[事例研究] 東京国際見本市協会 技術解説 Active Directoryでの一元管理がISA Server最大のメリット デジタルアドバンテージ 2001/11/01

---

　ファイアウォール／Webキャッシュをネットワーク・システムに導入するときにどのようなソリューションを選ぶべきかという問題に対しては、管理者には大きく2つの選択肢がある。1つは、FireWall-1やWatchGuard、SonicWallなど、ファイアウォールに特化されたハードウェア／ソフトウェアからなる、いわゆる専用製品／アプライアンス製品である（以下、双方をまとめて「専用製品」と略）。そしてもう1つは、他のサーバ製品などとも連携が可能なISA Serverのようなソフトウェア・ソリューションである。

ISA Server 2000

専用製品と比較すると、システム設計では検討すべきことが増えてしまうが、これは、柔軟なシステムを構築できるということの裏返しでもある。急速な成長や変化が予測される情報システムに対し、より柔軟性の高いものを構築したいと考えるなら、ソフトウェア・ソリューションの方が適している。写真はその1つ、マイクロソフトのISA Server 2000（Internet Security & Acceleration Server 2000。写真はStandard Edition）。

　ファイアウォール製品に限ったことではないが、専用製品のメリットは、ハードウェアとソフトウェアが特定目的に特化されて設計されているため、位置づけが明確で、それ自体独立した機能単位として取り扱えるので、システム設計も単純化しやすいという点にある。今やインターネット接続には不可欠となったファイアウォールだが、システム設計の段階では社内ネットワークとは完全に独立した機能単位として分離しておき、そこに専用製品をはめ込むという方式である。複雑になりがちなネットワーク・システムの設計において、組み合わせ要素を1つでも除外できれば、それだけ設計は単純化するというわけだ。

　しかしこれは長所であると同時に、専用製品の欠点でもある。フルオートマチックの自動車では細やかなスピード・コントロールが難しいのと同じように、例えば社内ネットワークと有機的に結合するような機能性をファイアウォール製品に求めたり、細やかなスケールアップに対応させたりするには、ISA Serverのようにソフトウェアだけで構成された製品の方が有利である。ここでは、専用製品と比較したISA Serverのメリットをまとめておこう。

最大の魅力はシングル・サインオン

　周知のとおりWindows 2000では、Active Directoryと呼ばれるディレクトリ・サービスが標準で実装され、ユーザー・アカウントの管理を始め、さまざまなネットワーク資源を集中管理できるようになった。Windows 2000以前の（Windows NT 4.0までの）ネットワークでも、ドメイン・コントローラ（DC）と呼ばれるサーバでユーザー・アカウントを集中管理できるようになっていたが、複数のドメインを組み合わせて管理する能力が弱く、人事異動などに伴うドメイン間でのユーザー・アカウントの移行などは簡単ではなかった。また、ファイル・サーバやプリント・サーバなどのネットワーク資源を利用するためのアカウント管理（アクセス権限の制御など）はDCで集中化できるものの、メール・サーバ（Exchange Server）のアカウント管理は統合されておらず、DCとは別にExchangeサーバ側で管理する必要があった。

　これに対しActive Directoryでは、これに対応する製品群を選択することにより、各種の物理的／論理的ネットワーク資源の管理をADで集中的に行えるようになった。これにより、ファイル／プリント・サービスはもちろん、ADに対応したExchange 2000を導入すれば、メールのアカウント管理もADで一元化できる。複数のドメインからなる巨大なネットワークでも、Active Directoryを利用すれば、ユーザーごとのユーザー名やWindowsの実行環境プロファイル、電子メール・アドレス、住所などのアカウント情報のほか、グループ名、プリンタ／共有リソース名、コンピュータ名、セキュリティポリシーなどのリソースを、ツリー状にして統一的に管理できる。

　ISA Serverの最大のメリットは、パケット・フィルタリングによるネットワーク・セキュリティ管理など、ISAのポリシー設定をADと統合して実行できることだろう（ADにログオンすれば、すべての資源に対する制御を集中管理できるということ。これをシングル・サインオンという）。ADの階層構造に応じて、ISAポリシーを階層的に設定し、機能させることができる。使い慣れたADの単一インターフェイスを使って、ファイアウォールに対するユーザーのアクセス・ポリシーなどをADと連動させて設定することが可能である。このように高機能なISA Serverではあるが、設定や管理においては、Windows 2000を始めとするマイクロソフト製品でお馴染みの管理コンソール・インターフェイスなどによって、複雑な操作もできるだけ直感的に行えるようにされている。

　例えば会社によっては、社員全員に無条件にWebアクセスを許可するのではなく、一部のユーザーのみがこれを許可される場合や、業務外のサイトにはアクセスしないという誓約書を提出して初めてアクセスが許可される場合などがある。具体的に言えば、社員の無知からくる不用意なインターネット利用によって、企業の接続回線が不法行為に使われてしまうなどのリスクを回避するために、インターネットの仕組みをある程度理解しているエンジニアにのみアクセス権を与えるとか、業務上Webアクセスが不要な職種のユーザーに対してはアクセス権を与えない、などが考えられるだろう。

　専用タイプのファイアウォール製品でも、こうしたユーザーごとのWebアクセス管理は可能である。しかし社内ネットワークにADを導入している場合でも、それらの管理はADとは独立して行わなければならない。ADとファイアウォールの二重管理になってしまう。

　この点ADに対応したISA Serverなら、ファイアウォールやWebキャッシングに対する各種設定においても、ADのユーザー・アカウントやグループをそのまま使うことができる。Windows 2000 Serverが提供するVPN（Virutual Private Netork）やトラフィック管理のQoS（Quality of Service）も、すべてADによる集中管理が可能である。

Active Directoryでの統合的な管理が可能なISA

ADとの統合モードでISAをインストールすれば、AD側のユーザー情報などを使ってISAの各種設定が行える。画面はADのユーザーやグループを指定したプロトコル・ルールを作成しているところ。これ以外にも、Webコンテンツのアクセス・ルールや、IPパケットフィルタのルールなどのポリシーを同様にして指定可能。

ISAの管理ウィンドウ。ISAの管理は、Windows環境の他の管理ツールと同じく、MMC（Microsoft Management Console）を利用できる。使い慣れたインターフェイスを使えるのはありがたい。 　 新しいプロトコル・ルールの作成を開始し、ADユーザーとグループごとにルールを適用することを選択したときに表示されるダイアログ。ユーザーやグループを指定するには、下の［追加］ボタンをクリックする。 　 ADユーザー、グループ一覧。特定のユーザーやグループをルール適用の対象にするには、ここで当該ユーザー（グループ）を選択し、下の［追加］ボタンをクリックする。 　 ［追加］ボタンをクリックすると、ここにそのユーザー（グループ）が追加される。［OK］ボタンを押してルールの作成を完了すれば、ここで選択したユーザー（グループ）だけが制御の対象となる。

　AD環境にISA Serverを組み込むときには、ADと統合して利用するのが一般的だが、必要なら、ADは独立したWindows 2000メンバ・サーバにISA Serverをインストールし、そのローカル・アカウントレベルでISA Serverの管理を行うことも可能である。

きめ細かなスケール変更に対応可能

　ビジネスにおける可能性という面でも、インターネットを構成するさまざまな技術という面でも、インターネットはいまなお進化が続いている。企業自身も、ビジネスの変化に合わせて組織が大きく変わったり、人員が大幅に変化したりと、ことインターネットにまつわるシステム設計では変動要因が極めて多い。正直なところ、必要とされるネットワークの帯域幅や、サーバの処理能力などを過不足なく設計するのは不可能だろう。一般にこのような場合には、「大は小を兼ねる」の教えに従って、必要な性能や容量を上回るシステムを用意して、多少の変化は残った余地で何とか吸収するようにするものだ。とはいえビジネス環境厳しきおり、悠長に構えてもいられないのが現実だ。

　このよう場合でも、ハードウェアとソフトウェアがセットになったアプライアンス製品では、ソフトウェアだけで構成されるISA Serverのような製品に比較すると、性能や容量をきめ細かく変化させるのは困難である。この点ソフトウェア・ソリューションでは、例えばプロセッサ・パワーが不足しているなら、システムをより高速なものに置き換たり、SMP（Symmetric Multi Processor）システムに移行するなどすればよいし、Webキャッシュ用のストレージが不足なら、ハードディスクを増設すればよいだろう。

　また拡張性が高いのもソフトウェア・ソリューションの大きな魅力である。アプライアンス製品では、たとえ導入時期に高性能なものであったとしても、拡張性の乏しさから、時間の経過とともに陳腐化が進みやすい。この点豊富な拡張性を備えるソフトウェア・ソリューションなら、時代のニーズに応じて必要な拡張をタイムリーに加え、スケールアップやスケール・アウトに対応できる。

　ISA Serverは、単体のファイアウォールやProxyサーバとしてみても、アプライアンス製品に勝るとも劣らない機能・性能を備えている。そしてさらに大規模なネットワークなら、複数のISA Server Enterprise Edtitionをアレイ構成で配置し、CARP（Cache Array Routing Protocol。アレイ構成にした複数のWebキャッシュ・サーバを連携させて、効率的に運用するためのプロトコル）を利用して分散キャッシングを行ったり、フォールト・トレランス性を確保したりすることも容易である。

豊富なサードパーティ製ツールを活用可能

　ISA Serverの標準の状態でも、ひと通りの機能が用意されているが、必要なら、サードパーティ製のソフトウェアなどを追加して、比較的簡単に機能を拡張できるのもソフトウェア・ソリューションの魅力だろう。例えば教育機関などでは、利用者による有害サイトへのアクセスをサーバ側で強制的に阻止したいと考えるに違いない。この場合、ISA Serverでは、サイトを指定して（URLを指定して）、そのサイトへのアクセスを阻止することが可能だが、次々に現れては消える有害サイトに対し、管理者がいちいちURLを見つけ出して指定することはまったく現実的ではない。サードパーティの中には、専門のチームを作って常にインターネットを監視し、有害サイトのURL情報をメンテナンスしているところがある。このサードパーティ製のアドインをISA Serverに追加インストールすると、最新の有害サイト・データベースを元に、有害サイトへのアクセスを制限することが可能だ。

　このようなコンテンツ・フィルタリング機能のほかにも、毎日膨大な情報が排出されるアクセス・ログの高機能な管理ツールなども、ISA Server向けのサードパーティ製品が用意されている。特定目的に特化された専門のサードパーティ・ツールが比較的に豊富に用意され、それらを追加することでファイアウォールの機能を拡張できるというのは、ソフトウェア・ソリューションならではのメリットということができるだろう。

自身である程度の作業を行う管理者には便利なISA Server

　日本ならではの事情であるが、ISA Serverは、操作用のメニューやヘルプ・ドキュメントを含め、すべてが完全に日本語化されているという点にも触れておこう。ファイアウォール製品は、米国など、外国で開発されたものが少なくない。ファイアウォールの機能自体は、特に日本語化作業を行わなくてもそのまま使えるため、マニュアルなど最低限のものだけが日本語化され、設定画面のメニューなどは英語のままという製品も少なくない。この点ISA Serverは、すべてが日本語化されている。特にインテグレータまかせではなく、ある程度は自分で設定を変更してカスタマイズしようとする管理者にとってはありがたいことだ。

　また、コンピュータ・ウイルスやワームなどは、次々に新種が登場しており、またシステムのセキュリティ・ホールも時間の経過とともに発見されるなど、ファイアウォール製品では、一度導入すればそれで終わりというのではなく、定期的なメンテナンス（ソフトウェアのアップデートや、セキュリティ・ホールに対するパッチなど）が欠かせない。この際専用製品では、製品販売とメンテナンス・サービスが独立しており、定期メンテナンスを実施するには、製品購入とは別に、有償で年間保守契約を結ばなければならないものが多い。これに対しISA Serverでは、Windowsなどの他のマイクロソフト製品と同じく、パッチなどが鋭意インターネット上で無償公開される。覚悟さえすれば、自分で定期メンテナンスを実施することも可能である。

INDEX
	［事例研究］東京国際見本市協会
	1．IT化の最大の目的は社内文書の統一と、メッセージングによる情報共有
	2．管理作業とセキュリティ・リスクを低減するため、ISPのホスティング機能を積極活用
	3．既存環境に新サーバを並立させ、データを移行させて新環境に切り替える
	コラム：技術解説　Active Directoryでの一元管理がISA Server最大のメリット

　

事例研究

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）