事例に学ぶ「FirePass」の実力〜大阪・名古屋会場編

　F5ネットワークスが主催する技術セミナー「F5 Tech Tour 2005」は、2月15日のガーデンシティクラブ大阪会場、17日の名古屋クレストンホテル会場でも好評だった。

　大阪および名古屋会場では、主にSSL-VPN製品の「FirePass」の導入事例の紹介が行われた。はたしてユーザーやSIerの目から見て、ほかのSSL-VPN製品と比べFirePassはどういった点が優れていると評価されたのか。東京でのセミナーではあまりFirePassの具体的な事例については紹介されなかったため、ここで補足する形でその内容をご紹介したい。

　まず大阪では、インターネットプロバイダ「SANNET」の運営などで知られるNTTデータ三洋システムの浜田明宏氏が壇上に立った。同社では2004年12月より提供を開始した法人向けサービス「マネージドSSL-VPNプラス」において、FirePassをそのゲートウェイ機器として採用した。数あるSSL-VPN機器の中でなぜFirePassを採用したのかという疑問に対し、浜田氏は大きく2つの理由を挙げた。

　1つ目の理由が「TCP／IPアプリケーションが何でも使える」という点。元々SSL自体がWebアクセスにおける暗号化などのセキュリティ保護のために作られたプロトコルということから、Webアプリケーション以外のソフトウェア（グループウェア、従来のクライアント／サーバシステムなど）との相性に問題を抱えるSSL-VPN機器が多いことはよく知られている。

　実際に同社が複数のSSL-VPN製品を評価したところ、「TCP／IPアプリケーションに対する透過的なアクセスが可能なのはFirePassともう1社の製品のみだった。しかし、もう1社の製品ではその部分の機能がオプションとなっているのに対し、FirePassでは『ネットワークアクセス機能（VPNコネクタ）』としてその機能が標準装備されている」という結論に至った。

　もう1つの大きな理由が「さまざまな認証方式との組み合わせに実績がある」という点だ。同社では同サービスでFirePassと組み合わせる認証方式として、ファルコンシステムコンサルティングが開発した「WisePoint」というマトリクス認証型のワンタイムパスワードを採用している。前述したもう1社の製品は外部の認証製品との連携に独自プロトコルを使用しているため利用できる認証製品に制限があるのに対し、FirePassはRADIUS認証などの汎用プロトコルが利用でき、WisePointとの連携についても既に実績があった。そのためFirePass自体が持つID・パスワード認証とWisePointを組み合わせることで、容易に二要素認証を実現することが可能になった。

大阪会場でもデモコーナーは好評だった

　この2点に加え、製品ロードマップが明示されておりクライアントセキュリティが強化される予定があったこと（これはFirePass 5.4で実現済み）なども決め手となり新サービス「マネージドSSL-VPNプラス」においてもFirePassを全面的に採用することとなった。

　同社ではFirePassによる透過的なTCP／IPアプリケーションの利用、WisePointによるマトリクスコード認証に加え、ウイルス対策ゲートウェイとしてFortiGateを採用している。他社の同種のサービスに比べはるかに高いレベルでネットワーク利用の柔軟性とセキュリティを両立させたSSL-VPNサービスを提供できるとして、その優位性を参加者に訴えていた。

　このほか大阪会場では、F5製品の一次代理店であるネクストコムにより提案事例が紹介された。また、同社のデモサイトを使用したデモも好評だった。

　名古屋ではF5製品の一次代理店である東京エレクトロンより、FirePassのデモンストレーションとホンダ系の樹脂・ゴム部品メーカーであるクミ化成におけるFirePassの導入事例が紹介された。

東京エレクトロンによる事例紹介

　クミ化成でもやはり大きなポイントとなったのは「アプリケーションシームレスな環境構築」だと講演者斎藤氏は語る。クミ化成ではLotus Notesを始めとするTCP／IPネイティブなクライアント／サーバアプリケーションが社内で多数利用されているとのことで、一般的なSSL-VPN製品ではそれらのアプリケーションを利用するためには、個々のクライアント端末に専用のVPNソフトをインストールする必要がある。クミ化成からは「専用ソフトを利用する方式はインストールの手間がかかるほか、教育などの手間もバカにならないため、できれば専用ソフトはインストールしたくない」との強い要望があったそうで、そこでFirePassの「専用ソフトなしに透過的なTCP／IPアプリケーションの利用が可能」という特徴が大きくクローズアップされた。

　それ以外にも、自社の特許技術などを中心とする営業機密を守るために、USBキーに証明書をインポートしてその証明書なしでは接続できないようにしたり、アクセスログを詳細に記録したりといった要求があった。また、日本語などのマルチバイト文字への対応、UIの日本語化などについても希望があった。このような要求に対してFirePassは問題なく対応でき、しかも価格面でも低価格（同社の要求は最もローエンドの機種でも対応が可能だった）ということが決め手となり、FirePassの導入が決まった。

　FirePassは2004年4月に同社のデータセンターに導入され、全国9カ所にある同社のNotesサーバと連携する形で現在稼動を続けているとのことで、導入後の同社における評判も上々だという。