企業の実態に則したSSL VPN導入のアプローチ
ここに来て導入企業が増えつつあるVDI(デスクトップの仮想化)をはじめ、リモートアクセス、スマートデバイス利用時には、いかにセキュリティを担保するかが問われている。そうしたなか、丸紅情報システムズ プラットフォームソリューション事業本部 ストレージ・インフラソリューション一部の副部長、山崎僚氏は、「SSL VPNによるモバイル利活用」をテーマに、セキュリティと利便性を両立させたリモートアクセス・システム構築のポイントについて、導入事例を絡めて解説を行った。
丸紅情報システムズ 山崎僚氏
(プラットフォームソリューション事業本部 ストレージ・インフラソリューション一部 副部長)
クラウドやVDIの普及、それにディザスタリカバリ、マイナンバー、情報漏えい対策のニーズの高まりなど、環境が大きく変化する中にあって、SSL VPNをどう活用するかがリモートアクセスにまつわる課題となっている。
「そうした背景を受けて、SSL VPNの導入にあたっては、既存環境の把握とセキュリティポリシーの作成の2つは欠くことのできない要素」と山崎氏は指摘する。
まず既存環境の把握では、ネットワーク環境や認証サーバー、アプリケーション、対象となるユーザー、対象となるデバイスの把握が必要だ。
「その次にセキュリティポリシーの作成へと移るわけだが、その際には、誰が、どの端末から、どのような条件で、そしてどのリソースにアクセスさせるのかを、しっかりとポリシーに定めるのが重要だ」と山崎氏は強調した。
セキュリティポリシーの作成には大きく2つの傾向がある。1つ目は、既にアクティブディレクトリやLDAPなどを持ち認証基盤とアクセス制御ができており、SSL VPNの認証にも既存認証基盤を使用するケース。もう1つは、他要素認証を利用し端末条件に応じてアクセスリソースを制限するケースだ。そして、これらいずれの導入傾向にも適したソリューションとなるのが、同社が長年代理店をしているデルソフトウエア社のSSL VPNアプライアンス「Dell SonicWALL SMA(旧Aventail)※」シリーズである。
他要素認証に関して、同アプライアンスは、ワンタイムパスワードの発行機能を標準装備しているため、発行用サーバーを個別に用意する必要はない。そのため二要素認証が簡単に実現可能だ。続いてEPC(End Point Control)に関しても、「SMA※ EPC」は、様々な端末条件を判定し多要素認証を実現している。例えば、端末固有のIDやOS、アプリケーションの有無、アンチウイルスソフトのアップデート状況、スマートデバイスであればジェイルブレイクの判定、クライアント証明書の有無、等々細かなセキュリティレベルの検知が可能となっている。
山崎氏は、「各企業において求めるセキュリティレベルが異なる為セキュリティポリシーを作成する事が肝となる。SSL VPNアプライアンスでは、Realm(レルム)がその役割を担います。」と語り、ユーザー認証とポリシー適用のフローを解説する。レルムとは、アクセスポリシーのベースであり、誰が、どの属性でどういった認証条件で、どのような端末環境かを決定するものだ。まずレルム内のサブグループとして、ユーザーの属性に基づきコミュニティを割り振り、ユーザー/端末のセキュリティ要件に応じてEPCを実施。その後、接続端末環境によってZone分けを行ったうえで、アクセス先を決めるのである。
※クリックすると拡大画像が見られます
そして具体的なSSL VPNの導入シーンとして、3つの利用ケースを山崎氏は披露した。まず1つ目はディザスタリカバリ対策用で、2つ目がオンプレ環境とクラウド環境のハイブリッド環境のケース、3つ目はVDIを利用した情報漏えい対策のケース。それぞれのケースにおいてSSL VPNアプライアンスを中心に、丸紅情報システムズが扱う製品・サービスを組み合わせることで対応が可能となる。
最後に山崎氏は、「【Dell SonicWALL SMA※】シリーズであれば、それぞれの企業の事情に則った細かなセキュリティポリシーにも対応し、企業の規模を問わずあらゆるシーンで有効活用が可能。SSL VPN、ディザスタリカバリ、VDI、情報漏えい対策を検討の際には、ぜひ一度ご相談を」と会場に訴えて壇を後にした。
※Aventailシリーズは、この度 SMA (Secure Mobile Access)シリーズと名称変更になりました。
