1人が複数のデバイスを使うことも一般的となった昨今、マルチデバイスから社内システムにアクセス可能とすることで業務効率化を狙うワークスタイル変革のトレンドが高まっている。これを安全に行う手段として、今あらためて注目を集めているSSL-VPNだが、中小・中堅企業にとっては運用面・コスト面で導入障壁が高いのが現実。コスト・リソースに制約がある中でも、SSL-VPNを導入・活用できる「もっとも現実的な方法」とは何か?
スマートフォン、タブレットなどモバイルの業務利用が一般的となった昨今、いつでもどこでも業務ができる機動性を生かし、ワークスタイル変革に乗り出す企業が増えている。だが、社外から社内システムにアクセスすることには、情報漏えい、不正アクセスなど多大なセキュリティリスクがつきまとう。特に、標的型攻撃やランサムウェアが二大脅威として猛威を振るう昨今、企業には一層のセキュリティ強化が求められている。ワークスタイル変革に乗り出す上では、従来のオフィスにいないと仕事ができないという物理的な制約を取り払うため、外部から社内システムを利用する場合のセキュアなリモートアクセスなどの環境を構築することが大前提となるのだ。
これを受けて、中小・中堅企業(以下、SMB)の間でSSL-VPNの導入が進んでいる。周知の通り、SSL-VPNはPCやモバイルデバイスから社内のメールやグループウェア、業務アプリケーションなどに対し、安全なリモートアクセスを実現する技術だ。通信内容は暗号化され、接続する端末同士はトンネリングと呼ばれる仮想的な回線で保護される。なりすましを防ぐためのユーザー認証や端末認証、アクセス制御も可能だ。
従来、リモートアクセスにはIPパケットを暗号化するIPsec-VPNが用いられることが多かった。だが、リモートアクセスするPC全てに専用クライアントソフトウェアのインストールが必要、導入・運用コストが掛かりがち、ユーザーにとってもアクセスする際の設定作業が面倒、セキュリティ面においてもユーザー属性に応じたアクセス制御が難しいなど、「ビジネスの機動性を高める」という目的には適さない側面が課題となってきた。
一方、SSL-VPNは社内にSSL-VPNに対応した装置を導入すれば、ユーザーはWebブラウザだけでアクセスできる。このため導入・運用コストを大幅に下げられる他、ユーザーの利便性も高まる。これを受けて、特に従業員50名以下の企業において、SSL-VPNを採用するケースが増えているというわけだ。
とはいえ、SSL-VPNは複数のベンダーが提供しており、「サポートする端末の数」「提供機能の豊富さ」など、それぞれ異なる特性を持っている。高機能・高性能なSSL-VPN専用装置を導入しようとすると、数百万円規模の予算が必要になるケースも少なくない。情報資産を強固に保護しつつも、できるだけ手間とコストを掛けずにSSL-VPNを導入したいという企業にとっては、選択肢が多くないのも現実だ。
そんな中、SMBの注目を集めているのが、UTM(Unified Threat Management:統合脅威管理)の一機能として提供されるSSL-VPNを利用するアプローチだ。既存のUTMがSSL-VPN機能を提供していれば、それを利用することで、新たにSSL-VPN専用装置を導入する必要がなくなる。しかもUTMならアンチウイルスやIPS(Intrusion Prevention System:侵入防止システム)といった各種セキュリティ機能と連動させた多層防御も容易に実現できる。すなわち、導入・運用のコストと負荷を抑えながら、安全にリモートワークを行える環境を迅速に築くことができるわけだ。
そうしたSSL-VPN機能を有するUTMの中でも、特に企業の支持を集めているのがフォーティネットが提供するUTM「FortiGate」だ。2000年に米国で設立された同社は、中小規模〜大規模企業向けまで幅広いラインアップを展開。SSL-VPNをはじめ、多数の無償機能を持ち、高いコストパフォーマンスを担保している。
またアンチウイルス機能を有効にするとUTM全体のパフォーマンスが落ちてしまう製品もある中、「セキュリティプロセッサ(SPU)」と呼ばれる自社開発の専用プロセッサ)を搭載することで、各種処理の高いスループットを実現する。こうしたコスト・性能面での優れたパフォーマンスとシンプルな操作性・拡張性を受けて、2017年現在、顧客数はグローバルで30万社。グローバル、日本国内ともに出荷台数シェアでトップを堅持している。
国内販売を手掛けるソフトバンク コマース&サービスによると、無償のSSL-VPN機能をトリガーに、FortiGate が今あらためてSMBの注目を集めているという。というのも、ローエンドモデル「FortiGate-50E」は税抜き12万5000円(本体のみの場合の参考標準価格)。同価格帯のUTMがファイアウォールのスループットで1Gbps程度であるのに対し、2倍以上の2.5Gbpsという高パフォーマンスを実現している。また、SSL-VPNの最大同時接続ユーザーとして50名までをサポートしながら、SSL-VPNスループットでは100Mbpsのスループットを保持する。
導入以降、追加のライセンス費用が掛からないことも魅力だ。一般に、SSL-VPNの多くはユーザーライセンスの形を採るため、ユーザー数に応じてコストが増大するが、FortiGateの場合、SSL-VPN機能を標準で利用できるため、ユーザー数や利用するデバイス数が増えてもライセンス費用は変わらない。
また、UTMとしてさまざまな機能と連携できることもFortiGateの大きな特長だ。前述のように、標的型攻撃やランサムウェアが二大脅威として猛威を振るう昨今、SSL-VPNで安全な通信を確立した上で、サンドボックス、Webアプリケーションファイアウォールなど各種機能を組み合わせた多層防御が求められる。FortiGateは、以下のように未知のマルウェアを検知する標的型攻撃対策アプライアンス「FortiSandbox」との連携をはじめ、多層防御の仕組みを容易に構築し、一元管理することができる。
また、日々新たな脅威が現れる現在、「未知の脅威にどう対応するか」も重要なポイントだが、フォーティネットでは、セキュリティ専任者が24時間365日体制でシグネチャーを作成・配信する「FortiGuard」というサービスも提供している。具体的には、世界中の企業が利用しているFortiGateやFortiSandboxから脅威の情報を収集し、未知の脅威をFortiGuardのスタッフに通知する。するとFortiGuardで数時間後にはシグネチャーが作成され、世界中のFortiGateに自動配信する仕組みだ。
すなわち、コスト・リソースの制約が大きいSMBにおいても、FortiGateならSSL-VPNというワークスタイル変革に必要な機能と“今必要なセキュリティ対策”を、非常に現実的な予算で実現できるというわけだ。
ただ、安全かつ利便性の高いリモートアクセスを実現するSSL-VPNだが、まだ気を付けるべき点がある。それは「認証の仕組みを整備しなければならない」ということだ。
これは「Webブラウザを使ったリモートアクセス環境」という利便性の裏返しでもある。例えばリモートアクセスする際、簡単なIDとパスワードだけで認証する環境にしてしまうと、通信自体は暗号化されトンネリングされていたとしても、以下のように、IDとパスワードを何らかの手段で盗まれてしまえば不正アクセスを許しかねない。「適切なユーザー・端末なのか」を確実に認証した上でアクセス制御を施さなければ、利便性と安全性は両立できないのだ。
FortiGateのSSL-VPNは、こうした認証の仕組みを整備する上で、PKI(公開鍵暗号基盤)を使った認証とアクセス制御が可能だ。具体的には、日本RAがSaaSとして提供するPKIサービス「NRA-PKI」を使ったSSL-VPNを利用することができる。
PKIとは、簡単に言えば、“信頼できる機関”が1人1人のユーザーに「正規ユーザー」であることを証明する「電子証明書」を発行し、ユーザーがアクセスする際、“信頼できる機関”があらためて証明書を基に、正規のユーザー/端末であるか否かを判断する仕組みだ。証明書には情報を暗号化する鍵も含まれており、認証された者しか情報を解読することはできない。
ただPKIは簡単に利用できるわけでもない。SSL-VPNでPKIを利用する際の大きな課題は、プライベート認証局などの構築・運用にコストが掛かる他、利用する端末・ユーザーなどに応じてコストが増大してしまうことだ。低コストで構築した基盤では信頼性が低くなりがちなことも挙げられる。特に、SMBが気軽に利用するにはハードルが高いといわざるを得なかった。
こうした課題に応え、日本RAが提供しているのが「NRA-PKI」だ。日本RAが認証局として証明書を発行することで、正しいユーザーが正しいクライアントからリモートアクセスしていることを確実に担保する。
NRA-PKIの特徴は、圧倒的なコストパフォーマンスにある。クライアント証明書の発行・管理を行うSaaSサービスであるため、企業にとっては初期費用が掛からない。同社によると、「迅速にサービスを提供できることから、一般的なPKIの導入コストに比べ、数十分の1にまで圧縮できる」という。日本RAの認証局は「サイバートラスト電子認証センター」内に設置されており、低コストながら高いセキュリティを確保している点も大きな特長だ。
また、1つのライセンスでPC、iOS、Androidといったマルチデバイスをサポート。1人のユーザーがPC、スマートフォン、タブレットを所有し、状況・目的に応じてそれぞれの端末からアクセスすることは今や当たり前のように行われている。マルチデバイス対応の、利用するクライアント端末が増えても、もちろん利用料金は変わらない。
マルチネットワークアクセスにも対応する。SSL-VPNでのクライアント認証だけではなく、無線LANでの証明書認証(802.1X/EAP-TLS)や、Webアプリケーションでのサーバ証明書なども利用可能だ。1枚の証明書で複数のサービスの認証を行うマルチポリシー証明書を発行することもできるという。
市場環境や働き方が変わりつつある今、マルチデバイスから社内ネットワークに安全にアクセスできることは企業にとってますます重要性を増している。また昨今、相次ぐセキュリティ事件が物語るように、情報資産を確実に守ることは企業としての社会的信頼、ブランドを担保する上で必須要件となっている。そして何より重要なのは、こうした攻めと守りの両立が、企業規模を問わず強く求められている事実だろう。SMBにとって導入のハードルが高かったSSL-VPNだが、FortiGate とNRA-PKIの組み合わせは、これまでの課題を一掃できる現実的な選択肢となるのではないだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:ソフトバンク コマース&サービス株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2017年4月26日