セキュリティ ウォッチあらゆる場所からのアクセスをセキュリティで保護する

John Morello

現在のテクノロジに関して否定できない傾向の 1 つは、ネットワークに接続した状態で仕事をしたり、モバイル アクセスを利用して仕事をしたりする人々が増えていることです。多くの組織は、遠隔地のオフィスまたは在宅で仕事をするスタッフや、頻繁に顧客のもとに出向くスタッフを抱えています。どこからでも容易にアプリケーションやデータにアクセスできるようにすることで、

これらのスタッフの生産性を向上させることができます。しかし最近まで、セキュリティが確保されたリモート アクセスを実現するには、クライアント ソフトウェアのインストール、難しいコマンドの入力、および長い接続時間が必要でした。

ここ数年の間に、リモート アクセスをより簡単で利用しやすいテクノロジにするためのさまざまな方法が提供されています。たとえば、Outlook® Web Access (OWA) を使用すると、ユーザーは各自の電子メール、予定表、および連絡先に、ブラウザを使用して簡単にアクセスできます。完全なレイヤ 3 仮想プライベート ネットワーク (VPN) を確立するための複雑な処理は必要ありません。OWA のようなテクノロジは "あらゆる場所からのアクセスを実現する" ソリューションにとって重要な駒となり得ますが、組織で主に使用されているアプリケーションの多くは、このような統合されたブラウザ操作を実現することができません。このような場合、ターミナル サービスのようなソリューションを使用して、ユーザーがどこにいてもアプリケーションにアクセスできるようにすることができます。

Windows Server® 2008 では、付属のターミナル サービスの機能が大幅に強化されています。ターミナル サービスには、シームレスなウィンドウ、アプリケーション単位の発行機能である RemoteApp、EasyPrint のユニバーサル プリンタ ドライバ機能、ブラウザ ベースのポータルであるターミナル サービス Web アクセスなどが追加されています。また、Windows Server 2008 には、あらゆる場所からのアクセスを実現するための重要な機能となる、TS ゲートウェイ コンポーネントも含まれています。このコンポーネントにより、リモート デスクトップ プロトコル (RDP) 用の SSL カプセル化が提供されるため、容易かつ安全にファイアウォールやネットワーク アドレス変換 (NAT) デバイスを通過させることができるようになります。TS ゲートウェイ機能は、Windows Server 2008 で提供されるもう 1 つの新しいテクノロジであるネットワーク アクセス保護 (NAP) とも統合されており、エンドポイント クライアントの正常性検査機能を提供します。このようなコンポーネントをすべて組み合わせることで、ユーザーがどこからでも容易かつ安全にアプリケーションやデータにアクセスできるソリューションを構築できるようになります。

このコラムでは、ターミナル サービス コンポーネントの管理については詳しく説明せず、あらゆる場所からのアクセスを実現するソリューションのネットワークとセキュリティの設計について取り上げます。また、Windows Server 2008 に含まれるテクノロジを基に、このようなソリューションを作成する方法とベスト プラクティスについて説明します。

レイヤ 3 仮想プライベート ネットワークの問題とは

新しいテクノロジについて考えるときは、新しいモデルの価値を正確に評価できるように、現在の方法よりも優れている点を理解することが重要です。通常、従来のレイヤ 3 VPN には、対処する必要がある主な問題が 2 つあります。それは、セキュリティと使いやすさです。

現在のレイヤ 3 ベースの VPN の多くでセキュリティが問題になっているということには、直感的に違和感を覚えるかもしれません。VPN の本質は、セキュリティが確保されたトンネルをインターネット上で提供することではないのでしょうか。この理由を理解するために、通常 VPN の脅威と見なされるものについて概観してみましょう。レイヤ 3 VPN 上を通過するデータがインターセプトされたり改ざんされたりする危険性があると言っているのではありません。最近のほとんどのレイヤ 3 VPN は、データ ストリームを適切に暗号化しています。視点を変えて、組織のネットワークに "全ポートおよび全プロトコル" を介してアクセスできるリモート コンピュータがもたらす脅威について考えてみましょう。レイヤ 3 VPN によって暗号化され、ネットワーク上に伝送されるデータ ストリームに問題があるのではなく、このようなトンネルを介して接続するリモート クライアントが内部ネットワークの危険性を高めていることに問題があります。Slammer や Blaster のようなマルウェアの影響を受けた組織のほとんどは、内部ネットワーク上のコンピュータや、ファイアウォールを通過したハッカーによって感染したのではないことを思い出してください。侵入源は、感染したコンピュータから VPN を介してネットワークに接続したリモート ワーカーでした。多くの場合、完全なルーティングが実行されるレイヤ 3 ベースの接続が VPN によって確立されると、リモート コンピュータは、(良かれ悪かれ) データセンター内にあるコンピュータと同じように内部リソースにアクセスすることができます。

また、レイヤ 3 VPN は、組織の IT グループが管理していないコンピュータにソフトウェアをインストールして構成する必要があるため、多くの場合、運用コストが高くつきます。たとえば、ユーザーの自宅にあるコンピュータに VPN クライアントをインストールする場合、カスタム インストール パッケージとユーザーが行うインストール作業の詳細な手順を用意し、ユーザーのコンピュータにインストールされているアプリケーションとの競合が発生した場合はトラブルシューティングを行う必要があります。さらに、クライアントの新しいバージョンを展開したり、構成データを変更したりする (新しい VPN エンドポイントの追加など) 場合は、管理コストもかかる可能性があります。ユーザーの観点から見ると、多くの場合、この VPN を介した作業は直感的に行うことができません。提供されるのはレイヤ 3 接続のみであるため、ユーザーがビジネス アプリケーションやデータにアクセスしてそれらを表示する操作を簡単に行うことはできません。

ターミナル サービスを使用して問題を解決する

ターミナル サービスなどのいわゆるレイヤ 7 (アプリケーション層) VPN テクノロジを使用すると、これら 2 つの問題を解決できます。ユーザーがアクセスできるリソースとプロトコルをより細かいレベルで制御し、エンド ユーザーの操作をこれまでにないほど簡単で直感的なものにすることができます。

セキュリティの観点から見た、ターミナル サービスと TS ゲートウェイを使用する方法と、レイヤ 3 VPN を使用する方法との最大の違いは、内部ネットワークへの接続が制限されるということです。具体的には、レイヤ 3 を使用した方法では、ローカル コンピュータ上に内部ネットワークへの完全なルーティング機能を持つ仮想インターフェイスが作成されますが、TS ゲートウェイを使用した方法では、RDP ベースのパケット以外は内部ネットワークに到達できません。したがって、全体的に攻撃を受ける確率が大幅に低下し、より細かいレベルでの制御を RDP 内で行うことができます。たとえば、RDP ではドライブのリダイレクトがネイティブでサポートされていますが、TS ゲートウェイを NAP と統合し、リモート コンピュータにインストールされているウイルス対策ソフトウェアが最新であることが確認されない限りこの機能を有効にしないように、TS ゲートウェイを構成することができます。

エンド ユーザーの観点から見ると、レイヤ 3 VPN を使用した方法とターミナル サービスを使用した方法の最も顕著な違いは、セットアップが大幅に簡素化されている (多くの場合、セットアップが必要ない) ことと、格段に容易で直感的にアプリケーションやデータにアクセスできるようになったことです。リモート デスクトップ接続クライアントは Windows に組み込まれている (また、Windows® Update などの標準のサービス テクノロジによって最新の状態に保たれる) ため、通常はクライアント ソフトウェアのインストールは不要です。また、TS Web アクセスを利用すると、ユーザーはある URL にアクセスするだけで、すべてのアプリケーションやデータを参照できます。適切なアプリケーションをクリックするだけで、TS ゲートウェイが起動し、セキュリティが確保されたトンネリング接続がインターネット上で確立され、ユーザーのデスクトップからシームレスにアプリケーションにアクセスできるようになります。つまり、アプリケーションはローカルにインストールされているかのように動作し、コピーと貼り付け機能やタスクバーへの最小化機能も利用できます。ターミナル サーバーを使用してリモート アクセスを行うことにより、アプリケーションとデータにアクセスしやすくなり、セットアップを瞬時に完了できるようになるため、ユーザーの満足度を向上させ、サポート コストを削減することができます。

利用可能なネットワーク アーキテクチャ

TS ゲートウェイ サーバーをインターネット上で利用可能にするために使用できる基本的なネットワークの設計方法は 2 種類あります。1 つ目の方法では、2 つのレイヤ 3/4 ファイアウォール間の境界ネットワーク内に TS ゲートウェイを配置します。2 つ目の方法では、TS ゲートウェイを内部ネットワーク上に保持し、アプリケーション層ファイアウォール (Microsoft® ISA Server、Microsoft Intelligent Application Gateway、サードパーティ製のソリューションなど) を境界ネットワーク上に配置して、受信 HTTPS フレームの検査に使用します。受信セッションの分析が完了した後、パケットは内部の TS ゲートウェイ サーバーに転送されます。

組織に基本的なステートフル パケット検査を行うレイヤ 3/4 ファイアウォールしかない場合は、図 1 のように TS ゲートウェイ デバイスを境界ネットワーク内に直接配置できます。この設計では、インターネット側のファイアウォールが、TS ゲートウェイへの接続を制限して、インターネットからは HTTPS トラフィックしか TS ゲートウェイに到達できないようにします。ただし、ファイアウォールはこのトラフィックのアプリケーション層レベルでは何の検査も行わず、単純にトラフィックを TS ゲートウェイに転送します。次に、TS ゲートウェイ サーバーが、HTTPS パケットから RDP フレームを抽出して、このフレームを適切なバックエンド サーバーに転送します。多くの場合、このバックエンド サーバーは、TS ゲートウェイから転送された RDP フレームが適切な内部サーバーに到達できるように構成された別のファイアウォールによって、境界ネットワークから分離されます。

図 1** レイヤ 3/4 ファイアウォールと共に境界ネットワークに配置された TS ゲートウェイ **(画像を拡大するには、ここをクリックします)

これは完全にサポートされているシナリオであり、多くの組織にとって役立つ方法ですが、2 つの重要な欠点があります。1 つ目は、TS ゲートウェイがインターネットから直接トラフィックを受信するため、悪意のある外部の人物から攻撃を受ける確率が比較的高くなります。このような悪意のある人物は、SSL セッションを介してゲートウェイを攻撃する可能性があります。フロントエンドのファイアウォールではペイロードを確認せず、ヘッダーしか確認しないため、これらのセッションはゲートウェイに到達するでしょう。TS ゲートウェイが脆弱なコンポーネントであると言っているわけではありません。TS ゲートウェイも、Windows Server 2008 の他のコンポーネントと同様、綿密にセキュリティが設計およびテストされています。ただし、このシナリオでは、フィルタされずにインターネットから直接受信したトラフィックを処理することになるため、相対的な危険性は高いと言えます。2 つ目の大きな欠点は、ゲートウェイとバックエンド ファイアウォールとの間で許可する必要があるトラフィックの量が多くなることです。TS ゲートウェイはユーザーを認証するために、Active Directory® と通信する必要があります。この通信を可能にするには、バックエンド ファイアウォールで、HTTPS だけではなく、幅広い範囲のポートとプロトコルを例外として許可する必要があります。これにより、許可される通信の種類が多くなるため、設計上の相対的な危険性は高くなります。

TS ゲートウェイをインターネットに公開するためのより優れた方法は、アプリケーション層 (レイヤ 7) ファイアウォールを使用して、受信 HTTPS セッションがゲートウェイに到達する前にこれらのセッションを処理することです (図 2 を参照)。この設計でも、従来のレイヤ 3/4 ファイアウォールによって境界ネットワークが構成される場合があります。ただし、境界ネットワークには、TS ゲートウェイではなくレイヤ 7 ファイアウォールを配置します。外部との境界となるファイアウォールにトラフィックが到達すると、このファイアウォールのフィルタによって HTTPS フレーム以外のトラフィックがすべてブロックされ、HTTPS フレームのみがレイヤ 7 ファイアウォールに転送されます。レイヤ 7 ファイアウォールは、SSL セッションを終了し、ストリームの非暗号化コンテンツを検査します。また、悪意のあるトラフィックをブロックし、バックエンド ファイアウォールを介して RDP フレームを送信します。また、必要であれば、フレームを TS ゲートウェイに送信する前に、レイヤ 7 ファイアウォールで再度暗号化することもできます。この方法は、組織のプライベート ネットワークで使用する必要はないかもしれませんが、ホスト データセンターや共有ネットワークでは非常に役立つ場合があります。

図 2** TS ゲートウェイ デバイスとアプリケーション層ファイアウォールの併用 **(画像を拡大するには、ここをクリックします)

この設計を使用すると、この前に説明したソリューションの欠点を両方とも回避できます。TS ゲートウェイ サーバーはレイヤ 7 ファイアウォールで検査されたトラフィックのみを受信するため、インターネットからの攻撃を受ける危険性が低下します。レイヤ 7 ファイアウォールは、このような攻撃をフィルタし、問題のない検査済みのトラフィックのみをゲートウェイに送信します。

このソリューションの 2 つ目の大きな利点は、内部ネットワークに対するゲートウェイの位置に関連しています。インターネットから送信されてくるトラフィックは、ゲートウェイに到達する前にレイヤ 7 ファイアウォールで検査されるため、内部ネットワーク内にとどまり、認証用のドメイン コントローラや、ユーザー セッション用の RDP ホストに直接アクセスすることができます。また、さらに厳しいポリシーをバックエンド ファイアウォールに設定することもできます。許可する必要があるのは、RDP トラフィックとディレクトリ認証トラフィックの両方ではなく、レイヤ 7 ファイアウォールから TS ゲートウェイへの RDP セッションのみです。TS ゲートウェイの前にレイヤ 7 ファイアウォールを配置することで、既存の境界ネットワークを再設計することなく、セキュリティが強化された、管理しやすいソリューションを実現できます。

NAP の統合

ターミナル サービスの関連情報

• Windows Server 2008 のターミナル サービス
• Windows Server 2008 のターミナル サービスに関する TechNet フォーラム
• ターミナル サービス チームのブログ
• Microsoft Intelligent Application Gateway 2007
• Windows Server 2008 のネットワーク アクセス保護 (NAP)
• ネットワーク アクセス保護 (NAP) のブログ
• Windows Server 2008 Beta 3 ステップ バイ ステップ ガイド

優れた境界の設計はあらゆる場所からのアクセスを実現するソリューションの鍵となる要素ですが、エンドポイント デバイスのポリシーへの準拠とセキュリティを確保することも同じく重要です。RDP は、RDP セッションやプリンタなど、さまざまなデバイスのリダイレクトが可能な機能性の高いプロトコルであるため、ソリューションに接続するクライアントが組織のセキュリティ ポリシーに準拠していることが非常に重要です。たとえば、前述のようなベスト プラクティスに基づいた安全なネットワーク トポロジであっても、安全でないコンピュータからターミナル サーバーに接続したユーザーが原因で、機密データが漏えいしたり、悪意のあるファイルがターミナル サーバーに侵入したりする可能性があります。レイヤ 3 VPN を介して接続している場合よりも、接続の規模や被害の可能性はかなり減少しますが、データが失われる危険性を管理したり、IT ポリシーへの準拠を保証したりすることも重要です。

ネットワーク アクセス保護 (NAP) は、ネットワークに接続できるユーザーだけでなく、ユーザーが接続に使用できるシステムの種類も制御できる、Windows Server 2008 の新しいテクノロジです。たとえば、NAP を使用すると、ファイアウォールが実行されていてウイルス対策ソフトウェアが最新の状態になっているコンピュータしか、ネットワークに接続できないようにすることができます。NAP は、組織の内部ネットワークのユーザーだけでなくリモート ユーザーも管理できる拡張可能なソリューションです。このソリューションでは、レイヤ 3 VPN を介して接続するユーザーと TS ゲートウェイを介して接続するユーザーも管理できます。NAP を TS ゲートウェイの設計に統合することで、セキュリティ ポリシーに準拠しているシステムしか接続できないようにすることができます。NAP の詳細については、2007 年 5 月号の TechNet Magazine で公開されている拙著のセキュリティ ウォッチ コラム (technetmagazine.com/issues/2007/05/SecurityWatch) を参照してください。**

NAP は簡単に TS ゲートウェイの展開に統合することができます。この作業は、設計に 1 つのサービスを追加するだけで完了します。このネットワーク ポリシー サーバー (NPS) というサービスは、TS ゲートウェイ サーバー自体にインストールすることも、別のオペレーティング システム インスタンスにインストールすることもできます。サービスをインストールした後、TS ゲートウェイ用の MMC を使用して、特定の正常性状態で許可する RDP 機能を定義する接続承認ポリシー (CAP) を作成します。また、新しい接続が試行されるたびに NPS による確認を行い、その接続の正常性ステートメント (SoH) を NPS に転送するように TS ゲートウェイ サーバーを構成します。ネットワーク ポリシー サーバーは、この SoH を自身のポリシーと比較し、クライアントの正常性を基に、接続を許可すべきかどうかを TS ゲートウェイに通知します。

図 3 をご覧ください。ポリシーに準拠していないシステムが Windows Update を使用するように構成されておらず、組織のセキュリティ ポリシーで自動更新を有効にする必要があることが定義されている場合について考えてみましょう。ユーザーが TS ゲートウェイへの接続を試行すると、SoH が生成および転送されます。この SoH には、"ファイアウォールは有効でウイルス対策ソフトウェアも最新の状態だが、自動更新は無効である" ことを示す情報が含まれています。TS ゲートウェイがこの SoH を NPS に転送 (TS ゲートウェイ自体には SoH を解析するロジックはありません) した後、NPS が管理者によって定義されているポリシーとこの SoH を比較します。この例では、自動更新が無効になっているため、NPS は接続がポリシーに "準拠していない" と判断し、TS ゲートウェイに接続を許可しないように通知します。TS ゲートウェイは接続を拒否し、コンピュータが組織のセキュリティ ポリシーに準拠していないことをユーザーに通知します。これを受けてユーザーは、必要な対処を行い (この場合は、自動更新を有効にする操作のみ)、接続を再試行できます。この結果、新しい SoH が生成され、NPS によってポリシーに準拠していることが確認されると、TS ゲートウェイによって接続が許可されます。

図 3** ポリシーに準拠しているシステムのみが接続を許可される **(画像を拡大するには、ここをクリックします)

まとめ

Windows Server 2008 では、あらゆる場所からのセキュリティで保護されたアクセスを実現するソリューションを構築する際に鍵となるコンポーネントが提供されます。TS ゲートウェイは、インターネット上でリモート デスクトップ セッションのトンネルを作成するための安全な手段を提供し、さまざまな方法で組織の既存のネットワークに統合することができます。統合方法としては、TS ゲートウェイを直接境界ネットワークに配置するか、TS ゲートウェイの前に ISA Server や Intelligent Application Gateway などのレイヤ 7 ファイアウォールを配置します。また、TS ゲートウェイと NAP を組み合わせて、エンドポイントの正常性検査機能をソリューションに追加することもできます。エンドポイントの確認を実行することで、リモート接続が正当なユーザーによる接続であること、およびその接続が IT セキュリティ ポリシーに準拠していることを保証できます。これらのテクノロジを組み合わせて使用すると、より安全で、運用効率がよく、エンド ユーザーにとっての操作性も高いリモート アクセス機能を実現できます。詳細については、「ターミナル サービスの関連情報」に記載されている各 Web サイトを参照してください。

John Morello は 2000 年からマイクロソフトで勤務しています。シニア コンサルタントとして、フォーチュン 100 企業や、連邦政府の民生向けおよび国防向けのセキュリティ ソリューションの設計に携わってきました。現在は、Windows Server グループのシニア プログラム マネージャとして、あらゆる場所からのアクセスを実現するテクノロジに取り組んでいます。blogs.technet.com/WinCAT では所属チームのブログも公開されています。

© 2008 Microsoft Corporation and CMP Media, LLC. All rights reserved; 許可なしに一部または全体を複製することは禁止されています.