境界型セキュリティ:VPNリンクでファイアウォールを構築

VPNの説明とメリット

仮想プライベート・ネットワーク(VPN)は、企業のプライベート・イントラネットをインターネットなどのパブリック・ネットワークを介して拡張し、本質的にプライベートな「トンネル」を介して安全なプライベート接続を作成します。VPN は、インターネットを介して情報を安全に伝達し、リモート・ユーザー、支社、ビジネス・パートナー/サプライヤーを拡張された企業ネットワークに接続します。インターネット・サービス・プロバイダ (ISP) は、インターネットへの費用対効果の高いアクセスを提供します (直通回線または市内の電話番号を介して)。これにより、企業は現在の高価な専用線や長距離電話、フリーダイヤルの電話番号を不要にすることができます。1997年のVPN調査レポートでは、リモートサイトへの専用線をVPNに置き換えることで、ワイドエリアネットワーク(WAN)のコストを20%から47%まで削減できると推定しています。また、リモート・アクセスVPNの場合、企業のリモート・アクセス・ダイヤルアップ・コストの 60 パーセントから 80 パーセントの節約になる可能性があります。さらに、他の接続方法では利用できないような場所でも、世界中でインターネット・アクセスが利用できます。

しかし、これらの仮想プライベートネットワークを実装するための技術は、標準化されつつあります。今日のネットワーキング・ベンダーの中には、規格に基づかない VPNソリューションを提供しているものもあり、企業がすべての従業員やビジネス・パートナー、サプライヤーを拡張された企業ネットワークに組み込むことを困難にしています。しかし、IETF(Internet Engineering Task Force)標準に基づいたVPNソリューションは、より多くの相互運用性と拡張機能を備えた、あらゆるVPNシナリオをサポートします。

VPNの価値を最大化する鍵は、企業がビジネスニーズの変化に応じてVPNを進化させ、将来のTCP/IP技術に簡単にアップグレードできることです。ハードウェアおよびソフトウェアVPN製品を幅広くサポートしているベンダーは、これらの要件を満たすための柔軟性を提供しています。今日のVPNソリューションは主にIPv4環境で動作していますが、ビジネスパートナーやサプライヤーのVPNソリューションとの相互運用性を維持するためには、IPv6へのアップグレードが可能であることが重要です。おそらく同様に重要なのは、VPNを導入する際の問題点を理解しているベンダーと連携する能力です。成功するVPNの実装には、技術だけではありません。ベンダーのネットワーキングの経験は、この方程式に大きく影響します。

VPNソリューションの導入により、お客様はイントラネットのアクセス範囲を安全かつコスト効率よく拡張することができます。企業は、地理的に分散した場所間で通信する必要があり、製造業者やサプライヤーは共有データベースにアクセスする必要があり、リモート・ユーザーは企業のイントラネット内のアプリケーションやサーバーにアクセスする必要があります。VPNソリューションは、これらすべてのシナリオやその他多くのシナリオを、専用のプライベート・ラインで実行しているのと同じように安全にサポートします。

個々の企業が異なるレベルのセキュリティ強度と管理制御を必要としていることを認識しています。当社の VPN ソリューションは、必要に応じて、安全性を確保したり、柔軟性を確保したりするようにカスタマイズすることができます。重要なのは、お客様の企業のニーズ(現在および将来のニーズ)を満たすためにVPNソリューションを提供し、お客様のビジネスのニーズに適したVPNソリューションを設計して展開するために必要なすべての製品とサービスを提供することです。

セキュリティ

オープンな IETF 標準のセキュリティ技術であるIPSecをVPN ソリューションに不可欠な要素として使用しています。IPSecは、通信スタックの IP 層ですべてのデータを暗号化ベースで保護します。IPSecは、既存のアプリケーションに変更を加えることなく、透過的に安全な通信を提供します。IPSecは、IPv4IPv6の両方の環境で使用するためのIETFが選んだ業界標準のネットワークセキュリティフレームワークです。

IPSecは、堅牢な暗号技術を用いて3つの方法でデータトラフィックを保護します。

  • 認証:ホストまたはエンドポイントの身元が確認されるプロセス
  • 完全性チェック:ネットワーク上を移動中にデータに変更が加えられていないことを確認するプロセス
  • 暗号化:プライバシーを確保するために、ネットワーク上を移動中に情報を「隠す」プロセス

さらに、以下で説明するように、IPSecは、すべての主要なVPNビジネスシナリオのセキュリティ要件に対応することができ、VPNの拡張とセキュリティ要件の変更をカバーする成長経路を提供します。1997年、IETFセキュリティワーキンググループは、鍵配布プロトコル(オークリー)と組み合わせた自動化されたインターネットセキュリティアソシエーションおよび鍵管理プロトコル(ISAKMP)機能を提供するIPSec拡張の初期作業を完了しました。このソリューションには、必要な保護度を達成するためにセキュリティアソシエーションをネゴシエートするメカニズム(自動化されたトンネル設定を可能にする)と、強力な暗号鍵の自動化された安全な配布と更新のメカニズムの両方が含まれています。

1998年4月のIETF 会議で、IPSecワーキンググループは、基本的な IPSec文書のすべてを「提案された標準」に進めることに合意しました。IPSec の基本機能 (認証、暗号化、完全性、鍵管理、セキュリティアソシエーション管理) についての作業を完了した IPSec ワーキンググループは、現在、基本セットを補完するための新しいプロトコルの開発に注意を向けることになります。例えば、VPNポリシーデータベース、ISAKMP/Oakley と併用するための拡張認証方法、複数の認証局間での相互運用性など、使いやすさの問題を検討します。

IPSec は、通信スタックの他のレイヤーに既に存在するセキュリティ・プロトコルと組み合わせて使用することもできます。現在、セキュア電子トランザクション・プロトコル (SET)、セキュア・ソケット・レイヤー (SSL)、および IPSec ベースの VPN ソリューションに組み込むことができる他のさまざまなセキュリティ技術をサポートしています。SET などのオブジェクト・レイヤー・セキュリティを使用してインターネット上の電子決済トランザクションを保護し、SSL 技術を使用して特定のアプリケーションを保護することができます。しかし、SSL などのアプリケーションレベルのセキュリティが実装されているかどうかに関わらず、IPSec は認証済みで暗号化されたトンネルを提供し、お客様のすべての IP トラフィックを保護することができます。

IPSec は、リモートアクセスのダイヤルアップ構成で使用されるレイヤ 2 トンネリングプロトコル (L2TP) のような他のトンネリングプロトコルと組み合わせて、堅牢なセキュリティを提供することもできます。L2TPはIETFの標準規格でもあり、PPPを使用してクライアントからダイヤルアップ接続を確立する機能を持っています。また、L2TPは、NetBIOSのようなマルチプロトコルのトラフィックを運ぶために使用することができます。しかし、L2TPは強力なセキュリティ特性を欠いている。そこで、「Securing L2TP using IPSEC」と題された1998年3月のIETF草案では、トンネル認証、プライバシー保護、完全性チェック、リプレイ保護を提供するために、L2TPがIPSecをどのように利用できるかが議論されています。IPSec をL2TP と組み合わせて使用すると、暗号的に強力なアクセス制御が提供されます。IPSecは、送信される各パケットに対して認証、完全性チェック、暗号化を提供します。また、自動化されたキー管理機能も提供し、ターゲット・サーバーに至るまでデータを保護することができます。ここでは、VPNソリューションの実装に適した 3 つのビジネス・シナリオを見ていきます。

取引先・仕入先ネットワーク

業界をリードする企業は、取引先、子会社、ベンダーと安価かつ安全に通信できる企業となる。多くの企業は、このような通信を実現するために、フレームリレーの導入や専用線の購入を選択しています。しかし、これにはコストがかかることが多く、地理的な範囲が限られている場合があります。VPN技術は、インターネットやその他の公共ネットワークを利用して、世界中をカバーするプライベートで費用対効果の高い拡張企業ネットワークを構築するための代替手段を提供します。

あなたがメーカーへの主要な部品サプライヤーであるとします。それはあなたが製造会社によって必要とされる正確な時間に特定の部品と量を持っていることが重要であるため、あなたは常にメーカーの在庫状況と生産スケジュールを認識する必要があります。おそらく、あなたは今日、手動でこの相互作用を処理しており、それは時間がかかる高価な、そして多分不正確であることが判明している。もっと簡単に、より速く、より効果的なコミュニケーションの方法を見つけたいと思っています。しかし、この情報の機密性と時間的な機密性を考えると、メーカーはこのデータを企業のウェブページで公開したり、外部レポートで毎月配布したりすることを望んでいません。

これらの問題を解決するために、部品サプライヤとメーカーは、VPNを実装することができます。VPNは、部品サプライヤのイントラネット内にあるクライアントのワークステーション間で、直接メーカーのイントラネット内に存在するサーバーに構築することができます。クライアントは、メーカーのイントラネットを保護するファイアウォールに対して、メーカーのサーバーに対して直接認証を行うことができます(「彼らは彼らが言っている通りの人物である」ということを確認する)、またはセキュリティポリシーに応じてその両方に対して認証を行うことができます。その後、トンネルが確立され、クライアントからインターネットを経由して必要なサーバへのすべてのデータパケットを暗号化することができます。

このVPNの確立により、部品サプライヤーは、昼夜を問わずいつでもメーカーの在庫計画や生産スケジュールへのグローバルなオンラインアクセスが可能となり、手作業によるミスを最小限に抑え、このコミュニケーションのための追加リソースの必要性を排除することができます。さらに、メーカーは、データが安全かつ容易に利用できるのは、意図された部品サプライヤーのみであることを保証することができます。

このシナリオを実現する方法の一つは、企業がISPからインターネット・アクセスを購入することである。そして、インターネットのセキュリティが不十分であることを考慮して、イントラネットを侵入者から保護するために、ファイアウォール機能を備えたサーバーを必要に応じて導入することができます。エンド・ツー・エンドの保護が必要な場合は、クライアント・マシンとサーバー・マシンの両方を IPSec 対応にする必要があります。

この VPN 技術を導入することで、メーカーは、既存の企業イントラネットの範囲を拡張して、1 つ以上の部品サプライヤーを含めることが簡単にでき、本質的に拡張された企業ネットワークを構築しながら、インターネットをバックボーンとして使用することで費用対効果の高い利点を享受することができます。また、オープン IPSec 技術の柔軟性により、このメーカーはより多くの外部サプライヤーを取り込むことができます。

しかし、ネットワークの拡張には管理性の問題がつきものです。ネットワークを維持しやすくするためのツールを実装する必要があります。VPNソリューションに含まれる管理機能には、ポリシー管理、自動化された ISAKMP/Oakley 鍵管理機能、証明書管理、セキュアなドメイン・ネーム・サーバ (DNS) および LDAP (Lightweight Directory Access Protocol) のサポートがあります。VPNを実装する際には、一連のセキュリティ構成基準を確立する必要があります。IPSec 対応の各ボックスでどのセキュリティアルゴリズムを使用するか、鍵をいつ更新するかは、ポリシー管理のすべての側面で決定されます。また、「鍵」技術に関しては、現在普及しているセキュリティプロトコルのほとんどすべてが公開鍵暗号方式を使用しています。各ユーザには一意の公開鍵が割り当てられます。デジタル署名の形をした証明書は、自分の身元と暗号化キーの真正性を検証します。これらの証明書は、セキュアドメインネームサーバ(セキュアDNS)などの公開鍵データベースに保存され、軽量ディレクトリアクセスプロトコル(LDAP)などの単純なプロトコルを介してアクセスすることができます。

これらすべての VPN管理ツールを、お客様の既存および将来のネットワーク環境のニーズに合わせて簡単に導入できる eNetwork VPN ソリューションに組み込んでいきます。ネットワーキングおよびセキュリティの専門家との相談により、お客様の企業のニーズに最も適した VPN ソリューションを確立することができます。もっとも、昨今ではゼロトラストネットワークアーキテクチャを用いる事で、VPNを無くすというアプローチも広まっているので、VPNを中心にただしそれに留まらず様々なサービスを検討するのが良いでしょう。

拠点間接続ネットワーク

支店シナリオは、ビジネス・パートナー/サプライヤー・ネットワーク・シナリオとは異なり、組織内の信頼できる2つのイントラネットを安全に接続します。この点が重要な違いで、セキュリティの焦点は、外部からの侵入者から会社のイントラネットを保護することと、会社のデータが公共のインターネット上を流れる間に安全を確保することの両方にあるからです。これは、ビジネス・パートナー/サプライヤー・ネットワークとは異なり、ビジネス・パートナー/サプライヤーが企業のイントラネット内のデータにアクセスできるようにすることに重点が置かれています。

例えば、ある企業の本社が、自社の支店との通信や支店間の通信で発生するコストを最小限に抑えたいと考えているとします。現在は、フレームリレーや専用線を使用しているかもしれませんが、より安価で、より安全で、グローバルにアクセス可能な、社内の機密データを送信するための他のオプションを検討したいと考えています。インターネットを利用することで、支店間接続VPNを簡単に構築することができ、企業のニーズを満たすことができます。

本社と支店間の VPN 接続を実装する方法の 1 つは、企業がISPからインターネット・アクセスを購入することです。ファイアウォール(ファイアウォール機能を統合したルーター)を各イントラネットの境界に設置して、インターネット・ハッカーから企業のトラフィックを保護します。このシナリオでは、IPSec 対応のファイアウォール(またはルーター)が必要なデータパケットの認証と暗号化を提供するため、クライアントとサーバーは IPSec テクノロジーをサポートする必要がありません。このアプローチでは、インベントリと価格情報は、ファイアウォールが潜在的な攻撃者へのアクセスを拒否することで、信頼されていないインターネット・ユーザーから隠されることになります。また、前述のVPNビジネス・パートナー/サプライヤー・ネットワーク・シナリオで説明したように、VPN管理機能を使用して、VPN支社接続ネットワークを管理することもできます。

支店接続VPNを構築することで、企業本社は、ローカルな場所にあっても、数マイル離れた場所にあっても、支店と安全かつコスト効率よく通信することができるようになります。また、VPN技術により、各支店は既存のイントラネットを拡張して他の支店のイントラネットを取り込むことができ、拡張された企業全体のネットワークを構築することができます。また、ビジネス・パートナー/サプライヤー・ネットワークのシナリオと同様に、この企業は、新たに作成された環境を、ビジネス・パートナー、サプライヤー、リモート・ユーザーにも簡単に拡張することができます(オープンな IPSec 技術を使用しています)。

リモートアクセスネットワーク

リモートユーザーは、自宅でも外出先でも、会社のイントラネットに戻って安全かつ費用対効果の高い通信ができることを望んでいます。多くの人が高価な長距離電話やフリーダイヤルの電話番号を使用していますが、インターネットを利用することで、このコストを大幅に削減することができます。例えば、自宅や外出先で、イントラネット内のサーバーに機密ファイルが必要になったとします。ISPへのダイアルイン接続という形でインターネットアクセスを取得することで、イントラネット内のサーバーと通信し、必要なファイルにアクセスすることができます。

このシナリオを実装する方法の 1 つは、VPN IPSec対応のリモートクライアントとファイアウォールを使用することです。クライアントは、ISPへのダイヤルアップ経由でインターネットにアクセスし、イントラネットの境界にあるファイアウォールとの間で認証された暗号化されたトンネルを確立します。リモートクライアントとファイアウォールの間に IPSec認証を適用することで、不要な悪意のあるIPパケットからイントラネットを保護することができます。また、リモートホストとファイアウォール間を流れるトラフィックを暗号化することで、部外者による情報の盗聴を防ぐことができます。

要約

VPNソリューションは、お客様の IT 資産をウェブ・テクノロジーにリンクして、安全なビジネス・ソリューションを構築できる機能を提供します。VPNソリューションの実装により、ネットワーク、アプリケーション、およびデータの到達範囲をコスト効率よく拡張することができます。ビジネス・パートナーやサプライヤー、リモート・ブランチ・オフィス、リモート・ユーザーを簡単に取り込むことができます。コミュニケーションの改善とビジネス・プロセスの強化を可能にします。高価な専用線、ダイヤルアップ回線、またはフリーダイヤル電話番号の代わりに、インターネットまたはその他のパブリック・ネットワークを利用し、VPN管理機能を使用してVPNのメンテナンス・コストを最小限に抑えることで、ビジネス・コストを削減することができます。

SNSでもご購読できます。

コメントを残す

*