Tweet

　ファイアウォール／コンテンツ・キャッシング・アプリケーションの「Internet Security and Acceleration Server 2004 Standard Edition（以下ISA Server 2004）」は、現行バージョンのISA 2000より広範なネットワーク・コンフィギュレーション・オプションをサポートし、全体的なセキュリティ、仮想プライベート・ネットワーク（VPN）サポート、管理インターフェイスが強化されている。現在ベータ段階で、出荷は2004年中ごろの予定だ。しかし、Webサービスを選択的にフィルタリングする機能はなく、Microsoftの将来戦略に極めて重要な意味を持つVoice-over-IP（VoIP）について、サポートされていないシナリオがいくつかある。

ISA Server 2000の詳細

　Microsoftはさまざまな側面からセキュリティに取り組んでいる。例えば、コードに内在する脆弱性の発見および修正、製品に含まれる不必要なサービスの削除または無効化、危険な電子メール添付ファイルの遮断、ウイルス・スキャナへの情報提供、より強固な認証手法のサポート、スパム対策、ネットワーク・データと格納データの双方での署名と暗号化のサポートなどだ。

不可欠なファイアウォール強化

　専用ネットワークとインターネットの境界警備が、セキュリティの決定的な要素の1つであることは、いまも変わらない。そこではファイアウォールが重要な役割を担う。ファイアウォールは、コーポレート・ネットワークとインターネットの間を行き来するトラフィックを監視し、一定のルールに合致するものだけを通過させるサーバやアプリケーションである。

　ISA ServerはMicrosoftの主力ファイアウォール製品だ。異機種環境の大規模組織で必要とされる機能を取り込みながら、洗練された製品へと進化してきた。

　ところが、ファイアウォールに対する要求は、それ以上に増大しつつある。コーポレート・ネットワークにアクセスするモバイル・ユーザーが増加する中、接続するマシンに何らかの不正行為が及べば、VPNにもセキュリティの脆弱性が生じる。各種のWebサービスや、Exchange Server 2003のRPC-over-HTTPのようなHTTP内部をトンネルするプロトコルは、通常のWebブラウジング・トラフィックに見えながら、アプリケーション・コードをインターネットに公開・提供する。今日のファイアウォールは、VPNと連携し、正規のHTTPと正規でないHTTPの識別が可能でなければならない。

ISA Server 2004の新機能

　Trustworthy Computing（信頼できるコンピューティング）の提唱以来、Microsoftのサーバ製品はいずれも全面的な開発サイクルに突入したが、ISA Server 2004はセキュリティの徹底的な見直しが行われた最初のバージョンだ。その結果を評価するのはまだ早いが、全面的な見直しにより、セキュリティの脆弱性はある程度削減され、パッチ適用の必要性も少なくなったはずだ。

　ISA Server 2004は、基本的に1つの例外を除き、ISA Server 2000のインクリメンタル・アップグレードとなる。例外とは、大幅なアーキテクチャ的変更が行われたマルチネットワーク・サポートである。

マルチネットワーク・サポートで柔軟性とセキュリティが改善

　ISA Server 2004は2つ以上のネットワーク・インターフェイスをフルサポートすることが可能になった。この機能は、インターネットからアクセス可能なサーバを社内ネットワークから切り離す境界ネットワーク（DMZ：非武装ゾーンとも呼ばれる）を構築するときに便利だ。DMZは2台のファイアウォールの間にインターネットからアクセス可能なサーバを置けば構築できる。だが、単独のファイアウォールの第3アダプタにDMZを接続する方が、管理が簡単で、障害発生の可能性があるポイントを減らすことができるし、コストもかからない。マルチネットワーク・サポートはまた、ファイアウォールが社内ネットワークの異なるブランチ間でデータ通信をフィルタリングする必要があるときにも役立つ。

　ISA Server 2000でも第3のネットワーク・アダプタをサポートすることは可能だが、その構成の場合、いくつか致命的な欠点がある。ISA Server 2000は専用DMZ IPアドレスとインターネット間で、ネットワーク・アドレス・トランスレーション（NAT）を実行できない。そのため、DMZサブネットはコストの高いグローバルIPアドレスを利用しなければならない。さらに、ファイアウォールのアプリケーション・レベルのプロキシやダイナミック・パケット・フィルタは、インターネットとDMZ間のトラフィックを処理、あるいはログすることさえできない。そのため、セキュリティはISA Serverの貧弱な静的パケット・フィルタで確保するほかない。インターネットとDMZの間のセキュリティは、残念ながら一般的なルータが提供する以上のものにはならない。

　一方、ISA Server 2004の新しいマルチネットワーク・サポートは、もっと柔軟で安全なものだ。各インターフェイスのネットワークを出入りするトラフィックごとに、異なるアクセス・ポリシーを適用できる。管理者はISA Server 2004のパケット・フィルタやプロキシを使って、検査ルールを設定することが可能だ。また、専用IPアドレスは複数のインターフェイス上で制限なく利用できる。特定のインターフェイスからほかのインターフェイスへデータを渡すとき、必要に応じて管理者はパケットをルーティングするか、あるいはNATを利用するか決められる。VPN経由でインターネットから接続するユーザーも、固有のアクセス・ポリシーを持つ別のインターフェイス上に存在するものとして扱われる（複数のネットワーク・インターフェイスの構成については、図「マルチネットワーク・サポート」を参照）。

マルチネットワーク・サポート

新しい管理インターフェイスを利用して、管理者はISA Server 2004のさまざまなマルチネットワーク・シナリオを設定することが可能だ。図のウィンドウは、ネットワーク・コンフィギュレーション・プロパティを示している。管理者はここで物理および仮想インターフェイスのプロパティを表示、設定することができる。

　ISA Server 2004はまた、ダイナミック・パケット・フィルタとプロキシを使って、ファイアウォール上で実行されるアプリケーションとの安全なネットワーク通信を実現する。ISA Server 2000の場合、そうしたタスクに静的パケット・フィルタしか使えなかった。ファイアウォールが実行するのは、通常、その役割に必要なサービスのみだが、いくつかのサービス、例えばバックアップ・エージェントやウイルス・スキャナなどは、より高いレベルの特権が必要で、脆弱性ポイントを生じることなくほかのサービスと通信できなければならない。ISA Server 2004が、ファイアウォール・サーバ上で主要なアプリケーション（Exchange、SQL Server、SharePoint）を実行するSmall Business Server （SBS）Premium Editionとともに出荷されるとき、こうした機能が重要になる。

高度なVPN統合

VPN実践導入講座 VPNの詳細とWindows 2000のVPN機能を利用した導入の実際

　ISA Server 2004は、Windows Serverの標準機能であるRouting and Remote Access Services（RRAS）のVPNアクセス機能と高度に統合化された。ISA Server 2000には、RRASを正しく設定し、適切なパケット・フィルタを追加して、VPN接続がファイアウォールを通過できるようにするためのウィザードが含まれている。ところが、そこから先は、ISA 2000、RRASとも独立的に動き、ISA 2000はVPN接続のログを取ることもしない。

　対照的にISA 2004は、VPNファイアウォールとの統合化をさらに進め、より厳格なセキュリティ、統合ロギング、隔離サポート、そしてより多彩なVPNトンネリング・オプションを提供している。

■ステートフルVPNインスペクション
　ISA Server 2004は、VPNクライアントからの要求をチェックし、VPNを利用するユーザー向けに定義されたアクセス・ポリシーに基づいてダイナミックに接続をオープンする。この機能によってセキュリティは強化され、自社のネットワークにインターネット接続をどのように提供するか、管理者は精細な制御が可能になる。

■統合ロギング
　ISA Server 2004では、ファイアウォールへのVPN接続がログに記録されるようになる。これによって、セキュリティ監査や接続問題に関するトラブルシューティングが容易になる。

■隔離サポート
　Windows Server 2003のRRAS機能の1つとして導入された技術をベースに、ISA Server 2004ではインバウンドVPNクライアントを「隔離」することができる。隔離されたクライアント・コンピュータは、特定のセキュリティ要求項目に合致するまで、ネットワーク上の制限領域へのアクセスが禁止される。例えば、定められたセキュリティ・パッチやアンチウイルス・ソフトウェアをインストールしていないクライアントに対して、それらのコンポーネントをインストールできるサーバ以外にアクセスできないようにすることが可能だ。クライアント・コンピュータのコンフィギュレーションが規定の制限条件をクリアすれば、初めて標準のISA Server VPNポリシーが適用される。

　ただし、隔離サポートの実装は非常に複雑で、サードパーティのソリューションを導入するか、大規模なカスタム開発と統合化が要求される。

■IPSecトンネル・モード
　ISA Server 2004はInternet Protocol Security（IPSec）を利用して、ネットワーク・ツー・ネットワークのVPNをサポートするようになる。ISA Server 2000もPPTPやL2TPを利用して、インターネット経由でリモート・オフィスのネットワークをリンクすることは可能だが、その場合は双方のエンドにISA Serverを導入しなければならなかった。新バージョンでは、サードパーティのルータやファイアウォールなど、IPSecトンネル・モードをサポートするデバイスであればどのようなものでも、ISAサーバとVPN接続を確立することができる。

INDEX
	Insider's Eye
	VPNとセキュリティを大幅強化する次世代ISA Server 2004（1）
	VPNとセキュリティを大幅強化する次世代ISA Server 2004（2）

「Insider's Eye」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）

RSSフィード