Microsoft Forefront: Forefront を使用して多層防御を実現する
Microsoft Forefront で提供されている複数の層に渡る複数の保護モードを使用すると、ニーズに的確に合った保護を構成できます。
William Stanek
スパム、ウイルス、フィッシング詐欺、マルウェアなど、世の中には悪意のあるものがあふれ返っています。悪意のあるユーザーが環境に入り込むと、過去のセキュリティ ツールや手法を単独で使用しても役に立ちません。一歩先を行くには、ツールを新しくしたり、手法を再考したりする必要があります。このような場合に Microsoft Forefront が役に立ちます。
Forefront は多層構成の製品ファミリで、エンタープライズ レベルの ID 管理と保護ソリューションを提供します。Forefront 製品の展望は変化し、個人的に "2 乗の多層防御" (DiD2) と呼んでいる機能が用意されているため、迷路のように入り組んだ Forefront 製品について説明するのは厄介です。
何度かの変遷を経た結果、現在、Forefront 製品ファミリは、次の製品で構成されています。
- Forefront Protection 2010 for Lync Server
- Forefront Identity Manager 2010
- Forefront Endpoint Protection 2010
- Forefront Threat Management Gateway 2010
- Forefront Unified Access Gateway 2010
- Forefront Online Protection for Exchange Server
- Forefront Protection 2010 for Exchange Server
- Forefront Protection 2010 for SharePoint
特に、次の関連製品の利用を段階的に廃止して、上記の製品に段階的に移行する場合には、申し分のないラインアップと言えます。
- Identity Lifecycle Manager 2007
- Forefront Client Security
- ISA Server 2006
- Intelligent Access Gateway 2007
- Office Communications Server 2007
- Forefront Security for Office Communications Server
製品の移行
Forefront Protection 2010 for Lync Server は Office Communications Server 2007 に代わる製品です。Lync Server は統合コミュニケーション (UC) プラットフォームで、プレゼンス、会議、インスタント メッセージングの機能と、従来の PBX システムを強化する (または PBX システムの代わりに使用できる) エンタープライズ レベルの音声機能が用意されています。
Forefront Protection 2010 for Lync Server を社内サーバーにインストールすると、UC 環境を保護できます。Forefront Protection では、ポリシーに準拠していないコンテンツをブロックしたり、マルウェアやスパムをフィルター処理したりするスキャン エンジンとフィルターを使用して、プレゼンス、会議、およびインスタント メッセージングを保護します。
Forefront Identity Manager 2010 は Identity Lifecycle Manager 2007 に代わる製品です。Forefront Identity Manager は、ユーザー ID、ユーザーのアクセス レベル、リソース、および資格情報を制御する、統合されたポリシー管理システムです。異種混在の環境に対応するように設計されているので、ビジネス所有者と IT では、この製品を使用して、すべてのエンタープライズ システム (基幹業務 (LOB)、アプリケーション、データベース、ディレクトリなど) を、同じ一連のポリシーに準拠させることができます。Forefront Identity Manager では、次のことに重点を置いています (図 1 参照)。
- ユーザー管理: アクセスとリソースに関するプロビジョニングおよびプロビジョニング解除
- 資格情報の管理: 複数のシステムにおける資格情報の管理と同期
- グループ管理: セキュリティ グループと配布リストの管理
- ポリシー管理: 複数のシステムを対象にしたポリシーの作成と適用
図 1 Forefront Identity Manager 2010 の概要
Forefront Endpoint Protection 2010 は、ネットワーク エンドポイントを管理および保護するための統合ソリューションです。エンドポイントのコンピューターは、エンタープライズ ネットワークに参加しているクライアントやサーバーです (通常はゲートウェイやエントリ ポイントとして使用されていないものです)。Forefront Endpoint Protection は Forefront Client Security に代わる製品で、System Center Configuration Manager 2007 をベースとしています。
Forefront Endpoint Protection では、Configuration Manager のインフラストラクチャを使用して、エンドポイントの保護を展開して管理します。Forefront Endpoint Protection には、セキュリティ エージェントおよび管理サーバーという 2 つの主要なコンポーネントが用意されています (図 2 参照)。セキュリティ エージェントは、エンドポイント コンピューターで実行され、あらゆる種類のマルウェアからリアルタイムに保護し、事前設定されたスケジュールに基づいて脅威をスキャンします。また、管理サーバーを使用すると、一元的に保護を展開して管理することができます。
図 2 2 つの主要なコンポーネントが用意されている Forefront Endpoint Protection 2010
Forefront Threat Management Gateway (TMG) 2010 は ISA Server 2006 に代わる製品です。Forefront TMG は、Web ベースの脅威から保護することを目的としたセキュリティが確保された Web ゲートウェイです。サーバーは脅威を管理するファイアウォールとして機能し、URL フィルター処理、マルウェアの検出、侵入防止、および HTTP/HTTPS 検査を実行できます。HTTPS 検査 (図 3 参照) により、Forefront TMG では、SSL で暗号化された Web トラフィックを転送時に検査して、セキュリティ ポリシーに準拠しているもののみが通過するようにできます。HTTPS 検査により、マルウェアが簡単に検出できるようになり、承認された Web サイトしか閲覧できないようにすることができます。ただし、機密情報を扱うサイト (銀行のサイトなど) は検査の対象から除外されます。図 3 に、このプロセスのしくみの概要を示します。
Forefront TMG は、仮想プライベート ネットワーク (VPN) エンドポイントとして機能し、サイト間の VPN 接続を可能にして、リモート アクセス VPN クライアントが TMG サーバーにアクセスするようにします。また、TMG サーバーにアクセスする VPN トラフィックを検査して、セキュリティ ポリシーに準拠しているかどうかを確認することもできます。プロセスのしくみは、HTTPS 検査と似ています。TMG サーバーは、ブランチ オフィスのホスト型キャッシュ サーバーとしても機能し、BranchCache の展開を簡略化できます。ブランチ オフィスの TMG サーバーでは、読み取り専用のドメイン コントローラーの役割も兼任できます。
図 3 Forefront Threat Management Gateway 2010 の HTTPS 検査機能
メール対策
Forefront には、Exchange Server を保護する堅牢な機能が用意されています。
- Forefront Online Protection for Exchange Server では、エンタープライズの Exchange Server にメールが着信する前に、ポリシーに準拠しないコンテンツをブロックしたり、マルウェアやスパムをフィルター処理したりする、オフプレミスでホストされるスキャン エンジンとフィルターを使用して、送受信する電子メールを保護します。
- Forefront Protection 2010 for Exchange Server では、ローカルにインストールされているスキャン エンジンとフィルターを使用して、ポリシーに準拠していないコンテンツをブロックしたり、マルウェアやスパムをフィルター処理して、オンプレミスの Exchange Server における電子メールの送受信を保護します。
オフプレミスでホストされるソリューションは、ハードウェアやソフトウェアをインストールする必要はなく、Microsoft Online Services の 1 つとして機能します。このソリューションは、オンプレミスでホストされるソリューションや Exchange Online メッセージングと併せて使用できます。どちらも、メッセージを検査してから、受信トレイに送信するのに役立ちます。
オンプレミスのソリューションは、オンプレミスの Exchange メッセージングと合わせて使用できるように設計されています。このソリューションは、エッジ サーバー、ハブ サーバー、メールボックス サーバー、およびパブリック フォルダー サーバーにインストールする必要があります。メッセージの転送中 (メッセージが送信先に配信される前) に検査を行います。ホストされているソリューションと併せて使用すると、オンプレミスのメッセージング環境とオフプレミスのソリューションの間でセキュリティが強化されたストリームが作成されます。
スキャン エンジンとフィルターは、両製品の中核を担う機能です。複数のスキャン エンジンとフィルターを使用することで、1 つのエンジンでエラーが発生したり、更新のためオフラインになった場合に、スパム、危険な添付ファイルなどの不要なコンテンツを引き続きブロックできるようにしています。メッセージがエッジ サーバーやハブ サーバーで転送され、メールボックス サーバーやパブリック フォルダー サーバーに格納されるときに、リアルタイムでメッセージを検証します (図 4 参照)。
図 4 Forefront Protection 2010 for Exchange Server を使用したメッセージのスキャン
Forefront Unified Access Gateway (UAG) 2010 は Intelligent Access Gateway 2007 に代わる製品です。Forefront UAG を使用すると、リモート クライアントは、エンタープライズ アプリケーション、リソース、およびネットワークに安全にアクセスできます。また、Web アプリケーションと非 Web アプリケーションを発行できるので、HTTP または HTTPS プロトコルを通じてリモートでアプリケーションにアクセスできます。たとえば、マイクロソフト製のアプリケーション、LOB アプリケーション、リモート デスクトップ サービスで使用可能な RemoteApp などを発行できます (図 5 参照)。Forefront UAG は DirectAccess サーバーとして構成して、クライアントが、VPN 接続を使用することなく、内部リソースに直接接続できるようにすることも可能です。
図 5 Forefront Unified Access Gateway 2010 を使用して外部からアクセス可能なアプリケーションを発行する
最後に紹介する Forefront ソリューションは、Forefront Protection 2010 for SharePoint です。Forefront Protection 2010 for SharePoint では、SharePoint ライブラリに格納され共有されているドキュメントに対して多層防御を提供します。SharePoint サーバーにスキャン エンジンとフィルターをインストールして、ウイルス、マルウェアなど、悪意のあるコンテンツを含むファイルを、ユーザーがアップロードまたはダウンロードしないようにします。また、機密情報を保護したり、不適切なコンテンツをブロックしたりするポリシーを設定もできます。
Forefront と関連する Forefront 製品ファミリの紹介は以上です。Forefront の最大の特徴は、エンドポイント コンピューター、通信サーバー、コラボレーション サーバー、およびエンタープライズ ネットワークに対して DiD2 防御を実現することです。
Forefront 製品ファミリ一覧
- Forefront Protection 2010 for Lync Server
- Forefront Identity Manager 2010
- Forefront Endpoint Protection 2010
- Forefront Threat Management Gateway 2010
- Forefront Unified Access Gateway 2010
- Forefront Online Protection for Exchange Server
- Forefront Protection 2010 for Exchange Server
- Forefront Protection 2010 for SharePoint
William R. Stanek は、先駆者的なテクノロジの専門家で、優秀なトレーナーや 100 冊以上もの優れた書籍の著者としても活躍しています。[twitter.com/WilliamStanek (英語)]https://(twitter.com/williamstanek) で Stanek をフォローしてみてください。