スマート カードを使用した安全なアクセス計画ガイド - 第 4 章 - スマート カードを使用したリモート アクセス アカウントのセキュリティ保護
第 4 章 - スマート カードを使用したリモート アクセス アカウントのセキュリティ保護
最終更新日: 2007年10月22日
ダウンロード
「スマート カードを使用した安全なアクセス計画ガイド」の入手
ほとんどの組織では、ダイヤルアップ接続または仮想プライベート ネットワーク (VPN) 接続を介してネットワーク リソースにリモート アクセスできるようにする必要があります。 リモート ユーザーや現場の営業スタッフへのサポートの提供など、ビジネス プラクティスの継続的な変化が、このような傾向を加速させています。 リモート アクセスを使用すると組織にさまざまな利点がありますが、外部とアクセスできる状態は、組織のネットワークをセキュリティ上の脅威にさらすことにもなります。 2 要素の認証は、リモート アクセスをサポートするネットワークでの必要性がますます高まってきています。
トピック
スマート カードを使用したリモート アクセスのセキュリティ保護
問題点と要件
ソリューションの設計
まとめ
スマート カードを使用したリモート アクセスのセキュリティ保護
リモート アクセスを使用する場合、承認されたすべての従業員が組織のイントラネット リソースにアクセスできるようになる必要があります。 VPN 経由のリモート アクセスを簡単にできるようにするには、外部ファイアウォール上のポートを開く必要があります。 このようにアクセスを容易にすると、攻撃者がネットワークに侵入できるルートを形成することにもなります。
「第 1 章 : はじめに」では、ユーザー名とパスワードに頼ったアカウントの認証の場合、すべてのアクセス制御のセキュリティはパスワードに集中することを説明しました。 パスワードは侵害に対して脆弱です。企業ネットワークにリモート アクセスできる侵害されたアカウントの資格情報は、犯罪組織の興味の対象になりえます。
ユーザー アカウント用にドメイン パスワードのロックアウト ポリシーを構成することはできますが、アカウント ロックアウト ポリシーは、リモート ユーザー アカウントを継続的にロックアウトするため、サービス拒否 (DoS) 攻撃の機会を与えます。 この攻撃はネットワーク上の情報を侵害することはありませんが、ロックアウトされたユーザーには不満の原因になります。
スマート カードに組み込まれたデジタル証明書を使用する強固なユーザー認証を使用すれば、堅牢かつ柔軟な方法でのリモート アクセス接続のセキュリティ保護を実現できます。
クライアントの要件
スマート カードを使用してリモート アクセスを制御する場合、リモート クライアント上で実行するコンポーネントに左右されます。 これらのコンポーネントに関して十分な知識が必要です。また、特に接続マネージャと接続マネージャ管理キット (CMAK) に関して詳しく知っておく必要があります。 接続マネージャを使用すると、ネットワーク接続の確立と管理を集約して自動化できます。 接続マネージャは、スマート カード アクセス構成の次の主な領域をサポートします。
拡張認証プロトコル – VPN およびリモート アクセス接続のトランスポート層セキュリティ (EAP-TLS)
クライアント コンピュータの構成を自動的に管理するアプリケーション レベルのセキュリティ チェック
ログオン プロセスの一部としてのコンピュータのセキュリティ チェックと検証
接続マネージャと CMAK の詳細については、マイクロソフトの Web サイトの「接続マネージャ管理キット」を参照してください。
クライアント用接続マネージャ
管理可能なリモート アクセス ソリューションを実装するには、接続マネージャの設定を作成して複数のクライアントに展開する必要があります。 接続マネージャを複数のクライアントに展開するには、接続マネージャ プロファイルを作成します。
接続マネージャ プロファイルとは、カスタマイズされた接続マネージャのクライアント ダイヤラ パッケージです。CMAK を使用して作成し、自己解凍型の実行可能ファイルとしてクライアント コンピュータに展開します。 グループ ポリシー、Microsoft® Systems Management Server 2003、CD、USB キーなど、任意のソフトウェア配布メカニズムを使用してプロファイルを配布することができます。
実行可能ファイルを実行すると、ローカル コンピュータにプロファイルがインストールされ、さらにリモート アクセス サーバーに接続するための適切な電話番号またはホスト アドレスが設定されます。 ユーザーが接続マネージャ プロファイルを介して接続を開始すると、接続マネージャによってスマート カードの有無が自動的にチェックされ、ユーザーは PIN の入力を要求されます。 ユーザーが正しい PIN を入力した場合、接続マネージャによって適切なダイヤルアップおよび VPN 接続が確立され、ユーザーの資格情報が認証されます。
接続マネージャを利用すると、ユーザーの接続プロセスを簡略化することもできます。 ユーザーが変更できる構成オプションの数が制限され、ユーザーは常に正常に接続できるようになります。 組織は、接続マネージャをカスタマイズして次の項目を定義できます。
使用可能な電話番号 : 物理的な位置に基づく、ユーザーが使用できる電話番号の一覧。
カスタマイズしたコンテンツ : ダイヤラに、カスタマイズしたグラフィック、アイコン、メッセージ、ヘルプ コンテンツを含めることができます。
トンネル前の接続 : VPN 接続が試行される前に、インターネットへのダイヤルアップ接続が自動的に実行されます。
接続前および接続後の動作 : たとえば、ダイヤラのプロファイルをリセットしたり、パッケージ フィルタ ルールの例外を無視するように Windows ファイアウォールを構成することができます。
オペレーティング システムの要件
リモート アクセス ソリューション用のスマート カードは、Microsoft Windows® XP Professional を使用している場合にのみ利用できます。 マイクロソフトでは、SP2 以降の Windows XP Professional を推奨しています。 クライアント コンピュータには、最新のセキュリティ更新プログラムがすべてインストールされている必要があります。
サーバーの要件
スマート カード アクセスのためのサーバーの要件は比較的単純です。 リモート アクセス サーバーは、Windows 2000 Server 以降を実行し、EAP-TLS をサポートしている必要があります。
注 : 管理者用のスマート カードのシナリオとは異なり、リモート アクセス用のスマート カードのシナリオの場合、Microsoft Windows Server™ 2003 は必要ありません。ただし、PKI を Service Pack 1 (SP1) 以降の Windows Server 2003 にアップグレードすることを強くお勧めします。
ダイヤルアップおよび VPN に関する考慮事項
スマート カードを使用してリモート アクセスをセキュリティ保護するソリューションでは、ISDN (統合サービス デジタル通信網) または PSTN (公衆電話交換網) 接続経由のダイヤルアップ アクセスがサポートされていますが、これを使うとユーザーのログオンにかかる時間が長くなる場合があります。
VPN 接続を使用するリモート接続の場合、リモート アクセス サーバーのプロセッサに余分の負荷がかかります。 スマート カードでセキュリティ保護されたログオンの場合、余分にかかる負荷はそれほどではありませんが、ログオンにかかる時間が長くなる可能性があります。 大量の受信接続を処理する VPN リモート アクセス サーバーには高速プロセッサが搭載されている必要があり、できればマルチプロセッサ構成にする必要があります。 組織が IPsec でセキュリティ保護された VPN を使用している場合は、ネットワーク カードを実装して、IPsec 暗号化プロセスをネットワーク カード上の別のプロセッサに分散することができます。
拡張認証プロトコルのサポート
EAP-TLS は、スマート カードやハードウェア トークンなど、認証方法をセキュリティ デバイスと組み合わせて使用するために開発された相互認証メカニズムです。 EAP-TLS では PPP (Point-to-Point Protocol) 接続と VPN 接続がサポートされており、MPPE (Microsoft Point-to-Point Encryption) 用の共有秘密キーを交換できるようになります。
EAP-TLS の主な利点としては、ブルート フォース攻撃に対して抵抗力があることと、相互認証に対応していることが挙げられます。 相互認証を使用する場合、クライアントとサーバーの両方が相互に ID を保証する必要があります。 クライアントまたはサーバーのどちらかが ID を検証するための証明書を送信しない場合、接続は終了します。
Windows Server 2003 では、ダイヤルアップ接続および VPN 接続用の EAP-TLS がサポートされており、これを利用してリモート ユーザーがスマート カードを使用できるようにすることができます。 EAP-TLS の詳細については、マイクロソフトの Web サイトの「Extensible Authentication Protocol」(英語) を参照してください。
EAP 証明書の要件の詳細については、マイクロソフト サポート技術情報「EAP-TLS、または EAP-TLS と PEAP を組み合わせて使用する場合の証明書の必要条件」 を参照してください。
ID 認証サーバーの要件
リモート ユーザーがログオンするには、認証サービスに資格情報を提示する必要があります。 Windows では、リモート ユーザー用に次の 2 種類の認証サービスが用意されています。
インターネット認証サービス (IAS) サーバー
Active Directory® ディレクトリ サービス
組織がリモート認証ダイヤルイン ユーザー サービス (RADIUS) 認証プロバイダを使用することに決定した場合は、IAS サーバーを構成に含める必要があります。 マイクロソフトによる RADIUS の実装が IAS であり、これは Windows 2000 Server 以降においてサービスとして稼動します。
スマート カードを使用した IAS RADIUS 認証を実装すると、組織では次のような利点を得られます。
ユーザー認証および承認の集中管理
管理メカニズムとアカウンティング メカニズムの分離
承認と認証の広範囲に渡るオプション
IAS サーバーは認証プロセスを管理します。 IAS によりユーザーの認証要求とログオン証明書情報が Active Directory に提供され、ログオン証明書はそこで、証明書のリモート ユーザーの保存されていた証明書情報と比較照合されます。 証明書情報が一致した場合、Active Directory によってユーザーが認証されます。
IAS を使用した設計ソリューションの詳細については、この章の以降のセクション「ソリューションの設計」を参照してください。
リモート アクセス用のスマート カードの配布と登録
リモート アクセス用スマート カードの配布と登録を行うために実行する処理は、「第 3 章 - スマート カードを使用した管理者アカウントのセキュリティ保護」で説明した管理者アカウント ソリューションでのスマート カードの処理とほぼ同じです。 主な違いは、こちらの方がユーザーの数が多いことと、複数の国/地域で処理を行う可能性があることです。
リモート ユーザーの ID の検証がこのプロセスの重要な部分であることは変わりません。 ただし、リモート ユーザーは管理者と同じ権限を持っていないため、身元を確認する際にはパスポートや運転免許証など写真付きの身元情報を使用するのが適切です。 管理者がユーザーにリモート アクセス権を付与する前に、部署の責任者が正当な理由を示す必要があります。
登録ステーションは、人事部門やセキュリティ部門などの適切な場所に配置する必要があります。ユーザーは、スマート カードを取得する場合、その部署に報告を行います。 ユーザーが登録ステーションのところに行くことができない場合、リモート ツールを使用してブロック解除し、ユーザーを登録して、スマート カードを有効化することもできます。
登録手順では、登録エージェントがユーザーのために証明書要求を作成し、結果として得られた証明書をスマート カードにインストールする必要があります。 登録エージェントは、セキュリティ保護された配布方法を用いてブロックされたスマート カードをユーザーに送付します。 その後でユーザーは、「第 2 章 - スマート カード テクノロジ」のアクティベーション Web サーバーに関するセクションで説明したように、ヘルプ デスクに連絡して身元確認を行い、スマート カードのブロックを解除します。
その他の考慮事項
セキュリティ保護されたリモート アクセスが組織内に導入されると、多くの場合、サービスの利用を希望するユーザーの数が増加します。 組織は現在のネットワーク インフラストラクチャを見直し、必要に応じて追加のリソースを用意する必要があります。 次のような領域を検討してください。
証明書失効リスト
高可用性と帯域幅
ソフトウェアの更新プログラムの配布
証明書失効リスト
リモート ユーザー用の証明書を実装する場合、クライアントが証明書失効リスト (CRL) を検索して証明書がまだ有効かどうかを確認する方法を変更する必要があります。 Windows Server 2003 の既定の URL (Uniform Resource Locator) CRL は、たとえば URL=https://Certification_Root_Server_DNS_Name/CertEnroll/ Certification_Authority_Name.crl のようなイントラネット上の場所を示しています。
リモート ユーザーが利用できるようになるには、この URL はインターネットからアクセスできる場所を示している必要があります。 この要件はすべての発行済みの証明書に関係するものであり、インターネットおよびエクストラネットの両方の CRL の URL が対象になります。 CRL のカスタマイズの詳細については、マイクロソフトの Web サイトの「発行された証明書における証明書失効リストの配布ポイントを指定する」を参照してください。
注 : 低速の接続を使用して CRL をダウンロードすると、リモート コンピュータでタイムアウトの問題が発生する場合があります。
ソフトウェアの更新プログラムの配布
ソフトウェアの更新プログラムを配布するメカニズムの実装は、ユーザー アクセス用スマート カードを提供する際の重要な手順です。 ソフトウェアの更新プログラムには、更新された接続マネージャ プロファイルおよびスマート カード ツールの新しいリリースが含まれます。
ソフトウェアの更新プログラムを配布するには、次の方法を使用できます。
更新プログラムを格納した、外部からアクセス可能な Web サーバー
CD または USB キー
Systems Management Server (SMS) 2003 などのソフトウェア管理ソリューション
コード署名された更新プログラムを格納した電子メール メッセージ
VPN 検疫を実装すると、セキュリティ更新プログラムやウイルス対策ソフトウェアを配布する場合と同じ方法で、接続マネージャ プロファイルの更新プログラムを配布することができます。 VPN 検疫の詳細については、マイクロソフトの Web サイトの「Microsoft 仮想プライベート ネットワークでの検疫サービスの実装計画ガイド」 を参照してください。
接続マネージャとスマート カードの更新を外部からアクセス可能な Web サーバー経由で提供する場合、ユーザーは組織のネットワークに接続する前に更新プログラムをダウンロードできます。 このソリューションの欠点は、外部の Web サーバーに対する認証にはスマート カードを使用できない可能性があることです。 この場合、ユーザーはユーザー名とパスワードの組み合わせを使用してログオンし、更新プログラムをダウンロードする必要があります。 これでは 2 要素の認証の目的が損なわれるように思われますが、Web サーバーは更新リソースを提供するだけなので、このリスクは許容可能と考えることもできます。
CD は大量に作成すると単価が安くなるため、大規模な初期公開の際には CD を使用して更新プログラムを配布する方法が適しています。 更新プログラムを個別に配布する場合は、USB キーを使用する方法が適しています。
Systems Management Server 2003 などのソフトウェア管理システムを使用してソフトウェアの更新プログラムを配布するには、コンピュータをネットワークに接続する必要があります。 この方法は、LAN に定期的に接続し、組織のドメインのメンバであるコンピュータを使用しているモバイル ユーザーおよびリモート ユーザーが対象の場合に適しています。 ただし、Systems Management Server などのソフトウェアの更新メカニズムは、自宅から自分のコンピュータを使用して接続しているリモート ユーザーには適していません。
特定の状況では、電子メールで更新プログラムを送信する方法も利用できます。 この方法でソフトウェアを配布するには、コード署名された更新プログラムを用意し、コード署名された証明書の正当性を確認できるようにユーザーをトレーニングする必要があります。
このセクションでは、リモート アクセス アカウント用のスマート カード認証を提供できるコンポーネントについて説明しました。 次のセクションでは、Woodgrove National Bank がスマート カードを実装するときに直面した問題点と要件について説明します。
問題点と要件
スマート カードによるリモート アクセス ソリューションの計画および設計段階で、Woodgrove の IT 部門が、ビジネス上、技術上、およびセキュリティ上の問題をいくつか発見しました。 以降のセクションでは、これらの問題について説明していきます。
Woodgrove National Bank シナリオの背景
Woodgrove National Bank では、営業スタッフ、IT サポート スタッフ、および上級管理者が社内ネットワークにリモート アクセスできるようになっています。 現在のリモート アクセス ソリューションでは、専用のリモート アクセス サーバーへの専用回線を経由したダイヤルアップ ネットワーク接続が採用されています。これらのサーバーには、モデムまたは ISDN (統合サービス デジタル通信網) 用アダプタが装備されています。 この接続は、ブロードバンド接続と比べて速度が遅く費用がかかります。特に、世界中に出張しているリモート ユーザーが使用する場合に、この欠点は顕著です。
ブロードバンド インターネット アクセスがますます利用しやすくなってきているため、組織も VPN を使用してリモート アクセスを行うことができるようになっています。 この方法を採用すると、ダイヤルアップ アクセスが不要になるためコストが減少し、ユーザーの操作性も向上しますが、Woodgrove National Bank が悪意のある攻撃を受ける可能性も大きくなります。
法的要件の遵守
Woodgrove National Bank は金融機関として、さまざまな国または地域の厳しい法的要件を遵守する必要があります。 銀行は、企業および顧客の資産を保護することで顧客の信頼を維持する必要があります。 Woodgrove National Bank では、コンピュータのセキュリティ保護イニシアチブを導入し、ローカル エリア ネットワーク (LAN) に接続するかリモートで接続するかを問わず、会社のネットワークにアクセスするすべてのコンピュータに対して厳しいセキュリティ ポリシーを設定しました。
ユーザーの確認
Woodgrove National Bank の現在のリモート アクセス ソリューションでは、攻撃者のなりすまし攻撃 (ユーザー名とパスワードを推測しようとする) に適切に対処することができません。 なりすまし攻撃のためにリモート アクセス アカウントがロックアウトされ、正当なユーザーが接続できなくなります。 この脆弱性のために企業ネットワークのリスクが増加し、Woodgrove National Bank では、従業員に提供する接続オプションを制限せざるを得なくなりました。
ビジネス上の問題
多数の上級管理者がリモート アクセスを使用しています。 スマート カード ソリューションの展開中はセキュリティが最重要事項ですが、リモート ワーカーの生産性を維持することも重要です。 展開するソリューションにより、これらのニーズのバランスを取る必要があります。
生産性の維持
従業員は、生産性に影響するセキュリティ重視のソリューションを嫌う傾向があります。 ソリューションの展開中および展開直後にネットワーク リソースにアクセスできなければ、ユーザーが不満を感じる機会が多くなります。 Woodgrove の IT 部門は、このような不満を解消する代わりのアクセス方法を提供する必要があります。 以下に、代わりのネットワーク アクセス方法を提供するツールを挙げます。
Outlook Web Access。 これを利用すると、ユーザーは Web ブラウザから電子メールに安全にアクセスできます。
リモート デスクトップとターミナル サービス。 従業員は、リモート デスクトップとターミナル サービスを利用して業務アプリケーションやデスクトップ ファイルにアクセスできます。
ヘルプ デスク サポート
ユーザーの許容度やリモート アクセス ソリューションの整合性は、多くの場合、利用可能なサポートのレベルに左右されます。 上級管理者は、サポートで長い時間待たされると不満を感じるようになります。 組織は、エンド ユーザーとサポート担当者の両方のトレーニングを行える予算を確保する必要があります。
技術的な問題
Woodgrove National Bank では、リモート アクセス用のスマート カードを展開する前に、注意が必要となる主な技術的問題をいくつか特定しました。 その中にはたとえば、スマート カードとスマート カード リーダーの配布、中断を最小限に抑えながら現在のネットワークにソリューションを統合する必要性、現在の IT 管理インフラストラクチャへの統合などの問題があります。
サポート対象となるスマート カード リーダー。 リモート ユーザーは、自宅でさまざまなオペレーティング システムを搭載したさまざまななコンピュータを使用して作業する可能性があります。 Woodgrove の IT 部門では、SP2 以降の Windows XP Professional という構成のみをサポートすることに決定しました。 Windows 2000 Professional を使用しているリモート ユーザーは、スマート カード リーダーが自分のコンピュータで動作するかどうか保証されません。
ネットワークの待ち時間。 クライアントとリモート アクセス サーバーの間でのパケットの送受信に時間がかかると、VPN でセキュリティ保護された接続が失敗する可能性があります。 これは、サテライト オフィスのブロードバンド接続で特に問題になります。 Woodgrove National Bank では、平均待ち時間が 300 秒を超えるリモート接続はサポートしないことに決定しました。
スマート カードの配布。 Woodgrove National Bank は世界中のさまざまな国/地域で操業しているため、スマート カードの配布は、技術面とセキュリティ面の両方で問題になります。 登録エージェントは、設置先の国/地域に関係なく、アクティベーション Web サーバーに接続できる必要があります。さもなければ、ユーザーがチャレンジ/レスポンス システムを介してスマート カードをブロック解除する必要があります。 チャレンジ/レスポンス システムをスマート カード ベンダのソフトウェア開発キット (SDK) を使用して作成する場合、開発のための労力が必要になる可能性があります。
セキュリティ上の問題
次に挙げる問題は、スマート カードを使用してセキュリティ保護されたリモート アクセスを実装するという Woodgrove National Bank のセキュリティ戦略に影響します。
リモート アクセス ユーザーの ID。 Woodgrove National Bank の IT 部門は、スマート カードの配布および有効化のプロセス中に、リモート アクセス ユーザーの ID を検証する必要があります。
Woodgrove ソリューションの接続の例外。 スマート カードを紛失したり、盗まれたり、または単純に置き忘れる場合があるため、Woodgrove の IT 部門は、交換用スマート カードを迅速かつ安全に配布する方法と交換用カードの送付中に例外を処理する方法を、スマート カードの展開ソリューションに組み込む必要があります。
ソリューション要件
スマート カードを使用してリモート アクセス アカウントをセキュリティ保護するためのソリューションの要件として、次のコンポーネントがあります。
インターネット認証サービス (IAS)。 現在の IAS サーバーは Windows Server 2003 Service Pack 1 以降にアップグレードして、機能の向上した IP フィルタの利用とベンダ固有の属性の受け入れを簡単に行えるようにしておく必要があります。 さらに、Woodgrove の IT 部門は、リモート アクセス サーバーで EAP-TLS をサポートできるようにする必要があります。
スマート カード ユーザー テンプレート。 Woodgrove National Bank は、証明書テンプレートのカスタマイズを実施して、テンプレートに正しいアクセス許可を設定する必要があります。 証明書の登録エージェントとスマート カード ログオン テンプレートには、適切なアクセス許可が不可欠です。
注 : スマート カード証明書へのリモート アクセスを制限するには、リモート アクセス ポリシーを設定して特定のオブジェクト識別子を持つ証明書のみを受け入れるようにします。 証明書テンプレートとオブジェクト識別子の詳細については、ホワイト ペーパー「Windows Server 2003 での証明書テンプレートの実装および管理」を参照してください。
PIN 管理ツール。 ユーザーが自分の PIN を管理するには、ソフトウェア ユーティリティが必要です。 ほとんどのスマート カード ベンダが、基本的な PIN 管理ツールを提供しています。 Woodgrove の IT 部門では、PIN 管理ツールをリモート PIN ブロック解除ユーティリティと統合するために、追加のカスタマイズを行うことを決定しました。
グループ ポリシー オブジェクト (GPO)。Woodgrove の IT 部門は、自社の組織単位構造に適した GPO を作成する必要があります。 これらの GPO には、ユーザーが自分のスマート カードをなくしたり PIN を忘れた場合などのために、例外をサポートする設定を含める必要があります。
接続マネージャ プロファイル。 Woodgrove の IT 部門は、Woodgrove のリモート アクセス サーバーに適したダイヤルアップまたは VPN サーバー接続設定が含まれた、特別に構成した接続マネージャ プロファイルを作成する必要があります。 また、接続マネージャ プロファイルのユーザー インターフェイスのテキストをカスタマイズして、ユーザーが接続プロセスを理解しやすくなるように、また問題が発生した場合の対処方法がわかるようにしておく必要もあります。 Woodgrove の IT 部門 は、上級管理者用、一般ユーザー用、管理スタッフ用など、ユーザーごとに異なる接続マネージャ プロファイルを作成しました。 プロファイルごとに、接続設定時の優先順位が異なります。 管理者は、ネットワーク トラフィックのレベルに関係なくリモートで接続できます。
Windows XP Professional Service Pack 2。Woodgrove National Bank は、すべてのリモート アクセス コンピュータを Windows XP Professional SP2 以降にアップグレードする必要があります。 Windows XP Professional SP2 では、Windows ファイアウォールなどのセキュリティ機能が改善され、リモート アクセス ソリューションの完全性を強化する自動更新のサポート性も向上しています。 Windows XP Home Edition SP2 にもこれらのセキュリティ上の利点は備わっていますが、ドメインに参加したりグループ ポリシーを利用することはできません。 Windows 2000 Professional SP4 の場合、Windows XP Professional SP2 のような強化されたセキュリティ機能を備えていません。
スマート カードとスマート カード リーダーの調達。 Woodgrove National Bank では成熟した PKI が運用されていますが、空のスマート カードに Windows for Smart Cards オペレーティング システムをインストールしてもあまり利点はありません。 ほとんどのベンダは、カード上にオペレーティング システムを既にインストールしているスマート カードを提供しています。 同じベンダが提供するスマート カードとスマート カード リーダーを選択すると、サポートが必要になったときに問い合わせ先を 1 つに絞れるという利点があります。
USB または PC カードのスマート カード リーダー。展開の標準的なベースラインを作成しておくと、スマート カード ソリューションのインストールにかかるコストを最小限に抑えることができます。 Woodgrove National Bank は、新しいポータブル コンピュータにはすべてスマート カード リーダーを組み込むことを義務付ける企業ポリシーを実装しました。 また、USB スマート カード リーダーの支給に関する共通の標準も設定しました。 Woodgrove National Bank は、自宅で自分のコンピュータを使用して作業する従業員に USB スマート カード リーダーを支給します。 Woodgrove はビジネスの継続性を確保するため、同一モデルのカード リーダーを 2 年間供給するという契約をカード リーダー サプライヤと結びました。
信頼関係。 Woodgrove National Bank はスマート カードを展開するに当たり、個別のフォレスト間の現在の信頼関係と、小規模な開発チームのフォレストとメインの企業フォレストの間にあるような、特定の一方向の信頼関係を使用しました。 この方法なら、証明書テンプレートを変更する必要がありません。
Windows Server 2003 の公開キー基盤 (PKI)。 Windows Server 2003 の証明書サービスを使用すると、既定のスマート カード証明書テンプレートの要素にアクセス許可を割り当て、テンプレートをカスタマイズすることができます。 テンプレートのアクセス許可の柔軟性の向上は、Woodgrove の IT 部門が定義済み証明書の発行モデルを安全な方法で委任する場合の重要な要素です。 Woodgrove の IT 部門は、Windows Server 2003 の強化された PKI 機能を使用して、証明書の自動更新のルールを設定しています。 IT 部門は、証明書テンプレートのアクセス許可機能を使用して、Woodgrove National Bank のセキュリティ管理者がすべての新しいスマート カード証明書の登録を手動で作成する必要があるようにしています。 ただし、ユーザーは、現在のスマート カード証明書をすべて自動的に更新できます。
Woodgrove National Bank は、スマート カードの導入を決定したときに既に Windows 2000 Server の PKI を使用していました。 初期パイロットでは、Woodgrove National Bank の IT 部門は、サードパーティのサービスではなく現在の Windows 2000 ベースのセキュリティ インフラストラクチャを使用して証明書を作成および管理することを決定しました。 ただし、Woodgrove のスマート カード セキュリティ ソリューションでは、証明書の有効期間を 1 年間にする必要があります。 この要件を満たすために数万のユーザー証明書を毎年手動で更新すると、多額のサポート コストがかかります。 このように管理作業の負荷が大きくなると考えられるため、Woodgrove National Bank の IT チームは PKI を Windows Server 2003 にアップグレードすることを決定しました。
Woodgrove National Bank が Windows 2000 Server の PKI を使用して証明書の自動更新を行う場合には、すべての証明書を自動更新にするか、すべての証明書を手動で更新するか、どちらかの設定しか選択できません。 すべての証明書を自動更新にした場合、更新オプションの柔軟性は失われます。
ソリューションの設計
このセクションでは、Woodgrove National Bank の IT 部門がスマート カードを使用してリモート アクセスをセキュリティ保護するために行った設計上の選択の概要を示します。 ソリューションの概念、ソリューションの前提条件、およびソリューションのアーキテクチャなどについて説明します。
ソリューションの概念
このソリューションでは、グループ ポリシー設定、リモート アクセス ポリシー、接続マネージャ プロファイル、スマート カードにインストールされた X.509 v3 ユーザー証明書、およびスマート カード リーダーを組み合わせて使用します。 概念の概略を示すと次のようになります。まず、リモート アクセス ユーザーがカスタマイズされた接続マネージャ プロファイルを起動します。すると、取り付けられているスマート カード リーダーにスマート カードを挿入するように要求されます。 次にユーザーは、オペレーティング システムにより PIN の入力を要求されます。 PIN が正しい場合、リーダーによってスマート カード証明書とアカウント情報が抽出されます。 次に接続マネージャが会社のリモート アクセス サーバーに接続し、スマート カードから抽出された資格情報を提示します。 Active Directory によってこれらの資格情報が認証され、企業ネットワークへのアクセス権がリモート アクセス サーバーからユーザーに付与されます。
ソリューションの前提条件
スマート カードを使用してリモート アクセス アカウントをセキュリティ保護する場合の前提条件は、管理者アカウントをセキュリティ保護するスマート カード ソリューションの前提条件とほぼ同じです。 入力ファイル パスを検証するには次の項目を確認する必要があります。
ユーザーおよびグループとの打ち合わせ
プロジェクト チームの編成
ユーザーが期待する内容の確認
ハードウェアとソフトウェアのアップグレード
スマート カードの安全な配布と有効化
ユーザーおよびグループとの打ち合わせ
計画サイクル中に現在のリモート アクセス ソリューションを評価し、使用しているユーザーと打ち合わせを行う必要があります。 Woodgrove National Bank は複数の国/地域で操業しており、そのすべての場所にリモート アクセス ユーザーがいます。 初期チームは、現在のリモート アクセス ユーザーおよびサポート チームからのフィードバックを整理し、潜在的なユーザー、グループ、およびサポート スタッフを特定してパイロットに参加させました。
プロジェクト チームの編成
この種のプロジェクトを実装できる適切な人員とスキルを用意できていることを確認します。 プロジェクト チームは、次の代表的な職務に就いている人間からの情報を必要とすることがよくあります。
プログラム マネージャ
情報システム設計者
システム アナリストまたはインテグレータ
システム エンジニア
製品リリース マネージャ
製品テスティング マネージャ
サポートまたはヘルプ デスク マネージャ
ユーザー サポートの専門家
セキュリティ管理者
代表的な職務と Microsoft Operations Framework (MOF) の役割との関係については、マイクロソフトの Web サイトの「The Microsoft Solutions Framework Supplemental Whitepapers – IT Occupation Taxonomy」(英語) を参照してください。
社内に利用できるスキルを持つ人間がいない場合は、追加人員を採用する必要があります。 プロジェクトでは通常、すべての段階ですべての人員が必要になるわけではないので、プロジェクトの全期間を通じて個々の人員の利用状況を決める必要があります。
ユーザーが期待する内容の確認
スマート カードとリモート アクセスを使用した場合にユーザーが考えることで主な問題となるのは、ログオン時間が長くなるということです。 ユーザーは必ず、スマート カード認証を使用した場合にはログオン時間が数秒間長くなると考えます。
ハードウェアとソフトウェアのアップグレード
リモート アクセス ソリューションに使用するスマート カードには、マイクロソフトの最新のオペレーティング システムとサービス パックが必要です。 この要件を満たせば、Windows ファイアウォール、データ実行防止 (DEP)、セキュリティの構成ウィザード、VPN 検疫など、Windows XP Professional SP2 および Windows Server 2003 SP1 の最新の高度なセキュリティ機能をリモート アクセス ソリューションで利用できます。
ソフトウェアをアップグレードするには、クライアントまたはサーバーのハードウェアのアップグレードが必要になる場合があります。 パイロット プログラムで、古い機器で新しいオペレーティング システムを実行できるかどうかを確認できます。 機器が Windows XP または Windows Server 2003 に対して認定されているかどうかを確認するには、マイクロソフトの Web サイトの「"Designed for Microsoft Windows" 製品 - Windows カタログおよび HCL」を参照してください。
スマート カードの安全な配布と有効化
リモート アクセス用のスマート カードを実装するには、スマート カードの配布および有効化を安全な方法で行う必要があります。 一般的には、この配布プロセスではリモート ユーザーがその地域の管理オフィスに報告を行う必要があります。これにより、登録エージェントがユーザーの身元を確認して、スマート カードを発行し有効化手順を実行できるようになります。 Woodgrove National Bank がリモート ユーザーのスマート カードを配布および有効化した方法については、この章の以降にある「委任発行モデル」セクションで説明します。
ソリューション アーキテクチャ
Woodgrove National Bank がリモート アクセス用のスマート カード ソリューションを実装するには、次のコンポーネントが必要です。
Active Directory
Windows Server 2003 サーバーにインストールされた IAS
ルーティングとリモート アクセスを使用できる Windows Server 2003 SP1
グループ ポリシー
Windows XP Professional SP2 以降を実行しているクライアント コンピュータ
スマート カード リーダー
32 KB 以上のメモリが搭載されたスマート カード
CMAK を使用して作成された接続マネージャ プロファイル
接続マネージャ プロファイル用のクライアント側のスクリプト
Woodgrove の IT 部門は当初、現在展開されているすべてのバージョンの Windows をサポート対象とすることを検討しました。 しかし、インターネットに接続されたコンピュータがさらされる脅威に関して認識を深めた結果、Windows XP Professional SP2 以降に標準化することにしました。
Active Directory に格納されたユーザー アカウントとグループ メンバシップが、Woodgrove National Bank の企業リソースへのリモート接続およびアクセスを規制します。 Woodgrove の IT 部門はまた、企業ネットワークのセキュリティ ポリシーに合わせてクライアント コンピュータを構成するために、GPO も使用しています。
ソリューションの動作
このセクションでは、Woodgrove National Bank のソリューションの技術的な詳細を紹介します。 Active Directory がユーザーを認証し、スマート カード資格情報の認証パスを追跡する方法について説明します。
以下の手順によって、スマート カードを使用したリモート アクセスが有効化されます。
リモート ユーザーが、インターネットにアクセス可能でスマート カード リーダーが接続されたコンピュータにログオンします。 ユーザーは、[Woodgrove IT Connection Manager for smart cards] というラベルの付いた接続をダブルクリックして、カスタマイズされた接続マネージャ プロファイルを起動します。
接続マネージャ プロファイルにより、スマート カード リーダーにスマート カードが差し込まれているかどうかがチェックされます。 ユーザーに PIN の入力を求めるダイアログ ボックスが表示されます。 接続マネージャが、PIN を使用してシステム サービスとしてカード上の主要な操作を実行します。これは、接続マネージャがデスクトップ上にプロンプトやユーザー インターフェイス (UI) を表示できないためです。 ユーザーが正しい PIN を入力した場合、カードのロックが解除され、残りのリモート アクセス ログオンのプロセスを続行できるようになります。
ローカル セキュリティ機関 (LSA) とは、すべての認証を実行する信頼されたオペレーティング システム コンポーネントです。 SSL を実装するコードである SChannel の一部が LSA で実行され、マッピング シーケンスを開始します。
接続マネージャ プロファイルが、ダイヤルアップ接続または VPN 接続を使用して Woodgrove National Bank にある IAS サーバーへのリンクを起動します。 IAS サーバーにより、クライアント証明書の失効チェックが行われます。 ユーザー プリンシパル名 (UPN) にマッピングされた証明書を使用する場合、発行 CA は NTAUTH ストアに登録されている必要があります。 Active Directory ユーザー アカウントに明示的なマッピングを設定することもできます。
LSA がユーザー情報を IAS サーバーに提示します。 IAS サーバー上で実行される SChannel コードが、ドメイン コントローラ上にある SChannel コードにメッセージを送信し、証明書から抽出された UPN 情報を渡します。
IAS サーバー上で実行される SChannel コードが証明書を検証し、ドメイン コントローラ上の Active Directory に対してユーザー検索を実行します。 ドメイン コントローラは、ユーザーの 128 ビットの識別子とグループ メンバシップを含む 権限アクセス証明書 (PAC) を生成します。 これ以降の通信では、Kerberos v5 プロトコルが使用されます。
ドメイン コントローラが、Kerberos チケット許可チケット (TGT) を含むランダムに生成されたセッション キーをクライアント コンピュータに送信します。 このキーを受信すると、リモート アクセス サーバーがクライアントに認証されます。 これで、両方のコンピュータが相互に認証されました。
クライアント コンピュータがログオン セッション キーを解読し、Kerberos v5 TGT をチケット保証サービスに提示します。 このプロセスの完了後は、他のすべての Kerberos v5 プロトコル通信で対称暗号化が使用されます。
ユーザーがダイヤルアップ接続経由で接続している場合は、ユーザー名とパスワードの入力を求めるメッセージが表示されます。 資格情報を入力すると、ユーザーは Woodgrove Bank のすべてのネットワーク リソースにアクセスできるようになります。 VPN 経由で接続しているユーザーは、この手順を実行する必要はありません。
次の図は、リモート アクセス認証にスマート カードを使用するための手順を示したものです。
.gif)
図 4.1: スマート カードを使用するリモート アクセス ログオンおよび認証プロセス
画像を画面全体に表示 スマート カードの情報を処理するために追加のプロセッサ サイクルが必要になるため、初期認証プロセスのときよりも時間が 20 ~ 25 秒余計にかかります。 認証が完了したら、パフォーマンスに影響はありません。
.gif){kind=link}
その他の設計に関する考慮事項
次のセクションでは、スマート カードの展開に関するその他の考慮事項について詳しく紹介し、Woodgrove National Bank が使用したスマート カードの配布メカニズムについて説明します。
委任発行モデル
Woodgrove National Bank の IT 部門は、スマート カードの委任発行モデルを開発しました。 このモデルを使用するとサポートを迅速に提供できるため、最大限のセキュリティ レベルで世界中の従業員にスマート カードを配布する作業が可能になります。
Woodgrove National Bank の IT 部門は、委任発行モデルを使用して、ロンドンにある Woodgrove National Bank のメインの IT センターの外部でスマート カードを展開しました。 Woodgrove National Bank の IT 部門は、世界中のオフィスに技術者を派遣し、委任発行担当者 (DIO) のトレーニングを行いました。 技術者は、スマート カードの配布方法およびスマート カード ツールの使用方法について、DIO を教育しました。 最初の派遣後、DIO は毎週行われる Woodgrove National Bank の中心的な IT チームとのカンファレンス コールに参加して、発生した問題について検討しました。
次の図は、証明書要求を承認するための委任発行モデルを構成する手順を示したものです。
.gif)
図 4.2: リモート アクセス用スマート カードの発行に使用されるスマート カード委任プロセス
画像を画面全体に表示 このフローチャートに従って、次の手順を実行してください。
.gif){kind=link}
ユーザーが、DIO の発行するスマート カードを要求します。
DIO は、パスポートや運転免許証など許容できる形式の身元情報と比較してユーザーの身元を検証し、ユーザーの身元を部門の責任者に確認します。 DIO は、ユーザーの身元を確認したら、証明書要求をロンドンのセキュリティ管理者に送信します。
セキュリティ管理者は、要求を検証するために、そのユーザー名で以前に発行された証明書がないか確認します。 セキュリティ管理者はさらに、ユーザーが他のスマート カード要求を行っていないかどうかも確認します。 スマート カードの発行に支障がなければ、セキュリティ管理者は承認します。 セキュリティ管理者が問題を発見した場合は、手順 5 で説明するように、そのプロセスは監査対象とする必要があります。
DIO は、承認を受け取ると、登録エージェント アカウントを使用して証明書を発行します。 この証明書は、DIO がユーザーに個別に発行する新しいスマート カードに添付されます。 これで委任発行プロセスは完了です。
要求の有効性に問題がある場合、セキュリティ管理者はその要求の監査を開始し、そのユーザーに承認を与えるかどうかを判断します。 監査の完了後、ユーザーは新しい要求を提出する必要があります。
これで委任発行プロセスは完了です。
Woodgrove National Bank は、Woodgrove の IT 部門が会社の証明書機関を Windows Server 2003 に移行した後でようやく、委任発行モデルを実装できるようになりました。Windows Server 2003 の PKI では証明書テンプレートの各セクションに詳細なアクセス許可を適用できるため、委任発行モデルの DIO の役割を有効にすることができます。 Woodgrove は、この発行モデル内で、紛失または盗難に遭ったスマート カードを安全に再発行する手順を開発しました。
RADIUS アカウンティングを構成する
ログのメンテナンスは、スマート カードを使用するリモート アクセス ソリューションの実装の要件ではありませんが、マイクロソフトではこの作業を行うことを強くお勧めしています。 IAS を使用する場合、RADIUS アカウンティング プロバイダに対するサポートが組み込まれているという利点があり、これを利用するとクライアントの接続要求とセッションをログに記録できます。 Woodgrove National Bank は、ログオンしたユーザー、ログオンした日時、およびユーザーが企業ネットワークに接続していた時間を監視したいと考えています。 RADIUS を使用すると、Woodgrove はサービスの見直しと改善を行う目的で、接続の傾向を分析できるようになります。
各 IAS サーバーによりユーザー セッションのデータが収集され、Windows Server 2003 上の Microsoft SQL Server™ Desktop Engine (Windows) (WMSDE) または Windows 2000 Server (およびそれ以前) 上の SQL Server 2000 Desktop Engine (MSDE 2000) に保存されます。 IAS により、アカウンティング情報がほぼリアルタイムで WMSDE または MSDE から中央の SQL Server 2000 データベースに転送されます。 この方法なら、SQL Server ライセンスを費用対効果の優れた方法で使用でき、サーバーのパフォーマンスを低下させることもありません。
Woodgrove National Bank は、地域ごとに SQL Server ベースのデータ収集サーバーを展開して、IAS リモート アクセス セッション データを収集しました。
パイロットを展開する
Woodgrove National Bank の IT 部門は、実運用ネットワークへの展開を行う前に、ラボ環境および 1 つ以上のパイロットの両方でテストを実行します。 Woodgrove の IT 部門は、リモート アクセス用のスマート カードを展開するため、2 つのパイロットを開発しました。 1 つは、小規模ながら経験豊富なユーザーのグループ用で、もう 1 つは、複数の国/地域にいる、さまざまなリモート アクセス経験を持つ多様なユーザーのグループ用です。
経験豊富なユーザーがパイロットを使用することで、Woodgrove National Bank はスマート カードの展開に関する主要な問題を特定できました。 経験豊富なユーザーは、短い中断や予期しないダイアログ ボックスにも対処することができました。 Woodgrove の IT 部門は、最初のパイロットを完成させた後、スマート カード ソリューションは確かに機能するもののある程度の調整が必要であることを知りました。
多様なユーザーが使用した第 2 のパイロットでは、Woodgrove の IT 部門は、完全な展開を行った場合に予想されるサポート コールを経験できました。 このパイロットのおかげで、ヘルプ デスクは技術的な問題を解決することができ、またスマート カードをすべてのリモート ユーザーに展開する前に追加する必要がある開発内容も判明しました。
高可用性の確保
リモート アクセス ソリューションでは生産性を維持することが主要な要件であるため、ソリューションのシナリオの信頼性を高める必要があります。 Woodgrove National Bank は、高可用性の実現を検討する必要があります。 たとえば、次の項目を検討する必要があります。
リモート アクセス サーバーの負荷分散
IAS サーバーの負荷分散
冗長なネットワーク パス
注 : Woodgrove Bank は、ネットワークの物理的レイアウト上の理由で、ルーティングとリモート アクセスのエントリ ポイントと IAS のエントリ ポイントを地理的に離れた場所に配置していました。
適切なネットワーク帯域幅の確保
システム設計者は、現在のネットワーク パス、予想される接続時間、および予想されるリモート アクセス トラフィックの種類と量を考慮する必要があります。 リモート アクセス ユーザーが必要とする追加の帯域幅を過小評価しないようにする必要があります。 パイロットを展開すると、リモート アクセス トラフィックのパターンと、このトラフィックが現在のネットワーク インフラストラクチャに与える影響を分析できます。 このテストには技術的な知識を持たないユーザーと一般的な使用パターンを含めて、完全な展開を行った場合に発生する可能性のある問題をシミュレートすることが重要です。 帯域幅制御と仮想ローカル エリア ネットワーク (VLAN) が組み込まれたハードウェア スイッチを使用すれば、リモート アクセス トラフィックが他のユーザーに与える影響を緩和することができます。
Woodgrove National Bank は、複数のインターネット サービス プロバイダを使用して良好なインターネット接続を実現しています。 現在の帯域幅のほとんどは、Web でのリサーチと電子メールを使用する目的でインターネットにアクセスするために使用されています。 Woodgrove の IT 部門は、現在の割り当てを評価し直し、リモート アクセス接続の追加のトラフィックに対応できるようにする必要があります。
例外
Woodgrove National Bank のシステム設計者は、どのようなソリューションでも、ビジネス上のニーズにより 1 つまたは複数のデバイスを通常のセキュリティ要件の適用対象から一時的に除外しなければならなくなる状況に対処する必要があることを理解しています。 たとえば、重要な会議中に上級管理者がリモート アクセスする場合、スマート カード認証の要件から除外されることがあります。 スマート カード ソリューションがデバイスごとに例外を許可できないようになっている場合、IT 部門は、たった 1 つの例外を許可するためにセキュリティ保護されたリモート アクセスのすべての要件を無効にする必要が出てきます。 したがって、リモート アクセス用のスマート カード ソリューションでは、例外がサポートされる必要があります。
注 : Woodgrove の IT セキュリティ グループは、例外を求めるビジネス ニーズがセキュリティ上のリスクを正当化する理由になるかどうかを判断する権限を、単独で有する必要があります。
Woodgrove の IT 部門は、例外を処理するために RemoteSmartCardUsersTempException という新しいセキュリティ グループを作成し、リモート アクセス用スマート カード要件の一時的な例外はここで処理しました。 さらに IT 部門は、受信リモート アクセス サーバーのリモート アクセス ポリシーを、次の表のように構成しました。
表 4.1: Woodgrove National Bank のリモート アクセス ポリシー条件
| 要件 | ポリシー条件 | 認証の種類 |
|---|---|---|
| リモート アクセス ユーザー グループのメンバは、スマート カード認証を必要とする | Windows グループが "WOODGROVE\RemoteSmartCardUsers" と一致する | EAP - スマート カードまたは他の証明書のみ |
| 一時的除外グループのメンバは、スマート カード認証を必要としない | Windows グループが "WOODGROVE\RemoteSmartCardUsersTempException" と一致する | MSCHAP v2 |