セキュリティ対策の要点解説
第 6 回 誰も来なければ安全 Part 2 ~ IPSec ~
公開日: 2006年6月28日
.gif)
マイクロソフト株式会社
セキュリティ レスポンス チーム
小野寺 匠 著
前回、外部からの攻撃のリスクを抑える方法として Windows ファイアウォールを取り上げました。Windows ファイアウォールは、ネットワークのポートとプロトコルを基に、通信の許可・禁止を制御できる方法です。Windows には、他にも制御方法があり、その 1 つとして IPSec があります。
IPSec は、暗号化のための通信方式として知られていると思いますが、実際には暗号化を含めて正しい相手と安全に通信するために必要な機能一式が備わっています。特に、「正しい相手」と通信するために、通信前に通信相手を認証することができます。この機能を使うことで、通信相手別の通信制御を行うことができ、ファイアウォールの様な目的別の通信制御と組み合わせることで柔軟に通信の許可・禁止を制御し、安全な通信経路を確保することができます。この IPSec により、ドメインに参加していない、ユーザーやコンピュータをネットワークから実質的に締め出し、組織内のコンピュータを危険から守ることが可能です。たとえば、ウイルスに感染した個人所有のノート PC を家から企業のネットワークに持ち込んだとします。通常であれば、このノート PC から、他のノート PC に感染していきます。しかし、IPSec により適切なネットワークの分離・保護が行われている場合は、ノート PC は、ネットワークのどのコンピュータにも接続する事ができないため、感染が広がることを防ぐことができます。
認証:
IPSec では、認証が可能と書きましたが、Windows では以下の 3 種の認証が可能です。
Kerberos この認証方式を使用するには、Active Directory に参加していることが必要ですが、参加している場合はもっとも簡便に認証を行うことができ、ドメイン参加、非参加を区別するのは容易です。
証明書 証明書を事前にインストールしている環境のみが接続する事ができ、すでに証明書を配布・管理する環境が整っているのであれば、Active Directory は必ずしも必須ではありません。
パスフレーズ 一定のパスフレーズ (キーワード) を鍵にしてお互いを認証します。このキーワードが外部に漏れた場合、簡単に接続できてしまう可能性があります。また、パスフレーズの変更を行っても、各クライアントを再設定する必要がある点で、小規模環境向き、または、組織間通信の様な特別なもの向きと言えます。
フィルタ:
フィルタは、無条件許可または、IPSec による安全な通信経路の使用 (任意と強制) の計 3 つの許可形態をとることができます。その許可対象として、通信元先、ポートなどを指定することも可能です。また、フィルタは、複数を組み合わせて使用することが可能です。
ルール:
フィルタや認証方式を複数まとめてセットにしたものを、ルール (規則) と呼んでいます。実際に、各コンピュータで IPSec を使用するには、このルールを新規に作成し、Active Directory から配布するか、各コンピュータに設定する必要があります。
前回と今回の解説で、Windows ファイアウォールと、IPSec が用途によっては、機能が重なっている (または、類似している) と感じたのではないでしょうか? Windows Vista では、この 2 つの機能の設定が一箇所で統合的に行えるよう改善されています。また、IPSec の設定の UI も完全に見直されおり IPSec がより身近になるような UI となっています。
IPSec は、最初にフィルタ等々の検討に多少時間をかける必要がありますが、導入によるネットワーク内の安全性への貢献度が高く、効果的な対策方法の 1 つですので、導入を検討してみては如何でしょうか? 今回は、IPSec を紹介するに当たり重要な部分も含め大きく省いて説明しましたので、実際に検討する際には関連資料に一度目を通してみるとよいでしょう。
関連サイト:
.jpg)
この記事は、マイクロソフト セキュリティ ニュースレターで配信しました。