RAS、WAN、無線経由の攻撃を防ぐ技術――表口以外の境界セキュリティ:セキュリティ・テクノロジー・マップ(7)(1/2 ページ)
典型的な社内システムをイメージしながら、セキュリティ技術の基礎を総ざらいする本連載。今回は「表口以外の境界セキュリティ」の技術を解説します。
表口以外の境界セキュリティ
典型的な社内システムを想定し、セキュリティ技術の基礎を総ざらいする本連載。前回は、ポリシーに合致しないアクセスを防止する技術について解説しました。今回は「表口以外の境界セキュリティ」の技術を紹介します。
ほとんどの組織では、インターネットとの出入り口において、Webブラウジングやメールなど、通常の業務で必要な通信のみを許可し、それ以外の通信は拒否するアクセス制限を行っています。これにより、不正アクセスなどの危険な通信が組織内のネットワークに入り込まないようコントロールしています。
しかし、業務の上では「出張先や自宅などから社内のネットワーク資産を利用する」「データセンターや離れた支社と通信する」「拠点間を無線LANで接続する」といったシーンもあります。通常の業務で使うインターネットの出入り口を「表口」とすると、こうしたニーズに応えるためには「裏口」を別に用意する必要があります。本稿ではこの領域を、「表口以外の境界」と呼ぶことにします。
「表口以外の境界」で注意しなければならないのは、「第三者に勝手に使われてしまうこと」「データのやり取りを第三者に盗聴・改ざんされてしまうこと」です。これらの脅威に適切に対応できなければ、攻撃者にとっての格好の狙い目となってしまいます。
そこで今回は、「表口以外の境界」におけるセキュリティ技術の安全な実装例として、「リモートアクセスサービス(RAS)」「ワイドエリアネットワーク(WAN)」「無線ネットワーク」を取り上げます。
リモートアクセスサービス(RAS)
組織外から組織内への安全なネットワーク接続を実現するために、「表口以外の境界」を実装したのが「リモートアクセスサービス(RAS)」機能です。
RAS機能では、組織外につながるネットワークの境界部分に、リモートアクセスサービスを実装したサーバ(RASサーバ)を設置します。組織外から組織内のネットワークに接続する際には、このRASサーバに対して接続を行います。RASサーバは、外部からの接続要求を受け付けると、ID・パスワードなどの認証情報を用いて接続元の正当性を確認し、認証情報が正しく入力された場合にのみ、組織内ネットワークへの接続を許可することで、第三者による利用を防止します。
接続が許可された後は、「トンネリング」と呼ばれる手法を用いて、端末と接続先の2点間に、あたかも両者が直結しているかのような仮想的な通信経路を確立します。そして、この通信経路上を流れるデータを暗号化することにより、盗聴や改ざんを防止します。
実際のRAS製品には、サーバやルーターなどの専用ハードウェアで提供されるものや、ソフトウェアとして提供されるものがあります。企業では、リモートアクセス用のハードウェアを利用する方法が一般的ですが、手軽に導入できるソフトウェア製品も導入が進んでいます。
ワイドエリアネットワーク(WAN)
RASが端末と組織内ネットワークの接続を実現するのに対し、複数のネットワーク同士を相互接続するのが「ワイドエリアネットワーク(WAN)」機能です。
WAN機能では、それぞれのネットワークの境界に拠点間接続のための出入り口を設置します。その上で、お互いのネットワークを接続前に相互に認証することで第三者による利用を防止します。ここでも、RASと同様にトンネリングを用いて通信内容を暗号化することで盗聴や改ざんを防止します。
実際のWAN製品は、ルーターなどの拠点間接続の専用ハードウェアとして提供されます。また、拠点間接続に利用するネットワークとして、インターネット網を利用する方式や、通信事業者などが用意する閉域網を利用する方式があります。
参考記事
Copyright © ITmedia, Inc. All Rights Reserved.
5分で絶対に分かるVPN
「公衆無線LAN」の安全な使い方
無線LANにまつわるセキュリティの課題を再確認しよう