PR

★マイクロソフトが2月に発売した「Internet Security and Acceleration Server 2000」(ISA Server)は,ファイアウオール機能とキャッシュ機能の両方を備えるサーバー製品。
★同製品は同社のファイアウオールProxy Server 2.0の後継であるが,提供されている機能や操作性,GUIなどを見ると全く別の製品という印象を受ける。
★不正アクセス排除・検知技術やアプリケーション・フィルタ搭載などの新機能をはじめ,ISA Serverの特徴的な機能を紹介する。

 マイクロソフトは2月16日に,企業向けファイアウオール製品「Internet Security and Acceleration Server 2000」(ISA Server)の出荷を開始した。ISA Serverは,同社のファイアウオール製品「Proxy Server 2.0」の後継版で,約3年ぶりのバージョンアップとなる。

図1●ISA Serverはファイアウオール機能とキャッシュ機能を併せ持つ
 ISA Serverは従来のProxy Serverが備えるプロキシやパケット・フィルタリング機能に加え,不正アクセスの検出・排除やアプリケーション・レベルのフィルタリング機能を追加するなど,ファイアウオール機能を大幅に向上させた(図1[拡大表示])。キャッシュ機能も改良され,パフォーマンスが向上しているという。

 新機能に加え,ユーザー・インターフェースがマイクロソフト管理コンソール(MMC)ベースに変更されたため,Proxy Serverとはまったく別の製品という印象を受ける。マイクロソフトによれば,前版のモジュールの90%ぐらい修正/追加されているという。「新機能や強化機能が大幅に増えたため,従来の名称から変えた」(マイクロソフト)。

メモリー・キャッシングで キャッシュ性能が大幅に向上

 キャッシング機能を使えば,頻繁にアクセスされるWebのコンテンツ・データをISA Serverが保持する。クライアントがそのデータを要求したときには,キャッシュ上のデータを返信するだけで済むため,クライアントへの応答が速くなる。

 ISA Serverのキャッシュ性能はProxy Serverと比べて大幅に向上した。従来のディスク・キャッシングに加え,メモリー・キャッシングが可能になったためだ。マイクロソフトによれば,Proxy Serverと比べて最高10倍のパフォーマンス向上が得られたという。ベンチマークの第三者機関である米The Measurement Factoryでもよい結果が出ている。

キャッシュには階層型と分散型がある

図2●キャッシュ・サーバーの利用形態
単体のキャッシュ・サーバーのほかに,ISA Serverは階層化キャッシュと分散キャッシュの2通りの形態がとれる。ただし,分散キュッシュはEnterprise版のみ。
 多数のクライアントPCがある企業では,複数のキャッシュ・サーバーを導入するのが一般的だ。ISA Serverでは,複数のキャッシュ・サーバーを導入する形態として,階層型と分散型の2通りのキャッシングをサポートしている(図2[拡大表示])。

 階層型キャッシュは,ネットワーク上に存在する複数のキャッシュ・サーバーを階層的に接続し,相互にデータの交換を行うシステム形態である。同じWebサイトへアクセスすることが多いユーザーをグループ化して,そこへキャッシュ・サーバーを配置すると効果は大きい。また本社と支社間が低速なWAN回線などで結ばれているケースでイントラネット・サーバーの応答を速くしたいときにも有効である。

 階層型キャッシュの手法はISA Serverのほかに,フリーソフトのキャッシュ・サーバーで有名な「squid(スクイド)」などもサポートしている。

 一方,分散キャッシュは複数のキャッシュ・サーバーにそれぞれ異なるキャッシュ・データを保持し,それら複数で1台のキャッシュ・サーバーのように振るまう。分散キャッシュの導入は階層型キャッシュで十分な性能が出ない場合などに効果がある。

 階層型や分散キャッシングはProxy Serverでも搭載されていた機能である。ISA Serverでは新たにスケジュール・コンテンツ・ダウンロード機能を搭載している。この機能は,指定した時刻にWebサイトからコンテンツをダウンロードするものだ。深夜などキャッシュ・サーバーへのアクセスが少ない時間帯に,参照頻度の高いコンテンツをダウンロードできる。設定内容は,時刻や曜日,リンクをたどる階層の数,ダウンロードするコンテンツ・オブジェクトの最大数など。

不正アクセス排除・検知機能を搭載

 次に,ISA Serverのファイアウオール機能について見てみよう。

 ファイアウオールの最も代表的な機能といえば,パケット・フィルタリングだろう。パケット・フィルタリングとは,IPパケットのヘッダー情報に含まれている特定の内容に基づいて,パケットを通過させたり破棄したりする機能のことだ。例えば,HTTPは通過させるが,Telnetのパケットは通過させないなどのように使う。また,特定のIPアドレスからのパケットは通すが,そのほかのIPアドレスは通さないといったようにも使える。

図3●ISA Serverで新たに搭載されたアタック検出機能
米Internet Security Systemsの侵入検知技術を使っている
 パケット・フィルタリングはProxy Server 2.0にも実装されている機能ではあるが,新たに「IPフラグメント」を使った攻撃を検知・排除する機能がISA Serverに搭載された。IPフラグメント攻撃は,正しく処理できない特殊なデータを送りつけ,システムをダウンさせるものである。このようなサーバーに過剰な負荷をかけシステム運用を妨害する行為を,DoS(Denial of Services)攻撃と呼ぶ。このほかに,IPオプション・フィールドを使った攻撃なども排除できる。

 ISA Serverはアタックを排除する機能は少ないものの,アタックを検出する機能は複数搭載された(図3[拡大表示])。どのポートが開いているのかをスキャンする「All port scan attack」やICMPのecho要求パケットを大量に送りつけてファイアウオールをダウンさせる「Ping of death attack」など合計6種類がある。

 このような攻撃があった場合,システム管理者に警告を通知させたり,特定のプログラムを実行させることが可能だ。例えば,攻撃を検知したら外からのアクセスを一定時間すべて許可しない,などが可能になる。

アプリケーション・レベルの フィルタリング機能も用意

図4●ISA Serverで新たに実装されたアプリケーション・レベルのフィルタ
インターネットなどでよく使われるDNSやFTP,HTTP,SMTPプロトコルなどのフィルタがある。DNSプロトコルの場合,アタック検出フィルタが用意されている。
 ISA Serverでは,TCP/IPよりも上位層のアプリケーション・プロトコル・ベースのフィルタリングも可能になった(図4[拡大表示])。DNSやFTP,HTTP,POP,SMTPなどインターネット環境でよく使われるアプリケーション・プロトコルに関するフィルタが9つ用意されている。

 このフィルタを使うと,TCP/IPのレベルでは制御できないデータ部にまで対象にしたフィルタリングができる。例えば,「SMTP Filter」を使って,メール・データの件名として,“I Love You”の文字列が含まれている場合,メール・データを通過させないといったことが可能になる。もし自分が設定したいフィルタの条件項目がない場合,ISA Server付属のソフトウエア開発キットSDK(Software Development Kit)を使ってアドオンとして開発することも可能である。

 アドオンを製品として提供する会社もある。例えば,アルプスシステムインテグレーションのWebコンテンツ・フィルタリング・ソフト「WebSense」をアドオンとして導入すれば,学校などで生徒に有害なWebサイトにはアクセスできないように設定できる。

設定ウィザードは扱いやすい

 ISA ServerはProxy Serverと比べて機能面の強化だけでなく,操作性も大幅に向上した。特にウィザード機能の種類は豊富で非常に扱いやすい。例えば,企業内からインターネットへアクセスする場合に使う[サイトとコンテンツ・ルール]の設定ウィザードは非常に便利である(図5[拡大表示])。

 このウィザードで聞いてくる項目(アクセス先,スケジュール,動作,アクセス元,取得するコンテンツ・データの種類)に従って進めていけば,インターネットへアクセスするルールを簡単に作ることができるようになる。アクセス元にはIPアドレスで指定するほかに,Windows NT/2000のユーザー・アカウントやグループを含めることができる。図5はアカウント元として,経理部と総務部グループに属するユーザーを選択している。

 ISA Serverには,仮想プライベートネットワーク(VPN)のセットアップとセキュリティを保護するウィザードが用意されている。これを使えば,拠点間を簡単にVPNで接続できる。VPNだけならWindows 2000単独でも行える。しかし,ISA Serverで設定したVPNは,ISA Serverのセキュリティ機能によって保護されるので,インターネットを介した拠点間通信をより安全に実現できる。

 拠点間をVPNで接続するには,まず一方の拠点でISA ServerのVPNをセットアップし,相手先に接続するために必要な設定情報や,必要なパケット・フィルタなどを作成する。このとき,設定情報などを含んだVPN構成設定ファイル(.vpc)が作成されるので,これを相手に送りインストールすればよい(図6[拡大表示])。

 ISA Serverの価格は,4プロセッサまでに対応するStandard Editionが27万5000円,プロセッサ数に制限がないEnterprise Editionが110万3000円。分散キャッシュ機能はEnterprise版でのみ利用できる。

図5●サイトとコンテンツ・ルールの設定画面
インターネットへアクセスする場合のルールをウィザードの指示に従っていくだけで簡単に設定できる。ISA Serverでは既存のアカウントやグループをルールの適用先の対象にすることが可能。ここでは,経理部や総務部グループに属するアカウントは週末インターネットを利用できない設定を施している
 
図6●企業の本社と支社間を結ぶインターネット網をVPNにする
インターネット網でつながれる拠点間を簡単にVPNにできる。まず本社側のISA Serverが用意するウィザード画面の指示に従って設定する。設定後に作られたファイルを,支社側のISA Serverでインポートするだけで構築できる
(小野 亮=akono@nikkeibp.co.jp)