Insider's Eye

VPNとセキュリティを大幅強化する次世代ISA Server 2004

―― 機能強化でファイアウォールのメジャー・リーグ入りは間違いないが、まだ弱点もある ――

Peter Pawlak
2004/05/12
Copyright(C) 2004, Redmond Communications Inc. and Mediaselect Inc.


本記事は、(株)メディアセレクトが発行する月刊誌『Directions on Microsoft日本語版』 2004年5月15日号 p.40の「ISA Server 2004でファイアウォールを徹底強化」を、許可を得て転載したものです。同誌に関する詳しい情報は、本記事の最後に掲載しています。

 ファイアウォール/コンテンツ・キャッシング・アプリケーションの「Internet Security and Acceleration Server 2004 Standard Edition(以下ISA Server 2004)」は、現行バージョンのISA 2000より広範なネットワーク・コンフィギュレーション・オプションをサポートし、全体的なセキュリティ、仮想プライベート・ネットワーク(VPN)サポート、管理インターフェイスが強化されている。現在ベータ段階で、出荷は2004年中ごろの予定だ。しかし、Webサービスを選択的にフィルタリングする機能はなく、Microsoftの将来戦略に極めて重要な意味を持つVoice-over-IP(VoIP)について、サポートされていないシナリオがいくつかある。

ISA Server 2000の詳細

 Microsoftはさまざまな側面からセキュリティに取り組んでいる。例えば、コードに内在する脆弱性の発見および修正、製品に含まれる不必要なサービスの削除または無効化、危険な電子メール添付ファイルの遮断、ウイルス・スキャナへの情報提供、より強固な認証手法のサポート、スパム対策、ネットワーク・データと格納データの双方での署名と暗号化のサポートなどだ。

不可欠なファイアウォール強化

 専用ネットワークとインターネットの境界警備が、セキュリティの決定的な要素の1つであることは、いまも変わらない。そこではファイアウォールが重要な役割を担う。ファイアウォールは、コーポレート・ネットワークとインターネットの間を行き来するトラフィックを監視し、一定のルールに合致するものだけを通過させるサーバやアプリケーションである。

 ISA ServerはMicrosoftの主力ファイアウォール製品だ。異機種環境の大規模組織で必要とされる機能を取り込みながら、洗練された製品へと進化してきた。

 ところが、ファイアウォールに対する要求は、それ以上に増大しつつある。コーポレート・ネットワークにアクセスするモバイル・ユーザーが増加する中、接続するマシンに何らかの不正行為が及べば、VPNにもセキュリティの脆弱性が生じる。各種のWebサービスや、Exchange Server 2003のRPC-over-HTTPのようなHTTP内部をトンネルするプロトコルは、通常のWebブラウジング・トラフィックに見えながら、アプリケーション・コードをインターネットに公開・提供する。今日のファイアウォールは、VPNと連携し、正規のHTTPと正規でないHTTPの識別が可能でなければならない。

ISA Server 2004の新機能

 Trustworthy Computing(信頼できるコンピューティング)の提唱以来、Microsoftのサーバ製品はいずれも全面的な開発サイクルに突入したが、ISA Server 2004はセキュリティの徹底的な見直しが行われた最初のバージョンだ。その結果を評価するのはまだ早いが、全面的な見直しにより、セキュリティの脆弱性はある程度削減され、パッチ適用の必要性も少なくなったはずだ。

 ISA Server 2004は、基本的に1つの例外を除き、ISA Server 2000のインクリメンタル・アップグレードとなる。例外とは、大幅なアーキテクチャ的変更が行われたマルチネットワーク・サポートである。

マルチネットワーク・サポートで柔軟性とセキュリティが改善

 ISA Server 2004は2つ以上のネットワーク・インターフェイスをフルサポートすることが可能になった。この機能は、インターネットからアクセス可能なサーバを社内ネットワークから切り離す境界ネットワーク(DMZ:非武装ゾーンとも呼ばれる)を構築するときに便利だ。DMZは2台のファイアウォールの間にインターネットからアクセス可能なサーバを置けば構築できる。だが、単独のファイアウォールの第3アダプタにDMZを接続する方が、管理が簡単で、障害発生の可能性があるポイントを減らすことができるし、コストもかからない。マルチネットワーク・サポートはまた、ファイアウォールが社内ネットワークの異なるブランチ間でデータ通信をフィルタリングする必要があるときにも役立つ。

 ISA Server 2000でも第3のネットワーク・アダプタをサポートすることは可能だが、その構成の場合、いくつか致命的な欠点がある。ISA Server 2000は専用DMZ IPアドレスとインターネット間で、ネットワーク・アドレス・トランスレーション(NAT)を実行できない。そのため、DMZサブネットはコストの高いグローバルIPアドレスを利用しなければならない。さらに、ファイアウォールのアプリケーション・レベルのプロキシやダイナミック・パケット・フィルタは、インターネットとDMZ間のトラフィックを処理、あるいはログすることさえできない。そのため、セキュリティはISA Serverの貧弱な静的パケット・フィルタで確保するほかない。インターネットとDMZの間のセキュリティは、残念ながら一般的なルータが提供する以上のものにはならない。

 一方、ISA Server 2004の新しいマルチネットワーク・サポートは、もっと柔軟で安全なものだ。各インターフェイスのネットワークを出入りするトラフィックごとに、異なるアクセス・ポリシーを適用できる。管理者はISA Server 2004のパケット・フィルタやプロキシを使って、検査ルールを設定することが可能だ。また、専用IPアドレスは複数のインターフェイス上で制限なく利用できる。特定のインターフェイスからほかのインターフェイスへデータを渡すとき、必要に応じて管理者はパケットをルーティングするか、あるいはNATを利用するか決められる。VPN経由でインターネットから接続するユーザーも、固有のアクセス・ポリシーを持つ別のインターフェイス上に存在するものとして扱われる(複数のネットワーク・インターフェイスの構成については、図「マルチネットワーク・サポート」を参照)。

マルチネットワーク・サポート
新しい管理インターフェイスを利用して、管理者はISA Server 2004のさまざまなマルチネットワーク・シナリオを設定することが可能だ。図のウィンドウは、ネットワーク・コンフィギュレーション・プロパティを示している。管理者はここで物理および仮想インターフェイスのプロパティを表示、設定することができる。

 ISA Server 2004はまた、ダイナミック・パケット・フィルタとプロキシを使って、ファイアウォール上で実行されるアプリケーションとの安全なネットワーク通信を実現する。ISA Server 2000の場合、そうしたタスクに静的パケット・フィルタしか使えなかった。ファイアウォールが実行するのは、通常、その役割に必要なサービスのみだが、いくつかのサービス、例えばバックアップ・エージェントやウイルス・スキャナなどは、より高いレベルの特権が必要で、脆弱性ポイントを生じることなくほかのサービスと通信できなければならない。ISA Server 2004が、ファイアウォール・サーバ上で主要なアプリケーション(Exchange、SQL Server、SharePoint)を実行するSmall Business Server (SBS)Premium Editionとともに出荷されるとき、こうした機能が重要になる。

高度なVPN統合

VPN実践導入講座
VPNの詳細とWindows 2000のVPN機能を利用した導入の実際

 ISA Server 2004は、Windows Serverの標準機能であるRouting and Remote Access Services(RRAS)のVPNアクセス機能と高度に統合化された。ISA Server 2000には、RRASを正しく設定し、適切なパケット・フィルタを追加して、VPN接続がファイアウォールを通過できるようにするためのウィザードが含まれている。ところが、そこから先は、ISA 2000、RRASとも独立的に動き、ISA 2000はVPN接続のログを取ることもしない。

 対照的にISA 2004は、VPNファイアウォールとの統合化をさらに進め、より厳格なセキュリティ、統合ロギング、隔離サポート、そしてより多彩なVPNトンネリング・オプションを提供している。

■ステートフルVPNインスペクション
 ISA Server 2004は、VPNクライアントからの要求をチェックし、VPNを利用するユーザー向けに定義されたアクセス・ポリシーに基づいてダイナミックに接続をオープンする。この機能によってセキュリティは強化され、自社のネットワークにインターネット接続をどのように提供するか、管理者は精細な制御が可能になる。

■統合ロギング
 ISA Server 2004では、ファイアウォールへのVPN接続がログに記録されるようになる。これによって、セキュリティ監査や接続問題に関するトラブルシューティングが容易になる。

■隔離サポート
 Windows Server 2003のRRAS機能の1つとして導入された技術をベースに、ISA Server 2004ではインバウンドVPNクライアントを「隔離」することができる。隔離されたクライアント・コンピュータは、特定のセキュリティ要求項目に合致するまで、ネットワーク上の制限領域へのアクセスが禁止される。例えば、定められたセキュリティ・パッチやアンチウイルス・ソフトウェアをインストールしていないクライアントに対して、それらのコンポーネントをインストールできるサーバ以外にアクセスできないようにすることが可能だ。クライアント・コンピュータのコンフィギュレーションが規定の制限条件をクリアすれば、初めて標準のISA Server VPNポリシーが適用される。

 ただし、隔離サポートの実装は非常に複雑で、サードパーティのソリューションを導入するか、大規模なカスタム開発と統合化が要求される。

■IPSecトンネル・モード
 ISA Server 2004はInternet Protocol Security(IPSec)を利用して、ネットワーク・ツー・ネットワークのVPNをサポートするようになる。ISA Server 2000もPPTPやL2TPを利用して、インターネット経由でリモート・オフィスのネットワークをリンクすることは可能だが、その場合は双方のエンドにISA Serverを導入しなければならなかった。新バージョンでは、サードパーティのルータやファイアウォールなど、IPSecトンネル・モードをサポートするデバイスであればどのようなものでも、ISAサーバとVPN接続を確立することができる。

 

 INDEX
  Insider's Eye
  VPNとセキュリティを大幅強化する次世代ISA Server 2004(1)
    VPNとセキュリティを大幅強化する次世代ISA Server 2004(2)
 
 「Insider's Eye」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間