アットマーク・アイティ @IT@IT自分戦略研究所QA@ITイベントカレンダー+ログ
2004年5月20日(木)
14:00〜17:00
東京・品川
参加無料
 @IT > SSL VPN環境構築テクニカルセミナー
 
@IT[FYI] 企画・制作:アットマーク・アイティ 営業企画局
制作:アットマーク・アイティ 編集局
掲載内容有効期限:2004年4月16日

 


 特殊なクライアントソフトウェア不要で管理しやすいVPN(仮想プライベートネットワーク)ソリューションとして注目を浴びているSSL-VPN技術。「BIG-IP」シリーズを擁するネットワークサーバアプライアンスのトップベンダ、F5 ネットワークスジャパンが、同社SSL-VPNサーバ「FirePass」シリーズを解説するセミナーを2004年2月24日に開催した。
 SSL-VPN製品への注目度が高まるなか、日本語化対応やサポート体制などで他社をリードするFirePass製品とあって、定員150名の会場は超満員となった。参加者に管理職と見受けられる方が多かったのも、現実的な導入計画をにらんだ受講と見ていいだろう。
 セミナーはFirePassの製品紹介に始まり、SSL-VPNの技術的背景、「SECUREMATRIX」と連携したユーザー認証ソリューション、FirePassの導入・運用事例の4セッションで執り行われた。


  「FirePass」リモートアクセスコントローラ製品紹介

 1. SSL VPNについて 
 2. F5のSSL VPNソリューション

F5ネットワークスジャパン株式会社 チャネルセールスマネージャ 加藤俊之氏
  F5 ネットワークスジャパン・チャネルセールスマネージャの加藤俊之氏が担当した製品紹介では、VPN市場の背景とFirePassの製品紹介が行われた。

 ご存じのように今日、SSL-VPN市場は急速に伸びている。インターネット環境の整備はもちろん、モバイルコンピュータの一般化などにより、VPN接続ユーザーの裾野が広がってきているためだろう。SSL-VPNはSSLセッションを用いてVPNを構築するため、インターネットに対してオープンするポートを増やさずに、社内システムへのリモート接続を可能にする。「エンドユーザー向けのVPNソリューションは、従来のIPsecを用いた手法からSSL-VPNへと急速に移り変わっている」と加藤氏。SSL-VPN市場は2006年までに9億ドルを超える市場になるという調査結果もある。

 SSL-VPNはWebブラウザだけで社内情報にアクセス可能で、特別なソフトウェアのインストールも不要。さらにユーザーごとに提供する機能を細かく制御できるため、管理コストを増大させずにVPNユーザーを増やすことが可能になる。これにより「ユーザーとネットワークの結びつきを強め、ビジネスチャンスを高めることが可能(加藤氏)」だ。

 F5は製品ラインを強化し、トータルのソリューションを提供するためにSSL-VPNベンダーのuRoamを買収し、自社ブランドとして発売を開始したのがFirePassシリーズである。

 FirePassは2シリーズ7モデルから構成され、小中規模ユーザー向けの「FirePass 1000」、大手企業やネットワーク事業者向けの「FirePass 4000」で構成される。それぞれ同時アクセスユーザーが最大100ユーザーと1000ユーザー。前者はSSL-VPN構築に必要な最低限のモジュールを、後者は大規模なSSL-VPNシステムを構築するために必要なモジュールが含まれている。

FirePass 4000シリーズ
2Uの筐体、 最大同時接続1000ユーザー、 エンタープライズ用途に最適な豊富な機能を標準搭載、 冗長化・クラスタリング(最大10000同時接続)にも対応

 加藤氏は「SSL-VPN製品の多くは標準で必要な機能を持っておらず、オプション追加が必須。当社は購入したパッケージだけでシステムを構築可能にした」と話す。また、障害対策用のバックアップサーバには安価な専用品を用意し、ローコストに冗長構成を取ることが可能だ。またFirePass 4000に関してはクラスタ構成を取ることも可能で、最大10000ユーザーまでの同時アクセスもサポート。その際の集中管理機能も備えている。

 さらにWebブラウザのみで社内情報にアクセスするだけでなく、ActiveXコントロールを用い、すべてのTCP/IPトラフィックをSSL-VPN経由で通すことも可能。またPDAや携帯電話(i-modeなど)に最適化されるようにポータル画面やメールの本文を自動的にフォーマットすることで、これらの端末からのアクセスを可能にする独自のモバイル機能も備えている。

 加藤氏は「競合製品は数多いが、機能/性能、価格、ソリューション、チャネル実績、ブランド。いずれも当社の製品が上回っている」と胸を張った。

  インターネットVPN構築 技術情報

 1. IPsecからSSL VPNへ 
 2. FirePassで提供される機能

F5ネットワークスジャパン株式会社  エンジニアリングマネージャー 草薙伸氏

 SSL-VPNを取り巻く状況について、業界全体を俯瞰できる情報を示したのが、F5 ネットワークスジャパン・エンジニアリングマネージャ、草薙伸氏だ。

 草薙氏は「LAN間の接続には、これからもIPsec VPNが主流であり続ける。しかしエンドユーザー向けの社内システムへのアクセスは、SSL-VPNに置き換わっていくだろう」と予想する。

 IPsec VPNもSSL-VPNも、暗号化されたトンネルを使い、公衆通信網内に仮想的なプライベートネットワークを構築するという点ではまったく同じだ。LAN間接続では透過的にネットワークがつながれた専用線通信と同様の使い勝手が必要でありIPsecの方が向いている。しかしIPsecはNATとの相性が悪く、NAT-Traversalを使わなければ家庭向けブロードバンドルータやホテル、ホットスポットなどで使えない。ところが、そのようなアクセス環境はほとんど存在していないというのが現状だ。

 IPsec VPNの非互換性も使いにくさを助長している。IPsec VPNは製品による仕様の細かな違いなどから、専用クライアントソフトウェア以外からの接続が行えないものが多数ある。ところが、Windowsの仕様上の制限からIPsecクライアントはシステム上に1つしか存在できない。このため、導入時にはさまざまな利用ケースにおける相互運用について、十分に留意する必要がでてくる。

 草薙氏は「IPsec VPNの長所は完全にトランスペアレントにIPネットワークに接続し、すべてのアプリケーションを利用できることだ。しかし、クライアントのインストールが必要で、システムごとの完全な互換性がない。しかも接続にはUDPが必要なため、UDPポートからのアクセスを許可していないところが1個所でも経路上に存在すると接続が行えないなどの問題がある」と指摘。

 しかし、WebブラウザからのSSLアクセス、即ちHTTPSアクセスは完全な互換性が保証されている。SSL-VPNならば、専用クライアントのインストールや互換性を意識する必要がない。「HTTPSでいかに多くのアプリケーションを、Webブラウザ上に実現するかがポイント。可能な限り多くのアプリケーションを動作させる。例えば、FirePassのマイデスクトップ機能では、デスクトップ環境をリモート操作可能になるほか、Webブラウザ経由でOutlookの情報にアクセス可能だ。

ターミナルサービス
WebブラウザからリモートのWindows OSにSSL-VPN経由でアクセスしている

 またFirePassの特徴でもある、IPsecと同様にリモートでLANに直接参加する機能についても解説した。「この機能はPPP over SSLによって、クライアント上にバーチャルアダプタを作ることで実現している。IPトラフィックをカプセル化し、SSLのデータフレームの中に収めてしまうものだ。ActiveXコントロールを使っているため、現時点ではWindows環境しかサポートしていないが、LinuxとMacを次のバージョンでサポートする。Windows CE、.NETへの対応予定もある(草薙氏)」という。

 草薙氏はSSL-VPNについて「PPP over SSLを用いればアプリケーションの制限もなく、応用範囲は広い」としたが「TCPの中にカプセル化したパケットを入れるため、IPsecに比べ低速だが、クライアントからの利用ならば大量のトラフィックは発生しない。サーバ側の仕掛けが複雑なことも短所だが、当社はサポート体制と品質への強い自信がある」と話す。逆にメリットは大きい。

「ブラウザさえあれば、どんな場所からでも社内システムの情報にアクセスできる。リモートアクセスに対して、どんなアプリケーションでも、どこでも、どのユーザーでも、セキュアに簡単に利用でき、容易に既存システムに統合できる」

 そう草薙氏は話を締めくくった。

  SSL VPNの認証ソリューション

 SECUREMATRIXとFirePassの連携によるSSL VPN認証ソリューション

株式会社シー・エス・イー 
プロダクツ販売事業部
プロダクツ販売部 次長 
伊東雅博氏

 リモートアクセスにおけるユーザー認証は、セキュリティを確保するうえで最も重要なポイントとなる。FirePassはユーザー認証において、マトリクス認証をサポートするSECUREMATRIXとの連携が行える。FirePassで利用可能なSECUREMATRIXの連携について、シー・エス・イーのプロダクツ販売部次長伊東雅博氏が講演を行った。

 従来、ユーザー認証には専用トークンまたはソフトウェアを必要とするトークン型、端末に対する電子証明書発行とパスワードを組み合わせたクライアント証明書型が使われてきた。しかし前者は機器の破損や紛失、不正譲渡などの問題があり、後者は端末そのものを盗まれた場合のセキュリティが確保できないといった問題がある。

 これに対し、SECUREMATRIXは専用機器やソフトウェアの導入が不要で、なおかつセキュアな認証システムを提供する。画面上に表示される数字の配列(マトリクス表)から、ある決まった順番に数字を抜き取ることでパスワードを生成する。マトリクス表はログインするたびに変化するため、入力パスワードはワンタイムとなる。

SECUREMATRIXのパスワード入力画面
自分が覚えているイメージに沿って、毎回異なる数字の配列からパスワードを抽出する

 先に紹介したようにFirePassは専用クライアントなしで利用可能なVPNソリューションであり、携帯電話やPDAもサポート。これに対してSECUREMATRIXも、同様にクライアントレスでワンタイムパスワードを実現し、i-modeとPDAをサポートしている。つまり両者は非常に相性がよい組み合わせといえるだろう。

 F5とシー・エス・イーは両製品のRADIUSプロトコルによる連携をサポートし、今後はさらにSECUREMATRIXを用いたシングルサインオン連携の実現に向けた協業も進めている。これは、SECUREMATRIXのログイン画面から認証を行うと、従来必要だったFirePassのログイン画面を経由せず、直接FirePassのログイン完了画面に遷移するもので、よりユーザーフレンドリーな操作が実現する。

  『FirePass』による構築・運用例の紹介

 大手レストランチェーンにおける課題とソリューション

株式会社アイアイジェイテクノロジー
プロフェッショナルサービス部 日永博久氏

 最後の講演は、SIベンダーのアイアイジェイテクノロジー・プロフェッショナルサービス部、日永博久氏である。日永氏はワールドワイドで200のフランチャイズ店を抱える大手レストランチェーンを引き合いに、FirePassの導入事例を紹介した。

 この事例ではワールドワイドに広がる各店舗から、本社ポータルシステムとファイルサーバへのセキュアな接続、本社によるクライアント管理と接続管理の一元化が求められた。これだけならば珍しい事例ではないが、加えて強く要請されたのが、店舗側のネットワーク機器構成やクライアントPCに手を加えずに実現したいとの要望だった。インターネットへの接続事情も、導入機器も、地域もバラバラな店舗をまとめようというのだから、非常に重要なポイントといえる。

 そこでFirePassを導入し、SSL-VPNを用いて社内LAN内のWebポータルサーバとファイルサーバをリモートから利用可能にした。“店舗側のネットワーク機器構成やクライアントPCに手を加えずに実現したい”という要望も、クライアントレスのFirePassならば簡単に実現できる。ユーザーアカウント管理や、クライアントの接続状況モニタ機能、ブラウザの自動キャッシュクリアによるセキュリティの確保なども、ユーザーの要求にピッタリマッチしていた。

 また「導入が非常に簡単に済んでしまうため、初期コストを低く抑えられ、運用そのものも容易でトータルのコストが安い(日永氏)」ことも決め手となったようだ。また「新しいタイプの製品だけに、サポートやベンダとしての過去の実績は、SSL-VPN製品を選ぶ際の重要なファクター(日永氏)」とも語り、F5とその代理店であるNTT-MEへの信頼感を表した。

 また、休憩時間中にはロビーにてNTT-MEによるFirePassの体験デモコーナーが設置され、多くの参加者が担当者に熱心に質問する 姿が見られ、こちらも盛況だった。

ロビーの体験デモコーナーも人だかりが絶えなかった


このセミナーでご紹介している『FirePass』の製品カタログなど、 詳しい資料をご希望の方、またご質問は下記へお問い合わせください。
http://www.f5networks.co.jp/it

 

 
【主催】

F5 ネットワークスジャパン株式会社


株式会社アットマーク・アイティ

【協力】
株式会社シー・エス・イー

株式会社NTT-ME

株式会社アイアイジェイテクノロジー
@IT 関連記事&News


</comment> <tr> <td bgcolor="#EEEEEE"><font size="2"><a href="javascript:KeepIt();"> <img src="/club/keepoint/images/ico_kpt.gif" alt="kee&lt;p&gt;oint保存" border="0" align="absmiddle" width="24" height="18">kee&lt;p&gt;ointで保存</a></font></td> </tr> <comment>

 
@ITトップ@IT Special インデックス会議室利用規約プライバシーポリシーサイトマップ