PR
図6 セキュリティ対策機能が充実<BR>トンネル接続ができるようになり,利用できるアプリケーションの制限がなくなると,セキュリティ対策が欠かせなくなる。各社ともセキュリティ対策機能を充実させている。
図6 セキュリティ対策機能が充実<BR>トンネル接続ができるようになり,利用できるアプリケーションの制限がなくなると,セキュリティ対策が欠かせなくなる。各社ともセキュリティ対策機能を充実させている。
[画像のクリックで拡大表示]
図7 携帯電話への対応が進む&lt;BR&gt;携帯電話からのアクセスを受け付けるSSL-VPNゲートウエイには,携帯電話からのアクセスを振り分ける機能と,携帯電話とのセッションを管理する機能をサなえている。中にはパソコン用のコンテンツを携帯用に変換する製品もある。
図7 携帯電話への対応が進む<BR>携帯電話からのアクセスを受け付けるSSL-VPNゲートウエイには,携帯電話からのアクセスを振り分ける機能と,携帯電話とのセッションを管理する機能をサなえている。中にはパソコン用のコンテンツを携帯用に変換する製品もある。
[画像のクリックで拡大表示]

接続前のセキュリティをチェック

 SSL-VPNには,アクセス元のパソコンに制限はない。それでも,管理者がはっきりしない不特定多数のユーザーが使うインターネット・カフェのパソコンなどからでも安心してアクセスできるようにするためには,セキュリティ対策が新たに必要になる。そこで各製品ともセキュリティ機能を充実させている。

 セキュリティ対策の大きな流れは二つ。一つは,接続前にパソコンのセキュリティ対策の状況をチェックすること(図6[拡大表示])。もう一つは接続後にウイルスによる攻撃や情報漏えいを防ぐことだ(同(2))。どちらもほとんどの製品が実装済みの機能である。

 セキュリティ対策の状況をチェックする機能は,パソコンがアクセスした時点で,SSL-VPNゲートウエイからパソコンにセキュリティ・チェック用のプログラムを送り込むことで実現する。セキュリティ・チェック用のプログラムは,OSのパッチが適用されているか,ウイルス対策ソフトやパーソナル・ファイアウォール・ソフトは導入されているか,そのパターン・ファイルは新しいか——などをチェックする。問題がなければSSL-VPNゲートウエイ経由でのリモート・アクセスを許可する。

仮想マシンで接続後も安全確保

 接続後のセキュリティ対策は,おもにインターネット・カフェなどからリモート・アクセスするときを想定したものだ。第三者のパソコンを使って社内ネットワークにリモート・アクセスする場合は,パソコンのハードディスクに残された情報があとで読み取られてしまう可能性がある。キー・ロガー*などのソフトによって入力情報が記録されている可能性もある。

 そこで,接続後のセキュリティ対策として,パソコン内に専用プログラムを送り込み,SSL-VPNでアクセスする仮想的なアプリケーション実行領域を立ち上げる。呼び名は製品によって異なるが,「仮想デスクトップ」と呼ぶことが多い。

 立ち上がった仮想デスクトップからはパソコン内のハードディスクやUSBメモリーへの書き込みが禁止されている。また,ほかのアプリケーションはこの領域にアクセスできない。接続が切れて終了する時点で,自分のデータを消すので,接続した痕跡も残らない。

 これらのセキュリティ対策は多くのSSL-VPNゲートウエイが装備するようになった。その一方で,さらに進んだセキュリティ機能を備える製品もある。例えば,イスラエルのチェック・ポイント・ソフトウェア・テクノロジーズのConnectra(コネクトラ)は,SSL-VPNゲートウエイ側にファイアウォール機能を備える。リモート・アクセスしてくるパソコンと社内ネットのセキュリティ・レベルを違うものとして位置付け,出入りするパケットをチェックする。

携帯電話機対応は差が大きい

 最後に,携帯電話機からのアクセスに対応する機能を見ていこう。

 携帯電話機対応をうたう製品は増えている。SSL-VPNゲートウエイが,携帯電話機からのアクセスを受け付けるために備える機能は三つ(図7[拡大表示])。そのうち不可欠なのは,(1)のアクセスを振り分ける機能と,(2)のセッションを管理する機能だ。

 まずは振り分け機能。パソコンからのアクセスと携帯電話機からのアクセスでは,表示させるメニューの画面サイズや内容*を変える必要がある。そこでSSL-VPNゲートウエイは,パソコンからのアクセスと携帯電話機からのアクセスを区別して,別のメニュー画面を表示させる機能を持つ。振り分けの方法は2種類。パソコン用と携帯用でURLを別にするものが多いが,送られてきたHTTPリクエストの内容を見て*,アクセスしてきた端末の種類を自動判別して振り分ける製品もある。

 また,Webアクセスで複数のページにまたがって連続した操作をする場合,WebサーバーはWebブラウザとの間で張ったセッションを管理する機能を使っている。このセッション管理の方法は,パソコンからと携帯電話機からとで異なる*。携帯電話機からのアクセスを受け付けるSSL-VPNゲートウエイは,パソコンとは別の方法で携帯電話機とのセッションを管理する機能を備える。

 さらに,米F5(エフファイブ)ネットワークスのFirePass(ファイアパス)のように,コンテンツ変換機能を備える製品もある(図7の(3))。これは,社内サーバーのパソコン向けのコンテンツを自動的に携帯電話機向けに変える機能だ。携帯電話機からのアクセスへの対応は製品によって差が大きく,中には未対応の製品もある。携帯電話機からのアクセスが必要なら,選択のポイントになる。