SSL VPNを超えたSSL VPN F5 Networks 「FirePass」

　近年、ネットワーク業界で最もホットなトピックとなった技術の1つにSSL VPNがある。インターネットVPNの弱点を補完するソリューションとして、はじめはニッチな市場で活躍の場を少しずつ広げる程度だったが、大手メーカーの参入もあり、ここ最近の大きなヒット商品となりつつある。アプリケーショントラフィック管理装置の分野で一大勢力を築いたF5 Networksもこの大手参入組の1つであり、今回紹介するFirePassは、同社がその技術の粋を結集したSSL VPN製品である。

　FirePassには、標準構成の1000シリーズとハイエンド向けの4000シリーズの2シリーズ7機種が用意されている。それぞれサポート可能な同時接続セッション数の違いのほか、クラスタリング対応など一部で拡張が施されている（表1）。他の製品にはないFirePass最大の特徴は、SSL VPNの弱点とされていたHTTP以外のアプリケーションへの対応を実現したことだ。

　 一般に「インターネットVPN」と呼ばれるIPSecの暗号化・トンネリングプロトコルを利用したVPN技術では、TCP/IPベースのすべてのアプリケーションが利用可能だが、接続の確立ができないトラブルが多かったり、専用クライアントのインストールが必要などのデメリットがあった。SSL VPNでは、VPN確立のためにWebブラウザを使用することで専用クライアントのインストールが必要なく、接続が容易となっているなど、IPSecベースのVPNの弱点を解決している。反面、接続プロトコルがWebブラウザ経由のHTTPベースのものが前提となり、利用可能なアプリケーションが限定されてしまうことが課題だった。今回のFirePassでは、Webブラウザベース以外のアプリケーションの利用を可能にする各種アダプタを用意することで、あたかも社内で作業しているかのような感覚でSSL VPNを利用することが可能になっている。

　表2は、FirePassで提供されるアダプタの種類をまとめたものである。Webアダプタは、HTTPやHTTPS通信など社内のイントラネット環境を利用するためのアダプタだ。Exchange Serverの持つWebクライアント機能のOutlook Web AccessやLotus Notes／Dominoを利用して、Webブラウザ経由でグループウェアにアクセスすることも可能である。メールアダプタとファイルサーバアダプタは、それぞれPOP／IMAP／SMTP経由でのメールサーバへのアクセスや、Windowsなどの共有フォルダへのアクセス機能を提供する。

　FirePassで特徴的なのが、VPNコネクタとアプリケーションコネクタの2つのコネクタの存在だ。前述のWebアダプタはどのSSL VPN製品でも提供されている機能だが、このVPNコネクタでは、クライアントPCとFirePass間にSSLセッションを張り、セッション確立後は通常のインターネットVPN接続同様、社内LANのリソースに自由にアクセスできる。VPNコネクタは、クライアントPCがFirePassへの接続時に自動的にソフトウェアのダウンロードが行われ、以後は通常のPPPアダプタとして動作するため、専用ソフトウェアのインストールや特別な設定は必要ない。VPNコネクタでは、従来までのSSL VPNが苦手としていたセッション中にポートが変更されるアプリケーションのほか、ストリーミングや音声チャットなどのアプリケーションまで、すべてのTCP／UDPアプリケーションが利用可能である。

　一方のアプリケーションコネクタは、クライアントPCとFirePass間ですべての通信をトンネル化するのではなく、TCPポートのポートフォワーディングを使って直接社内LANのサーバにパケットを転送し、各ポートごとにSSLセッションを張る形式をとっている。VPNコネクタでは一度FirePassを通過すれば自由に社内リソースを利用可能だが、アプリケーションコネクタでは限定されたサーバへのアクセスのみ許可するなど、より細かくアクセス制御をしたい場合に利用する。例えば、Exchange Serverへの接続を許可して、外部からExchangeとOutlook間での同期を可能にする、といった使い方が可能である。

　多種多様なアクセス環境をサポートするのも、FirePassの魅力だ。モバイルアダプタの使用により、携帯やPDA経由での社内リソースへのアクセスが可能になる。モバイルアダプタで提供されるミニブラウザを使って、メールの送受信のほか、モバイルアプリケーションの利用、WordやPDFなどの各種形式の文書の閲覧も可能である。FirePassに接続したときのポータル画面は自動的にモバイル向けに変換されるため、特にアプリケーションに変更を加える必要はない。モバイルアダプタの導入で、すぐにモバイル環境が構築できる。

　通常のデスクトップPC＋Webブラウザの組み合わせでも、他のSSL VPNにはない特徴的な機能が利用できる。デスクトップアダプタでは、Webブラウザ経由で社内にあるPCのデスクトップ画面を直接操作することができる。GUIベースで視覚的に確認しながら操作することももちろん可能だが、Webブラウザ上で専用ページを使っての軽量アクセスも可能となっている。ターミナルアダプタではWindowsのターミナルサービスやCitrixのMetaFrameの利用が可能だが、デスクトップアダプタとうまく組み合わせることで、管理者向けの遠隔管理用途のほか、一般社員のリモート環境での利便性をさらにアップさせられるだろう。

　またSSL VPNの特徴として、インターネットカフェなどのような環境において、備え付けのPCのWebブラウザ経由で社内システムに手軽にアクセスすることが挙げられるだろう。だが、その場合のセキュリティにまで言及するケースはあまりない。アクセス中はSSL通信で暗号化されるため安全だが、操作終了後、席を外したそのPCにはURL情報やキャッシュファイルなどのアクセス履歴が残っているため、これを悪用される可能性がないとはいいきれない。FirePassでは、アクセスに利用したWebブラウザにいっさいのキャッシュ情報を残さないため、このような外部のPCを利用することによるリスクを回避することができるようになっている。

　FirePassでは、セキュリティ面でも強化されている。まず認証機構として、LDAP、Radius、NTドメイン、Active Directoryなどの認証サーバとの連携が可能なほか、クライアント側の認証技術としてワンタイム・パスワードやX.509ベースの電子証明書もサポートしている。ワンタイムパスワードには、RSA SecurityのSecurIDのほか、CSEのSECUREMATRIX、ファルコンシステムコンサルティングのWisePointなどに対応する。特にSECUREMATRIXはWebブラウザを使用するソフトウェアベースの認証製品で、SecurIDなどのようにハードウェアのトークンを用いずに認証が可能である。パスワード入力はWebブラウザ＋マウスのクリックによる操作で行わせることもでき、キーボードの打鍵情報を盗むキーロガー対策も万全だ。また電子証明書により、スマートカードなどの利用が可能である。

　シングルサインオンにも対応しており、一度FirePassで認証が行われれば、以後は社内サーバごとにログイン動作を繰り返す必要がなくなる。NetegrityのSiteMinder、RSA SecurityのClearTrust、NovellのSecureLoginなど主要なシングルサインオン製品はすでに検証済みだ。

　またVPN接続前に、クライアントPCがきちんと安全な状態で運用されているかをチェックする、クライアント完全性チェックという機能も備えている。例えば、VPN経由で接続してくるPCの中には、ウイルスやワーム、あるいはパスワード情報を盗み出そうとするキーロガーのような危険なプログラムが動作している可能性がある。もし、フリーアクセスが可能なVPNコネクタを使ってこれらクライアントが接続を行ってしまうと、社内LANに大きな被害を及ぼす危険がある。そこで接続前に、パーソナルファイアウォールの動作状況や、ウイルス定義ファイル、パッチ情報などを検証して、合格した場合のみにVPN接続を許可するのだ。これにより、社内LANの安全性が保たれる。

　セキュリティ以外に、FirePassには冗長性を高める機能も搭載されている。FirePassでは、ダウン時に備えて専用のスタンバイユニットを用意しており、もし本体がダウンしたとしても、セッションを維持したままスタンバイユニットへのフェイルオーバーが可能となっている。またFirePass 4000ではクラスタリングもサポートしており、最大で10台までのクラスタ構成をとることができ、その場合1万セッションまで同時接続をサポートできるようになる。

代表取締役のティム・グッドウィン（Tim Goodwin）氏

　今回は、このFirePass開発までの経緯や今後の展望について、日本法人代表取締役のティム・グッドウィン（Tim Goodwin）氏に話を聞いた。ロードバランサからスタートした同社が、なぜこの分野へと進出し、どのような製品戦略を練っているのだろうか。

――最近、F5は「セキュリティ・フォーカス」をうたっているが、これはいつ、どのような経緯で始まったのか？

グッドウィン氏 「この取り組みは2003年2月ごろからスタートし、約18カ月間続いている。その経緯は、われわれの強みを活かせる分野だと考えたからだ。トラフィック管理から始まったわれわれのビジネスは、アプリケーションの可用性をいかに高めるかというところに行き着いた」

グッドウィン氏 「既存のファイアウォール製品において、ハードウェアレベルの攻撃はほぼ100％シャットアウトできる状態になっていたが、そこを通過してくるアプリケーションへの攻撃は日増しに激しくなっている。アプリケーション開発者はそのための対策をとらないといけないのだが、現状ではまずは機能優先で、セキュリティ対策は後手に回っている。それを、これまで蓄積してきた技術を基にアプリケーションゲートウェイを構築することで、アプリケーション開発者の負担を軽減し、アプリケーション自体の可用性をアップさせることが主眼にあった」

――FirePass発表後の評判はどうか？

グッドウィン氏 「非常に評判がよく、発表当初から各方面の引き合いがあった。SSL VPN本来の使いやすさに加え、強力な認証ソリューションが大きなポイントとなっている。すでにRSAやSECUREMATRIXのCSE、WisePointのファルコンといった主要なワンタイムパスワードベンダーとの協業関係を築いたが、現在、携帯電話を使った認証ベンダとも提携話を進めており、ソリューションの幅を広げている。これにより、ハードウェアトークンの代わりに携帯電話を認証に用いることが可能になる」

グッドウィン氏 「FirePassのほかの特徴として、携帯を使ってのモバイルアクセスや、SSL VPNセッションにおけるキャッシュ消去なども大きなポイントだろう。またNTTコミュニケーションズで、FirePassを使ったSSL VPNサービスが開始されたことからわかるように、機能性だけでなく、製品の信頼性や安定性も高く評価されている」

――今後の戦略は？

グッドウィン氏 「1つは、F5のプラットフォーム自体の強化だ。9月に発表予定のアプリケーショントラフィック管理装置、次世代BIG-IPでは、パフォーマンスや機能、使いやすさなどを大幅に向上されることになる。この分野で、F5はすでに6～7割のシェアを持っており、注目度も高い。次世代機では、L4で3～4倍、L7で2～3倍、SSLで約10倍の高速化が図られる予定だ」

グッドウィン氏 「また、さらに先のロードマップとして、アプリケーションセキュリティゲートウェイのリリースが挙げられる。130社を対象に聞き取りを行った結果、現在7割の企業システムのアプリケーションサーバの前にはF5の製品（BIG-IP）が入っており、もしアプリケーションゲートウェイを展開すれば非常に相性がいいことがわかった。本来、企業は個々の製品ごとに異なるベンダを選択するマルチベンダーソリューションを嫌がる傾向がある。それゆえ、そういった事情を含めて考えると、われわれの戦略は今後も受け入れられると確信している」

グッドウィン氏 「さらに、5月31日付けでイスラエルのアプリケーションファイアウォールベンダのMagniFireという企業を買収し、そのTrafficShieldという製品を弊社のアプリケーショントラフィック管理製品に融合していくつもりだ。この製品の発表でF5は、VPNゲートウェイ、ロードバランサ、アプリケーションファイアウォールの要所を押さえていく計画だ」

FirePass 1000

FirePass 4000