IPsec とグループポリシーを使用したサーバーおよびドメインの分離

[アーティクル]
12/06/2019

概要

公開日: 2005年5月30日

ソリューション一式をダウンロードする (英語)

マイクロソフトでは、ネットワークの境界をセキュリティ保護する場合に大企業が直面する問題がますます増大していることを認識しています。組織が成長しビジネスの関係が変化するに従い、ネットワークへの物理的なアクセスを制御する作業は、手に負えないものになってしまう可能性があります。顧客、ベンダ、コンサルタントは、正当なビジネス上の理由により、場合によってはモバイルデバイスをネットワークに接続する必要があります。ワイヤレスネットワークとワイヤレス接続テクノロジが出現したおかげで、これまでよりも簡単にネットワークにアクセスできるようになりました。接続性が向上したことで、内部ネットワーク上のドメインメンバは、境界でのセキュリティ侵害だけでなく社内ネットワーク上の他のコンピュータからも重大なリスクに、ますますさらされやすくなっています。

このガイドで紹介する論理的分離の概念は、2 種類のソリューションを具体化したものです。1 つはサーバー分離で、これを行うと確実に、信頼されたドメインメンバまたは特定のドメインメンバグループによるネットワーク接続だけをサーバーが受け付けるようになります。もう 1 つはドメイン分離で、これを行うと信頼されていない接続からドメインメンバを分離することができます。これらのソリューションは、包括的な論理的分離ソリューションの一部として、個別に使用することも一緒に使用することもできます。

ここで重要な点は、サーバーとドメインを分離することで、IT 管理者が信頼されたコンピュータであるドメインメンバの TCP/IP 通信を制限できるようになることです。これらの信頼されたコンピュータは、他の信頼されたコンピュータまたは特定の信頼されたコンピュータのグループから行われた接続の受信だけを許可するように設定できます。アクセス制御を一元管理するには、Microsoft® Active Directory® グループポリシーを使用してネットワークへのログオン権限を制御します。また、アプリケーションを変更しなくても、ほとんどすべての TCP/IP ネットワーク接続をセキュリティ保護することができます。これは、IPsec がアプリケーション層の下位層にあたるネットワーク層で動作して、コンピュータ間のエンドツーエンドの認証およびパケットごとのセキュリティを提供するためです。さまざまなカスタマイズ可能なシナリオで、ネットワークトラフィックの認証、または認証と暗号化を実施できます。

トピック

ビジネス上の利点
 対象読者

ビジネス上の利点

論理的分離の防御層を導入する利点として、次のようなことが挙げられます。

セキュリティの強化。論理的分離の防御層によって、ネットワーク上のすべての管理対象コンピュータのセキュリティを強化できます。
特定の情報にアクセスできるユーザーの管理の強化。このソリューションを使用すると、コンピュータはネットワークに接続しても、それだけではすべてのネットワークリソースに自動的にはアクセスできなくなります。
コストの削減。このソリューションは通常、物理的分離ソリューションよりもかなり低いコストで実装できます。
管理対象のコンピュータ数の増加。管理対象コンピュータでしか組織の情報を使用できない場合、ユーザーがアクセスできるようにするには、すべてのデバイスを管理対象システムにする必要があります。
マルウェア攻撃に対する保護レベルの向上。分離ソリューションによって、信頼されていないコンピュータが信頼されたリソースにアクセスする能力が大幅に制限されます。したがって、攻撃者が有効なユーザー名とパスワードを入手した場合でも、信頼されていないコンピュータから行ったマルウェア攻撃は接続が許可されないため失敗します。
ネットワークデータを暗号化するメカニズム。論理的分離により、選択したコンピュータ間のすべてのネットワークトラフィックの暗号化を要求できます。
迅速な緊急時分離。このソリューションでは、攻撃が行われた場合、ネットワーク内部の特定のリソースを迅速かつ効果的に分離する仕組みが用意されています。
監査能力の向上。このソリューションでは、管理対象リソースが行うネットワークアクセスをログに記録して、監査することができます。

ページのトップへ

対象読者

このガイドは、初期評価および承認の段階から、展開、テスト、実装完了後の管理に至るまで、IT ライフサイクルのあらゆる段階でサーバー/ドメイン分離ソリューションをサポートできるように作成されています。したがって、このガイドの各章は、さまざまな読者のニーズを満たす内容となっています。

第 1 章は、サーバー/ドメイン分離プロジェクトの実施が組織にメリットをもたらすか否かの判断を行うビジネス上の意思決定者を主な対象とした内容になっています。この章の内容を理解するのに特定の技術的知識は不要であり、組織のビジネスおよびセキュリティのニーズを理解していれば十分です。

計画に関する章 (第 2 章から第 4 章) は、組織向けにカスタマイズしたソリューションの設計を担当する技術設計者および IT 専門家が参考に利用できる内容になっています。これらの章の内容を十分に活用するには、関連する技術と組織の現在のインフラストラクチャの両方を技術的に十分理解している必要があります。

第 5 章と付録は、組織のソリューションの展開計画作成担当者を対象とした内容になっています。ここでは、ソリューションを正しく展開するための推奨事項を多数紹介しており、またテストラボ環境を構築するための実践的な実装手順についても説明しています。

第 6 章は、ソリューションの実装が完了して完全に機能するようになった後の、日常の運用管理の担当者を対象とした内容で、リファレンスとして利用できるようになっています。この章で説明するさまざまな運用プロセスと手順を、組織の運用フレームワークに組み込むことをお勧めします。

第 7 章は、サーバー/ドメイン分離の展開のトラブルシューティングに関する情報を紹介したものになっています。 IPsec はネットワーク通信に本質的な影響を与えるため、トラブルシューティングに関する情報とテクニックを理解しておくと、このソリューションの一部として IPsec を実装する組織では非常に役に立ちます。

ご意見、ご感想

マイクロソフトでは、このガイドに関するご意見、ご感想を歓迎いたします。特に、次の質問に関するご意見をお待ちしております。

この情報はどの程度役に立ちましたか?
段階的な手順は正確でしたか?
各章は読みやすく関心を引く内容でしたか?
全体的に、このソリューションをどのように評価しますか?

ご意見、ご感想は SecWish@Microsoft.com (英語のみ) までお送りください。