Insider's Eye

VPNとセキュリティを大幅強化する次世代ISA Server 2004

Peter Pawlak
2004/05/12
Copyright(C) 2004, Redmond Communications Inc. and Mediaselect Inc.

拡張管理コンソール

Windows管理ツール再入門「MMC」

 ISA開発チームは今回、Microsoft管理コンソール(MMC)の管理インターフェイスを全面的に書き換えた。これにより、いっそう直観的になったほか、コンフィギュレーション・タスクを簡単にするためのウィザードも数多く追加された(図「改善されたユーザー・インターフェイス」を参照)。

改善されたユーザー・インターフェイス
ISA Server 2004の管理コンソール・インターフェイスは、ISA Server 2000からの大幅な改訂版であるだけでなく、Microsoft管理コンソール・ベースのインターフェイスに新しい地平を切り開いたといえる。伝統的なコンテナ、オブジェクト、プロパティ・シートのMMCツリー表示に代えて、新しいコンソールはタブ・インターフェイスを導入した。管理者は右パネルで設定を行うことができ、さまざまなコンフィギュレーション・タスクでウィザードを起動できる。このレイアウトは利用可能なオプションを確認するのに便利だ。
図のウィンドウは、ファイアウォールのポリシー・ルールを示している。管理者は単一の表示画面で既存のルールをすべて見ることができ、追加、修正することも可能だ。

 使い勝手をよくすることに加え、新しいインターフェイスは新機能もいくつか追加している。最も重要な2つの新機能は、リアルタイム・ログ・ビューアとステータス・ダッシュボードだ。

■リアルタイム・ログ・ビューア
 ファイアウォールとキャッシュのアクティビティをテキスト・ファイルに記録する現行バージョンと異なり、ISA Server 2004はMicrosoft SQL Desktop Engine(MSDE)をインストールし、データベースにそれらの情報を記録する。それによって管理者は、ログの表示、フィルタ、照会がリアルタイムで可能になる。

 ただし、ISA Server 2004に搭載されるMSDEのバージョンには2Gbytesのデータ・サイズ制限がある。そのため、ユーザーは制限に達したとき、新しいデータベースを自動的に作成させるようにするか、SQL Serverのフルバージョンを購入し、インストールする必要がある。いずれの場合も、ビューアは複数のデータベース・ファイルからログを表示、フィルタすることが可能で、管理者は特にデータベースを指定する必要はない。

■ステータス・ダッシュボード
 新しいインターフェイスは、ISA Serverコンポーネントのステータスと負荷を表示するウィンドウを持ち、管理者がトラブルを特定するのに役立つ。

 またISA Server 2004の初期リリースには含まれないが、ISA Server開発チームはMicrosoft Operations Manager(MOM)アプリケーション・パックの開発も進めており、MOMでISA Serverコンピュータの状態をリモートから監視することが可能になる。

変更されなかった基本アーキテクチャ

 前述したマルチネットワークのサポートと、FTPなどの既知のトラフィックを高速でパスするカーネルモード・データポンプの追加以外、現行バージョンからISA Server 2004へ移行にあたって、基本アーキテクチャの変更はほとんど行われていない。特にキャッシングと拡張性については、ISA Server 2000とほとんど変わらない。

■キャッシング
 ISA Server 2004は、現行バージョンの高性能キャッシング・メカニズムを、ほぼそのまま継承している。ISAは静的コンテンツのパッシブ・キャッシングとアクティブ・キャッシングのいずれも実行可能で、平均応答時間を短縮しながら帯域の利用を抑えることができる。ただし、ストリーミング・マルチメディアなど、さまざまなタイプのダイナミック・コンテンツをキャッシュする能力に欠ける。

■拡張性
 Microsoftとサードパーティは、侵入検出やコンテンツ・フィルタリングなどのタスクを実行するアプリケーションやWebフィルタ拡張機能を提供している。しかし、ISA Server 2000用に記述されたサードパーティのWebおよびアプリケーション・フィルタのほとんどは、ISA Server 2004で実行する場合、アップグレードを余儀なくされる。

積み残された課題

 ISA Server 2004の投入で、Microsoftはファイアウォールのメジャーリーグ入りを実現できるだろう。ただし、今後解決すべき点もいくつか残されている。

■WebサービスXMLプロキシの欠如
 MicrosoftはWebサービスに力を入れている企業の1社だが、ISA Server 2004にはライバルのCheckPointが提供するようなXMLレベルのWebサービスの検査、フィルタリング機能がない。WebサービスはWebプロキシ経由でISA Serverへの通過を許可されるが、管理者はHTTPペイロード内部のXMLデータの属性をチェックするように設定できない。そうしたサポートが実現すれば、不正侵入やWebサービスをターゲットとするサービス妨害攻撃を検出、防御するファイアウォールの能力を向上させることができる。

 Microsoftでは、ビジネス・ツー・ビジネス(B2B)のWebサービスがそれほど多くないことから、現時点で必要不可欠な機能ではないとしており、将来リリースで高度なWebサービス検査機能を提供する方針を明らかにしている。

 ただし、ISA Server 2004はISA Server 2000 Feature Pack 1に含まれるHTTPスキャニング機能を強化して取り込んでいる。この機能は、異常なHTTPリクエストに依存するCodeRed(コードレッド)のようなワーム攻撃をブロックするのに役立つ。

■SIPアプリケーション・プロキシの欠如
 Session Initiation Protocol(SIP)は、MicrosoftのLive Communications Server(LCS)がインスタント・メッセージやプレゼンス情報をほかのLCSサーバやWindows Messengerクライアントと交換するために用いられる。SIPは、インターネット・インフラストラクチャで音声や動画、そのほかのリアルタイム通信の拡大を目指すMicrosoftやほかのベンダの将来計画に不可欠な技術だ。ところがISA Server 2004には、SIPベースの音声および動画トラフィックをルーティングしたり、フィルタしたりするために必要なSIPアプリケーション・レベル・プロキシ・コンポーネントがない。

■IPv6サポートの欠如

Windows Server 2003に実装されたIPv6機能

 ISA Server 2004はIPv6をサポートしない。IPv6は大規模なアドレス空間とダイナミックなコンフィギュレーション、そのほかの先進機能を実現する次世代のインターネット・プロトコルだ。MicrosoftはISA Server開発チームがIPv6互換製品をリリースするまでには、まだ時間的な余裕があると考えているようだ。実際、IPv6に対する本格的な需要はなく、現時点でIPv6をサポートするISPもほとんどいない。しかし、Windows XPとWindows Server 2003はすでにIPv6をサポートしており、ライバルのCheckPointもIPv6ファイアウォール・サポートを提供している。企業の中にはIPv6のテストを開始したところもある。特定の市場セグメント、特にIPv4のアドレス不足が深刻なアジアでは、間もなく本格的な需要が始まるだろう。

■帯域割り当て制御機能の欠如
 ISA Server 2004では、管理者が特定のプロトコルに帯域を多く割り当てることはできない。インターネットへの接続が一般的にボトルネックになっていることを考えると、この機能の欠落は、例えばストリーミング・メディアの視聴といったカジュアルなインターネット利用が、より重要なビジネス通信を圧迫してしまう可能性さえ生じさせるだろう。また、遅延にあまり影響を受けないトラフィックが、Voice-over-IP(VoIP)などのリアルタイム通信プロトコルを妨害してしまうことも考えられる。

Enterprise Editionも遅れてリリース

 ISA Server 2000は2つのエディション、StandardとEnterpriseがリリースされた。両エディションの最も重要な違いは、Enterprise Editionが中央で集中的に管理可能なファイアウォール・アレイをサポートしている点だ。ファイアウォール・アレイは、個々のファイアウォール・サーバがダウンあるいはオフライン状態になっても、トラフィックが継続して流れることを保証し、可用性を向上させている。またISA 2000 Enterpriseは、管理者がActive Directoryで異なるサイトの複数のISA Serverに適用できるセキュリティ・ポリシーを定義できるため、コンフィギュレーションがシンプルになる。さらに、ISA 2000 Enterpriseは(Windows 2000またはWindows 2003 Datacenter Server上で)最大32プロセッサまでサポート可能だ。Standardはサーバあたり4プロセッサまでしかサポートしない。

 現在ベータ・テストが行われているのは、ISA Server 2004のStandard Editionだ。Enterprise Editionについては、いまのところ機能セットも発表されていない。MicrosoftはISA Server 2004 Enterprise Editionを後日リリースする計画で、そのポジショニングと一般機能は現行リリースの延長線上にあるものと考えられる。最新のISA Server 2000 Enterprise Editionを利用するユーザーは、新しいISA Server 2004 Enterprise Editionが登場するまで待つことになるだろう。

 Enterprise Editionはより優れたファイアウォール機能を提供するが、ハイ・キャパシティだけを求めるのであれば、特に待つ必要はない。インターネット接続でT-3(45Mbit/s、典型的なギガビット・イーサネットのバックボーンよりはるかに低速)の帯域幅を超過する企業はそれほど多くない。大企業でもOC-12(622Mbit/s)の帯域幅を超過するのはまれだ。ISA Server 2000のスループットは1.5Gbit/sを超える。単独のStandard Editionでも、ほとんどのファイアウォール環境で機能するはずだ。End of Article

関連リンク

Directions on Microsoft日本語版
本記事は、(株)メディアセレクトが発行するマイクロソフト技術戦略情報誌「Directions on Microsoft日本語版」から、同社の許可を得て内容を転載したものです。『Directions on Microsoft 日本語版』は、同社のWebサイトより定期購読の申し込みができます。
 
 

 INDEX
  Insider's Eye
    VPNとセキュリティを大幅強化する次世代ISA Server 2004(1)
  VPNとセキュリティを大幅強化する次世代ISA Server 2004(2)
  
 「Insider's Eye」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間