【連載】SSL VPN（3）クライアントセキュリティ機能活用で企業ネットワークは変わるか本記事はNETWORK Guide 2006 SUMMERより転載したもので、内容は当時のものになります。

ようこそゲストさん

ビジネス+ITを始める

ITと経営の融合でビジネスの課題を解決する

ビジネス＋ITとは？

ログイン

新規会員登録

閉じる

トップページ
ネットワーク
VPN・広域イーサ
【連載】SSL VPN（3）クライアントセキュリティ機能活用で企業ネットワークは変わるか

会員限定
2008/02/26 掲載

【連載】SSL VPN（3）クライアントセキュリティ機能活用で企業ネットワークは変わるか

本記事はNETWORK Guide 2006 SUMMERより転載したもので、内容は当時のものになります。

記事をお気に入りリストに登録することができます。

企業がリモートから社内リソースにアクセスするにあたって、管理者が最も頭を悩ませるのがクライアントセキュリティの問題ではないだろうか。SSL VPNに限らず、外部からのリモートアクセスというのは大きなセキュリティ上の穴になりやすく、実際、ウイルスやワーム感染の大部分はリモートアクセスや外部からの持ち込みPCを通じて発生している。

連載一覧

執筆：乙部幸一朗

なぜクライアントセキュリティが必要なのか

　企業がリモートから社内リソースにアクセスするにあたって、管理者が最も頭を悩ませるのがクライアントセキュリティの問題ではないだろうか。SSL VPN（以下、SSL）に限らず、外部からのリモートアクセスというのは大きなセキュリティ上の穴になりやすく、実際、ウイルスやワーム感染の大部分はリモートアクセスや外部からの持ち込みPCを通じて発生している。もし仮に、社内で厳格なセキュリティポリシーを策定して、たとえば特定のウイルス対策製品をインストールすることを義務として定めたとしても、ユーザーがこれを守らなければ意味がない。また、ウイルス感染だけでなく、最近では情報漏えいも大きな問題として挙げられており、管理者は自由度を求めるユーザーと厳格なセキュリティを求める経営者の板ばさみになることが多い。

　そのため、SSLが一番のメリットとして掲げている幅広い端末環境からのリモートアクセスを実現するためには、これらの問題に対応できるクライアントセキュリティ機能を提供することが欠かせない要件となってくるのである。

幅広く利用されるセキュリティコンプライアンスチェック

　今SSL製品で最も多く実装されているのが、クライアント端末のセキュリティ状態を確認するコンプライアンスチェック機能だ。たとえば、特定のService Packやパッチが適用されているか、ウイルス対策・パーソナルファイアウォール製品が動いているかなどをチェックすることで、アクセスを許可する前に、企業のセキュリティポリシーを満たした端末であるかどうかを判別することができる。SSL製品によってチェック動作の仕様は異なるが、実際にはクライアント上に専用のチェックソフトが自動的にダウンロードされ、端末上のプロセス、ファイル、レジストリなどを参照したり、専用APIを通じて対象ソフトと連携してチェックするので、単純にソフトが動作しているかだけではなく、パターンファイルやポリシーの状態（リアルタイムスキャニングのON/OFFなど）もチェックできるようになってきている。

　当初はこれらのポリシーは管理者が自ら設定する必要があったが、最近では主要なOSやセキュリティソフトに対するチェックポリシーがあらかじめ定義されているので、管理者は許可する製品とそのバージョンだけを選択すればよく、導入も非常に容易になってきている（画面1）。また、さらに一部の製品ではポリシーそのものや認証失敗時の参考メッセージを自分でカスタマイズすることができるので、たとえば最近問題となっているWinnyや今後出てくる危険性のあるソフトウェアであっても、チェックポリシーを自分で追加・定義することで対応できる。

画面1 事前に定義されたチェックポリシー
主要なウイルス対策製品やパーソナルファイアウォール製品などはあらかじめチェックポリシーが定義されており、許可したい製品を選択するだけで簡単にポリシーを設定できる

持ち出しPCを使わないという選択

　SSLのコンプライアンスチェック機能は、セキュリティが十分でない端末からのアクセスを防ぐという点で大きな効果を発揮するが、もし情報漏えいを防ぐためにより厳密な運用を行うのであれば、企業端末を外部に持ち出させないという選択もある。そもそもSSLは利用するクライアント端末を選ばない（クライアントレス）という特徴があるため、それをうまく利用すれば、不必要な端末の持ち出しを許可せずともリモートアクセスは可能である。

　そのためにポイントとなってくるのは、どのようなセキュリティとアクセスをユーザーに適用するかという点だ。もし仮にインターネットカフェや自宅の個人パソコンに何もセキュリティを適用しないまま社内ネットワークへの透過的なアクセスを許したら、多くのファイルがパソコン上に残されてしまい、たちどころに機密情報が漏れてしまう。

　そこでまず前提となるのはアクセス権の管理だろう。もともとSSLではAAA（注1）をベースとしたアクセスコントロールが主に利用されているため、ユーザーベースで必要なリソースに対するアクセス許可を与えることができる。全員に単純なネットワークのトンネルアクセスを許可するのでなく、もし企業の管理対象外のデバイスの場合は、最低限のWebページや共有フォルダ、ファイルなどにしかアクセスさせないというコントロールが必要となってくる。

　ただ、アクセス権を絞ったとしても、ローカル端末側に不必要なファイルが残ってしまう懸念がある。そこでSSL製品では、Webブラウザの一時ファイル（キャッシュ）を自動的に削除したり、オートコンプリート機能によって保存されたパスワードを消したりする機能が提供されている。しかし、最近ではGoogle Desktopのようにデスクトップ上のファイル自体をキャッシュするソフトウェアも出てきているため、NokiaのSecure Access SystemにおけるSecure Workspaceに代表されるバーチャルデスクトップ機能のように、ユーザーに仮想的な作業領域を提供し、実際のデスクトップ上にデータを残せないような仕組みも標準になってきている。このデスクトップ上ではプリントアウトや外部デバイスへの書き込みも禁止できるので、完全にデータを残さないようにしたいユーザーにはかなり効果的な機能といえるだろう。

（注1） AAA
Authentication Authorization Accountingの略でトリプルエーと読む。ユーザーの認証、アクセスの承認、ロギング/アカウンティングの3つのステップからなるアクセス管理体系を指す。