PR

ユーザー部門が独自に設置したRAS(リモート・アクセス・サーバー)は,情報システム部門が関知できない危険なセキュリティ・ホールになる。できれば撤廃し,RASを集中させてセキュリティを保持したい。RASの使い方を中心に,集中リモート・アクセス環境の構築法を解説する。

図1●RASが危ない
ユーザー部門が独自に設置したRAS環境は,きわめて危険なセキュリティ・ホールである。多くの場合,ログの監視どころか,ログの記録すらなされていない。社内の人間が悪事を働くのにも,便利な環境となってしまう

 あなたの会社では,各ユーザー部門が独自にRAS(リモート・アクセス・サーバー)を立ち上げてはいないだろうか。もしいくつか見つかるようだったら,非常に危険である*1。不正アクセスを試みようとする人間にとって,このような管理の甘い侵入口ほどありがたいものはないからだ(図1[拡大表示])。

 ユーザーにとっては,自宅や外出先で社内メールやサーバーを利用できるリモート・アクセス環境は魅力だ。低価格ルーターが普及し,今やISDN回線があれば数万円台で小規模なリモート・アクセス環境が構築できる。ユーザー部門が独自にRASを立ち上げたいと考えるのも無理はない。しかしセキュリティを考えれば,このような“草の根RAS”は,早急に撤廃を進めるべきだ。情報システム部門としては,集中管理によってセキュリティを確保し,かつ,ユーザーの利便性を奪わないようなRAS環境を提供する必要がある。

 以下,RASの使い方を中心に集中リモート・アクセス環境の構築法を解説する。ポイントは,同時接続ポート数の見積もり,回線と機器の選択,セキュリティ保持――である。

インターネットVPNか公衆網か

 まずは,クライアントと会社を結ぶ回線を考えよう。選択肢には,インターネットVPN*と公衆網がある(図2[拡大表示])。

 インターネットVPNは,一種のアウトソーシングと考えると理解しやすい。クライアントのダイヤル・アップ先を自社で用意する代わりに,ISP*にアウトソーシングする感じだ。すでにインターネットに常時接続してある環境なら,ファイアウオールをVPN対応させるだけで済む,センター側に回線コストがかからない,ユーザー数増に合わせて機器のポート数を増やす面倒がない――といった利点がある。

図2●インターネットVPNか,統合したRAS環境を自社で構築するか
インターネットVPNは,接続環境をアウトソーシングした上で,暗号化通信の仕組みを新たに取り入れるもの,と考えると理解しやすい。センター側の設備投資をISPに丸投げできるが,ユーザーごとにアクセスできるサーバーを切り替えるようなきめ細かいセキュリティは実現しにくい

 しかし,欠点もある。ユーザーごとにアクセスできるサーバーを変えるといった,きめ細かいセキュリティを実現しにくい。接続操作はISP接続とVPN接続の2段構えになり,やや面倒である。各クライアントにVPNソフトも必要だ。ソフトに費用がかからないケースもあるが,多くの場合はクライアントごとにライセンス料がかかる。そして何より,インターネットに常時接続をしていなければ,まずはその環境を構築する必要がある。

 上記の利点/欠点を見極めた上で,インターネットVPNの採否を決めよう。現状では,ユーザーがそれまでと同じ使い方ができることなどから,公衆網を利用するケースの方が多い。

 公衆網を利用する場合,回線サービスはNTT地域会社が提供する「INSネット64」か「INSネット1500」が本命である。クライアント側がアナログ・モデム,携帯電話,PHSといった多様な環境であっても対応できるからだ。接続距離が遠い場合は,DDIの「マルチメディアアクセスライン(MAL)」やNTTの「ダイヤルアップFRサービス」といったアクセス・サービスを利用すれば,コストを節約できる。

同時ポート数はユーザーの10倍

 次に,公衆網を利用して自前でRASを立ち上げる場合の機器の選択とセキュリティ保持の手法を見ていこう。

 機器選択の最初のポイントは,同時使用ポート数である。一般的なISPでは,10~20ユーザーに1ポートを割り当てているケースが多い。この値を目安に,業務の重要度や,いつの時間帯に接続が集中しそうかなどの利用パターンによって,この割合を増減させるとよいだろう。同時ポート数が決まれば,回線サービスをINSネット64とINSネット1500のどちらにするか(回線数はどうするか)と,RASとしてWindows NT/2000が備える機能を使うか専用機にするかが決まる(図3[拡大表示])。

 INSネット64は1回線で2ポート(回線接続インタフェースはBRI*),INSネット1500は1回線で23ポート(同PRI*)利用できる。料金は,接続時間による従量課金の部分は両者同額で,月額固定料金は,14ポートを超える場合にINSネット1500の方が安価になる。

 RASに使用する機器は,(1)Windows NT/2000のRAS機能を利用するものと,(2)単に「RAS」と呼ばれる米Lucent TechnologiesのMAXシリーズのようなリモート・アクセス専用の機器――の2つである。おおむね4BRIを境に,規模が小さければ(1),規模が大きければ(2)を選択することになる。

図3●RAS機器の選択肢と回線は同時使用ユーザー数で決まる
RAS構築におけるもっとも基本的なパラメータは,同時使用ユーザー数である。同時使用ユーザー数が決まれば,利用する回線や機器が決まってくる

 ただし(1)のWindowsのRAS機能は,拡張性に難がある。絶対的なユーザー数にもよるが,運用開始後にユーザーが増える見込みがあるならば,(2)の専用機を導入しておいたほうがよい。

 RASの専用機は枯れた市場で,各ベンダー間の機能差はほとんどない。求める同時ユーザー数に合わせて,コストが安い製品を選べばよいだろう。ただし,64Kbps(ビット/秒)のPIAFS*のように日本独自の比較的新しい規格は,ベンダーによって対応に差があるので注意したい。

RADIUSがセキュリティの要

 セキュリティ保持の第一歩は,ユーザー認証である。RASでは普通,RADIUS*サーバーと呼ぶ認証専用のサーバーを組み合わせ,ユーザー認証を行う。MALのようなアクセス・サービスを利用する場合も,ユーザー認証としてRADIUSサーバーを使える。RADIUSサーバー・ソフトは,各ベンダーのRASに合わせてカスタマイズされたものがフリーで提供されていることが多い。もちろん,フリーのソフトをベースに,GUIや管理機能を強化した商用製品もある。

 RADIUSの動作は簡単だ(図4[拡大表示])。RASがクライアントからの着信を検出すると,同時に送られてきたクライアントのユーザーIDやパスワードなどの情報をRADIUSサーバーへ送信する。RADIUSサーバーは,受信した情報と,あらかじめ登録してあるユーザーIDとパスワードの情報などから,この接続を許可してよいかどうか判断し,結果をRASに返信する。結果が不許可ならRASは接続を切断し,許可なら接続する。

 すなわち,このRADIUSサーバーに,どのような認証を作り込むかが,RAS環境におけるセキュリティの最大のポイントになる。ユーザーIDとパスワードでは満足できなければ,これに何かを加えることも可能である。代表的な手法には,(1)発信者電話番号の通知を利用,(2)ワンタイム・パスワードの利用,(3)社内LANへのアクセス制限――などがある。

図4●RADIUSの基本的な動作
RADIUSは,ダイヤルアップ・ユーザーを認証するためのプロトコルである。RASは,ユーザーID,パスワード,発信者番号などをRADIUSサーバーに送信する。RADIUSサーバーはこれらの情報を基に,接続の許可/不許可をRASに返信する

番号通知は接続元が限定される

 電話番号の通知を利用した認証とは,ユーザーが入力したパスワードでの認証に加え,登録した電話番号からの接続でなければアクセスを許さないというもの。パスワードが盗まれても,そのユーザーが利用している電話番号以外からの不正な接続を防ぐことができる。フリーと商用のいずれのRADIUSサーバーでも利用可能である。

 また,ISDNの網側で同じような制限を設けることもできる。INSネットでは,あらかじめ登録した電話番号からしか着信できない「グループセキュリティサービス」と呼ぶサービスを提供している。最大8万件の電話番号を登録でき,費用は1万件当たり月額700円しかかからない。

 発信者番号を利用したアクセスの制限は,比較的安いコストで,セキュリティ・レベルを高めることができる半面,出張先のホテルからの接続に対応できないなど,クライアントが移動する場合に利用できない欠点がある。

 ワンタイム・パスワードは,ユーザーがアクセスする度にランダムなパスワードを生成し,そのパスワードによってユーザー認証を実行するもの。もしパスワードを盗まれても,再利用される危険がない。

 ユーザーは,トークンと呼ぶパスワードを発生するための装置,またはソフトを用いて,ワンタイム・パスワードを利用する。欠点は,サーバー側にワンタイム・パスワード用の認証サーバーを設ける必要があるなどコストがかかりやすいこと。その代わり,先の出張先のホテルからのダイヤルアップ・ユーザーに対しても有用である。

 もちろん,発信者番号通知とワンタイム・パスワードを組み合わせ,状況に応じて使い分けることもできる(図5[拡大表示])。ユーザーと特定する技術としてはほかに,ICカードや指紋認証などもある。今号pp.120-131「注目技術・活用のポイント」では,それらの詳細を解説しているので参照されたい。また,pp.84-85では,RAS,RADIUS,ICカード,VPNを利用したユーザー事例を紹介している。

図5●電話番号を利用する認証とワンタイム・パスワードを使い分ける
電話番号を利用する認証は低いコストで接続先を特定できるが,例えば出張先のホテルからなどの接続には対応できない。このようなときだけワンタイム・パスワードを利用するという手もある

IPアドレスでアクセス先を制限

 ユーザーを問わず利用できる効果的な手法に,RASでアクセス先を制限してしまう方法がある。ほとんどのRASは,アクセス先のIPアドレスを制限する機能を備えている。例えばRAS経由からはメール・サーバーにしかアクセスできないようにするには,メール・サーバーのIPアドレス以外のIPアドレスへのアクセスは,RASで止めてしまえばよい。

 アドレス制限の設定は,複数登録できる。RADIUSサーバーの認証の際に,どの設定を使うかまでを選択させれば,一般ユーザーはメール・サーバーにしかアクセスできないが,人事部のユーザーは人事データベースにもアクセスできる,といった使い分けが可能になる。MACなどのアクセス・サービスを利用する場合は,ルーターにフィルタを設定することで,同様のアクセス制限が実現できる。

ログのチェックは必要不可欠

 RASの運用を開始してからは,必ずRADIUSサーバーのログをチェックしたい。不自然に長い接続時間や,接続時に連続して発生しているパスワード・エラーなどは,不正アクセスの兆候を発見する大きな手がかりになる。同時ユーザー数にも注意する。ポート数が足りないとユーザーの使い勝手は一気に悪くなる。どのユーザーが何回電話中になったかを知る方法はないが,全ポートが使われている時間がどの程度あるかは,ログから読み取ることができる*2

(矢崎 茂明=yazaki@nikkeibp.co.jp