解除する暗号化方式が、この「共通鍵暗号方式」です。このほかにも「公開鍵暗号方式」という方式もあります。
(*2)Data Encryption Standardの略。IPSecで実装が義務付けられている暗号化アルゴリズムで56bitの暗号鍵を使います。
(*3)DESのアルゴリズムを3回繰り返し、より強固な暗号化を行うアルゴリズムです。168bitの暗号鍵を使います。
SSL-VPN
SSL-VPNは名前からも分かるとおり、暗号化技術としてSSLを採用したVPNの実装となります。SSLは、元々Netscape社がHTTPの通信を暗号化するために開発した技術ですが、HTTP以外にもメールアプリケーションやその他Webアプリケーション(TCP/IP上のプロトコルを使用した)でも広く利用されています。
SSL-VPNは、リモート端末にWebブラウザが導入されていればその他に特別なクライアント・ソフトウェアを必要としていません。社内ネットワークと公衆ネットワークとの間にあるDMZ(非武装地帯)にゲートウェイを設置するだけです。Webブラウザからゲートウェイを通して社内のWebアプリケーションやメールアプリケーションにアクセスされます。
もし、Web/メールアプリケーション以外の社内アプリケーションに接続したい場合(例えば、ノーツのデータベース)には、このSSL-VPNのデフォルトの機能ではアクセスができません。リモート端末側にクライアント・ソフトウェア、あるいは、Javaアプレットなどのモジュールが必要となります。
(表2)SSLv3のスペック
| 通信データの暗号化方式 |
共通鍵暗号方式 |
| 通信データの暗号化アルゴリズム |
RC2/4(*4)、DES、3DES |
(*4)DESと比べて、暗号化処理にかかる時間は高速なアルゴリズムです。鍵の長さは、任意で決めることができます。
さて、今回の記事の主役であるWECMもVPN製品ですが、IPSecとSSL-VPNのどちらの技術を採用しているのでしょうか。実は、WECMはIPSecでもSSL-VPNでもない、独自の技術を採用しているのです。
WECM
WECMは、リモート端末に導入したクライアント・ソフトウェアが仮想ネットワーク・カード(NIC)としてIPパケットを受け取り、それを圧縮/暗号化した後UDPとしてパッケージングし、再度物理的なネットワーク・アダプターに渡すという処理を行います。なので、IPより上層のプロトコルを用いたアプリケーションについては、リモートからのアクセスも社内ネットワーク内からのアクセスと同じように使うことができます。
このWECMは、リモート端末側に導入したクライアント・ソフトウェアと社内ネットワークの入り口に置かれたWECMサーバーとで構成され、クライアント側の設定により接続先のWECMサーバーや暗号化の際に使う鍵長などを設定できます。
(表3)WECMのスペック
| 通信データの暗号化方式 |
共通鍵暗号方式 |
| 通信データの暗号化アルゴリズム |
DES、3DES、RC5(*5)、AES(*6) |
(*5)RC2の後継。
(*6)DESの老朽化に伴い次世代の暗号化アルゴリズムの標準として注目されています。
WECMでは、56bit-256bitまでの鍵長をクライアント側で選択することができます。
ここまで読んで頂いて皆さんどうお感じになりましたか?特にIPSecとWECMがどう違うのか疑問に思った方が多いのではないでしょうか。上述のWECMの説明部分は混乱を避けるためあえて、IPSecやSSL-VPNとの比較を含めず各技術を客観的に記述しました。
ここからも客観性は変わらないのですが、今回の主役でありますWECMにもう少し焦点をあててその他の技術と比較してどこが特徴的なのか、という部分をお話してみたいと思います。
IPSecもWECMも、IPパケットをカプセル化するという処理は同じなのですが、実際にカプセル化する方法が異なります。WECMでは、前述のように仮想ネットワーク・カードで受け取ったIPパケットを圧縮/暗号化してからUDPヘッダをつけて、再度物理的なネットワーク・カードに渡しています。これはWECM独自の方法です。一方、IPSecはESP(Encapsulating Security Payload)というプロトコルを用います。
WECMでは、このような独自のカプセル化の方法を採用することによりIPSecよりもオーバーヘッドが少なく、より早く「トンネリング」処理を行うことができますし、複数ネットワーキング間を自動ローミング(*7)することが可能になっています。
SSL-VPNとWECMと比較した場合、一番大きく異なるのはクライアント・ソフトウェアの有無です。SSL-VPNではクライアント・ソフトウェアの導入がいらず手軽にVPNを実現することができます。Webブラウザを利用できる環境であればどこからでも社内ネットワークにアクセスできてしまうということは、とても便利である反面、キーロガー(*8)によるパスワード情報の盗難など社内情報漏えい大きな危険をはらみます。その点、WECMの場合第1にクライアントがインストールされたPC/PDAからしか社内にアクセスできませんし、もしクライアントに固定IPアドレスが配布できるようであれば、そのIPアドレスを使用するのはユーザーEだけ、というようにデータの送信元に制限をかけることができるようになります。そうすることによって、SSL-VPNで起こりうるような問題を回避することが可能になります。その他、PC紛失時にはWECMサーバー側で利用を停止することもできるので安心して社内ネットワークに接続することができます。
(*7)WECMのローミング機能についての詳細は第2回連載をご覧ください。
(*8)キーボードからの入力を記録しておくソフトです。従来は自分が入力した情報のバックアップのために作られたものですが最近では共用PCから他人の情報を盗難するために使われたりします。
VPN製品を選択する際のポイントは、
- 社内のどのアプリケーションにリモートからアクセスさせたいのか、
- 自社のセキュリティ基準を満たしているか、
- 自社システムの将来構想にも耐えうる製品なのか、
という部分でしょう。IPSec VPN製品か、SSL-VPN製品か、その他の例えばWECMのような独自性のある製品を選択するか。「みんなが使っているからとりあえずこれにしよう」、という安易な決断ではなく自社システムの現状と将来像を考えた上で最良の製品を選択して頂きたいと思います。
|
|
|
|
|
