セキュリティとアクセシビリティを両立する Nokia Secure Access System 3.0の実力

　ノキアといえば、携帯端末のメーカーとして名を知られている北欧最大のIT企業だ。日本でも第3世代（3G）携帯電話「Nokia 6650」や「Nokia 7600」を発売した。これらに代表されるように「スタイリッシュな携帯電話メーカー」といったイメージの強いノキアだが、ファイアウォールやSSL VPNといったセキュリティアプライアンスにも注力している。

　今回紹介する「Nokia Secure Access System」は、外出先に持ち出したノートPCやワイヤレス機器、インターネットカフェの端末などから、イントラネットや企業内のIPアプリケーションにアクセスできるSSL VPNソリューションだ。ノキアエンタープライズソリューションプロダクトマーケティング・マネージャのジョン・ユン（John Yun）氏は「アクセシビリティとセキュリティといったトレードオフの関係にある課題を両立させることに成功した」と語る。

　Nokia Secure Access Systemは、2003年12月の日本語版発売以降、日本において100セット近くの販売実績を持っている。JENSがASP型のSSL VPNマネージド・サービスとして採用したり、東北大学の電気通信研究所のリモートアクセスインフラを構築したりしている。

　採用の決め手となったのは、他社のSSL VPNアプライアンスに先駆けて実装されているセキュリティ機能の充実だった。「クライアント・インテグリティ・スキャン」機能は、クライアント端末をネットワークに接続する時に、オープンTCPポートや潜在的に危険なファイルの有無といった脆弱性をチェックする機能だ。また、ウイルス対策ソフトのパターンファイルが最新のものであるかのチェックや、パーソナルファイアウォールの稼動状況なども把握する。これらのチェックをクリアしないとネットワークに接続させないのだ。現在では他社製品にも同様の技術が実装されたが、この技術を最初に取り入れたのはノキアだった。

　また、「アドバンスド・アクセス・コントロール」機能では、ユーザーごと、もしくはデバイスごとのセキュリティ設定に基づいて自動的にアクセス権を制御する。このため、企業が設定したセキュリティポリシーを厳格に適用することが可能だ。

　もちろんセキュリティだけでなくアクセシビリティにおける性能も高い。「ハイ・アベイラビリティモード」では、システムに何らかの障害が発生した場合でも即座にバックアップシステムに切り替えられるような構成を取れる。「セッション・パーシステンス」機能では、SSLセッションがタイムアウトして切断されてしまっても、作業中のデータを失うことなく復元できる。

　2004年11月、全世界同時でNokia Secure Access Systemのバージョン3.0がリリースされた。目玉となるのは新機能「Secure Connector」だ。Secure Connectorクライアントは、Nokia Secure Access Systemゲートウェイからダウンロードすることが可能で、アプレットやWebプラグインを必要としない。対応OSは、Windows NT4／2000／XPとなっている。

　まず、これまで苦手としてきたビジネスアプリケーションにも対応する。残念ながら従来のバージョンでは、他社製品と比べると限られたアプリケーションしかサポートできなかったが、バージョン3.0からは仮想的にすべてのIPアプリケーションをサポートすることになった。これにより、独特な要件を持つWebベースのアプリケーション、ダイナミックポートやUDPトラフィックを利用するアプリケーションにも対応できる。

　また、ウイルス対策機能も強化された。すでに言及したクライアント・インテグリティ・スキャン機能では、ユーザーが利用しているウイルス対策ソフトの稼働状況をチェックするものであったが、Secure Connectorではリアルタイムにウイルスをモニタリングする。万が一、ネットワーク上にウイルスが発見された場合には、そのセッションに関わるすべてのトラフィックを中断して自動的に検疫処理を実行する。このため、ウイルスの拡散を未然に防ぐことができる。

　さらにスプリットトンネリングの制御機能も追加される。この機能により、リモートデバイスとの間で発生するやり取りのすべてをエンタープライズネットワークを介して行うことができる。この機能は必要に応じてオン／オフの切り替えが可能だ。

　そして、他社に先駆けて提供するのが暗号化されたデータをローカル環境に保存する機能だ。機密情報のローカル環境への持ち出しは業務を遂行するうえで便利ではあるが、不正アクセスやデバイスの盗難といった危険があるため敬遠されているのが実情だ。むしろ、セキュリティポリシーなどで禁止されていることが多い。

暗号化された仮想ドライブ（X）

　この利便性とセキュリティという相反する問題を解決するために、Secure Connectorではダウンロードしたデータを保管するための専用仮想ドライブを提供する。この仮想ドライブは192ビットAES標準で暗号化されたうえ、SSL VPNゲートウェイとセッションを張っている時にしか参照できない（復号できない）。クライアントPCがスタンドアロン状態になっている場合は、この仮想化されたドライブそのものが不可視の状態になっているため、万が一盗難に遭ったとしても機密情報の流出につながらない。

　ノキアの目指しているSSL VPNとはセキュリティの高さも重要ながら、ユビキタス環境の実現も視野に入れている。現状、社内ネットワークへのアクセスは企業から貸与される端末からの接続しか許可していない。本来のVPNのゴールとは、そのような制約を取り払い、自宅のPCやインターネットカフェの端末などからもアクセスできるものだ。この結果、ビジネスの継続性や生産性を向上することができる。

　このユビキタス環境を実現するために投入された技術が「Secure Workspace」だ。この機能は、バージョン3.0に先行して2004年9月から既に提供されている（バージョン2.1）。

　Secure Workspaceは、デスクトップPC、ノートPC、一般的なキオスク端末などのリモートデバイス上に、クライアントレスで個別の仮想的な作業環境を作成する。ログアウト時には、ログインセッションに関するデータを削除するだけでなく、削除したデータを復元されないようにデータの上書きも行う。削除されるデータは、Webブラウザのキャッシュファイル、クッキー、履歴、ブックマークなど。新たに作成されたキャッシュやクッキーのみを削除することもできる。もちろん、意図しないシャットダウンにあっても、再起動後にデータの削除は確実に行われる。

　この仮想的に作成された作業環境では、社内ネットワーク内からのデータのコピー＆ペースト、社内ネットワーク内へのデータのコピー＆ペーストを禁止する設定や、Alt-Tab機能を禁止する設定が可能だ。Alt-Tab機能の無効化は、Secure Workspace以外のアプリケーションを起動し機密データを持ち出すことに対する予防となる。また、印刷に関しても禁止設定が可能だ。これらの機能は、他社SSL VPN製品には実装されてないノキアオリジナルのセキュリティ機能だ。

　Secure Workspaceを使えば、データの機密性を保持したまま、ユーザーが社外から社内ネットワークにアクセスすることが可能だ。しかも、ユーザーへの特別なセキュリティ教育は必要ない。非常にコストパフォーマンスに優れた機能だといえる。

　Nokia Secure Access Systemで利用できるアプライアンス製品は、ノキアIPセキュリティシリーズのIP130、IP350、IP380、IP1260の4種類。IP130は小規模オフィスを対象にした製品、10ユーザーライセンスで59万8000円となっている。また、IP350やIP380は中規模オフィスを対象としている。IP1260は大企業やサービスプロバイダでの利用を想定しており、1200ユーザーライセンスまで対応できる。

(上から）IP130、IP350、IP380、IP1260

　これら4製品を支えているのがセキュリティ機能を強化したOS「IPSO」だ。IPSOはノキアの独自OSで、ノキアIPセキュリティシリーズに搭載されている。ノキアIPセキュリティシリーズは、チェック・ポイントのファイアウォール／VPNソフトウェアを搭載したアプライアンス製品として1997年に発売されて以来高いマーケットシェアを持っているが、このプラットフォームにノキアの独自SSL-VPNソフトウェアを搭載すると、Nokia Secure Access Sytemになるというわけだ。なおチェック・ポイントのファイアウォール／VPNソフトウェアとノキアのSSL-VPNソフトウェアを同時に搭載することはできない。

　IPSOはセキュリティ製品用に最適化された脆弱性が極めて少ないOSで、ルーティング機能を統合している。 最新バージョンは3.8で、セキュリティの強化だけでなくアドバンス・ルーティング、高可用性、コア・クラスタリングといった機能も統合している。

　以上、ノキアがいかにセキュリティに特化したネットワーク製品を提供しているか、お分かりいただけただろうか？