企業のIT化やモバイルの普及に伴い、出張先など、社外からのアクセスが一般的になっている。それにつれ、社外のモバイルPCからどのようにして社内のデータにアクセスするか、同時にセキュリティをいかにして守るかという課題がIT部門には突きつけられている。NECが提供する「UNIVERGE SecureBranch」は、この課題に対する有効なソリューションとして注目を集めている。この製品の機能とメリットについて、同社の第二コンピュータソフトウェア事業部のマネージャーである尹秀薫(ゆん・すふん)氏と、主任の早坂真美子氏に話を伺った。
社外からのアクセスを「LANを拡大する」というコンセプトで実現する「UNIVERGE SecureBranch」
日本電気株式会社(NEC)第二コンピュータソフトウェア事業部
マネージャー
尹 秀薫氏
業務の効率化や、企業組織のスリム化において、モバイルの活用はもはや常識。しかし、ノートPCの「持ち歩ける」という特性は、同時に大きなリスクを伴う。安全性の担保なしにはモバイル活用は難しい現在、その最適なソリューションとして提供されるのが、日本電気株式会社(以下、NEC)のVPNアプライアンス、「UNIVERGE SecureBranch(以下、本稿ではSecureBranchと略記)」である。
SecureBranchのコンセプトについて、尹氏は「VPN接続の利便性をより推し進めたものです。従来の『社外からインターネット経由で社内のネットワークに接続する』のではなく、『LANを社外にまで拡大する』ことをコンセプトとしています」と説明する。
社内ネットワークを樹とイメージした場合、幹である社内システムに対し、社外に持ち出されたPCは枝(ブランチ)となる。
「社内から社外のクライアントPCに向かってセキュリティポリシーを広げていくところから、SecureBranchと名付けています」と早坂氏は補足し、社内システムが一本の樹のように、セキュアに展開しているイメージを解説。社内のアクセスポリシーをそのまま社外からのアクセスにも適用できるのが本製品の核となるコンセプトなのだ。
社内ポリシーを社外からのアクセスにも適用多彩な特長
さて、そのコンセプトを実現するSecureBranchは、(1)端末認証で実現する高度なセキュリティ、(2)カーネルファイアウォール(セキュリティソフトのファイアウォールと似た機能)、そして(3)コールバック認証によるリモートアクセスのコネクション確立、の3点が大きな特長だ。
SecureBranchを利用してリモートアクセスするにはPCの事前登録が必要だ。つまりSecureBranchに登録されていないPCの接続は許可されず、セキュリティポリシー外のPCによるアクセスは厳正に排除される。これが(1)の端末認証である。
持ち出されたPCは社外において(2)のカーネルファイアウォール機能によってインターネットへの自由なアクセスが遮断される。PCから社内のSecureBranchに向けて接続要求を行うと、(3)のコールバック方式によってリンクを確立する。
ここでのポイントが上記(2)のカーネルファイアウォールだ。外出先からのネットワーク接続は、SecureBranchのカーネルファイアウォールによって、リモートアクセスに必要な一部のプロトコルを除いて全て遮断される。クライアントがVPN接続を行ってからは、すべての通信はSecureBranch経由で行われることになり、ユーザの不用意な外部アクセスや端末に対する攻撃を防ぐことが可能だ。そのため、社内を経由せずに自由にインターネットにアクセスすることが可能な他のVPN製品よりもセキュリティレベルが高いと言えよう。
さらにSSLでイーサネットのパケットをカプセル化して通信を行うため、SecureBranchで接続したPCは社内LANに接続した時と同じように社内のサーバにアクセスすることが可能だ。これが尹氏の説明した「LANの拡大」なのである。
「SecureBranchはコールバックで社内から社外に向けてセッションを確立すると共に、SecureBranchとのセッション以外のネットワーク接続を遮断します。このため、接続したPCは社内にあるのと同じネットワーク環境に置くことが可能となり、セキュリティと社内サーバへのアクセスといった利便性を同時に実現しているのです」(尹氏)
