Microsoft Forefront: クラウド サービスへのアクセスをセキュリティで保護する
Forefront Threat Management Gateway 2010 を使用すると、ビジネスの継続性を維持しながら、クラウド サービスへのアクセスをセキュリティで保護できます。
Yuri Diogenes
クラウド コンピューティングへの移行には、依然として懸念事項があります。最大の懸念事項はセキュリティです。企業でクラウドへの移行の計画を立てるときには、現在のビジネスが中断されないようにする必要があります。ユーザーは、クラウド サービスでホストされるビジネス アプリケーションに常時アクセスできるする必要があり、セキュリティと高い可用性が確保されている必要もあります。
ですが、懸念事項は、それだけではありません。たとえば、すべてのオンプレミスのクライアントがクラウドにアクセスできない場合はどうでしょうか。電子メール システムがクラウドでホストされるようになったとき、インターネット接続が利用できなくなったらどうでしょうか。クラウド サービスにアクセスするために、より多くのユーザーが常時インターネット接続を確保する必要が生じた結果、セキュリティと生産性を維持するためには、どうすれば良いでしょうか。クラウドへの移行を計画するときに生じる一般的な課題があります。この課題を解決することで、今後の展開を具現化できます。
クラウドに移行する企業にとってセキュリティと可用性が最大の懸念事項になりますが、コスト削減がクラウドへの移行の最大の原動力となっているのは間違いありません。クラウド コンピューティングは、課金制システムの導入やデータセンターの設備コストの削減など、これまでにない新しい方法でコスト削減を実現するのに役立ちます。
多くの企業は、迅速にスケール アップ/スケール ダウンしたり、すべてのデバイス (PC、モバイル デバイス、ブラウザーなど) で充実したエクスペリエンスを提供したり、データを危険にさらすことなく、これらのニーズに対応する必要があります。Forefront Threat Management Gateway (TMG) 2010 は、IT プロフェッショナルやユーザーがビジネスを継続するのに必要な生産性ツールとクラウド サービスへのアクセスをセキュリティで保護するのに役立ちます。
クラウドに移行する
多くのビジネスがクラウドに移行するときには、生産性ツールなど、さまざまなビジネス機能をクラウドに移行することから着手する必要があります。ビジネス機能には、電子メール、チーム コラボレーション Web サイト、インスタント メッセージング、ビデオ会議、コンテンツ作成アプリケーションなどがあります。このような生産性ツールは、ビジネスの原動力となります。これらのツールはビジネスの中核となるもので、ユーザーが社内にいても、ホテルや客先からリモートで作業をしている場合でも、常に利用できる必要があります (図 1 参照)。
.jpg)
図 1 Office 365 はビジネスの生産性を向上するためのマイクロソフト クラウド ソリューションです
Contoso という架空の企業を使用して、仮定の状況を検証してみましょう。クラウドの計画と移行の手順に従って Contoso 社の状況を追跡します。Contoso 社では、すべてのビジネス生産性ツールをクラウドに移行することを検討しています。プロジェクトの最初の段階では、Exchange Online を使用して、米国で働いている従業員の電子メール システムをクラウドに移行します。
この最初の段階では 4 つの前提条件があります (図 2 参照)。
- 現在契約している ISP (インターネット サービス プロバイダー) のインターネット接続がダウンしても社内ユーザーに影響しないこと
- クラウドでホストしている電子メール システムにアクセスしているユーザーを、インターネットの潜在的な脅威から保護すること
- Contoso 社がリモート ブランチ オフィスに対して一元管理されたセキュリティ ポリシーを適用できること
- Contoso 社のセキュリティ ポリシーで禁止しているサイトにユーザーがアクセスできないようにすること
.jpg)
図 2 移行の最初の段階で満たしている必要がある 4 つの条件
高可用性
Forefront TMG 2010 は、移行の第 1 段階における Contoso 社の要件を満たすことができます (図 3 参照)。高可用性の要件を満たすには、Forefront TMG 2010 の次の機能を使用します。
- ISP-Redundancy: Contoso 社では、現在契約している ISP がダウンしてもインターネットにアクセスできます。これを実現するには、別の ISP と契約して、別のインターネット回線を確保する必要があります。
- 統合ネットワーク負荷分散 (NLB): Forefront TMG と NLB を統合することで、NLB ノード間でトラフィックを分散できるだけでなく、いずれかのノードがダウンしたときにはノード間でデータが正常にやり取りされることを保証できます。
.jpg)
図 3 Forefront TMG 2010 の高可用性機能を活用する
セキュリティを維持する
Exchange Online サービスには、ウイルス対策とスパム対策の機能が用意されています。ですが、Contoso 社では、電子メール システムから Web サイトを参照するときにユーザーが保護されるようにしたいと考えているので、多層防御のアプローチを採用します (図 4 参照)。
.jpg)
図 4 Forefront TMG 2010 の HTTPS 検査の機能を使用してオンプレミス リソースを保護する
この多層防御のアプローチにより、クラウドの威力を活用しながら、オンプレミスのクライアントがインターネットの脅威から保護されるようにすることが可能になります。
- リモート ユーザーが Contoso 社内のクライアントに電子メールを送信します。
- このメッセージがウイルスに感染していたので、Exchange Online のウイルス対策機能によってメッセージが検疫されます。
- クライアントのメールボックスには、新しいメッセージが到着したことを知らせる通知が表示されます。
- ユーザーは、メッセージを読んで、パートナー企業の Web サイトから最新のレポートをダウンロードするリンクが含まれていることに気付きます。エンド ユーザーは、このリンクがセキュリティで保護されたサイト (HTTPS を使用するサイト) であるため、レポートをダウンロードしてもセキュリティ上問題ないと判断します。
- Forefront TMG の HTTPS 検査機能では、トラフィックを分析し、証明書を検証して、マルウェア検査エンジンに検査の処理を委任して、ユーザーがダウンロードしようとしているファイルを分析します。ファイルがウイルスに感染していることが検出されると、マルウェア検査エンジンでは、ファイルがウイルスに感染しているために開けないことをクライアントに通知します。
ポリシーを適用する
Contoso 社の移行の第 1 段階では、米国で働いているユーザーのみを対象としました。各ブランチ オフィスには日々の業務に関する自治権があるので、Contoso 社では、各ブランチ オフィスが、各オフィスのトラフィックを制御できるようにする必要があります。また、会社の規則やポリシーにも準拠する必要があります。この目的を達成するには、複数のアレイ ポリシーのシナリオで Forefront TMG 2010 を使用して、エンタープライズ レベルで会社のポリシーを適用します (図 5 参照)。
.jpg)
図 5 一元的に会社のポリシーを適用しながら、各ブランチ オフィスに自治権を与える
このモデルでは、エンタープライズ内のすべてのアレイ ポリシーを一元管理できるビューが提供されます。また、会社のポリシーを適用するのにも役立ちます。ファイアウォールのポリシーやネットワークの規則を変更すると、Forefront TMG により、すべての既存のクライアント接続が、新しいポリシーや規則に準拠することが保証され、許可されていない接続は終了されます。
生産性を維持する
新しい電子メール システムを使用しているユーザーは、生産性を向上することに集中する必要があるので、ユーザーの注意をそらすものは最小限に抑える必要があります。また、会社のポリシーに従って、悪意のあるサイトへのユーザー アクセスをブロックする必要があります。Forefront TMG 2010 の URL フィルター機能では、Microsoft Reputation Service という名前のクラウド ベースのサービスを使用して、ユーザーがアクセスしようとしている URL を分類します (図 6 参照)。
.jpg)
図 6 Forefront TMG 2010 の URL フィルター機能を使用してインフォメーション ワーカーのエクスペリエンスを向上する
このプロセスのしくみは、次のとおりです。
- リモート ユーザーが Contoso 社内のクライアントに電子メールを送信します。
- このメッセージがウイルスに感染していたので、Exchange Online のウイルス対策機能によってメッセージが検疫されます。
- クライアントのメールボックスには、新しいメッセージが到着したことを知らせる通知が表示されます。クライアントは、メッセージを読んで、パートナーの新しいポートフォリオ (ギャンブル事業を含む) にアクセスするリンクが含まれていることに気付きます。
- Forefront TMG の URL フィルター機能では、URL を評価し、この URL のカテゴリが、会社のポリシーで許可されていない "ギャンブル" に一致するかどうかを Microsoft Reputation Service データベースに照会します。
- Forefront TMG では、このサイトへのアクセスをブロックし、ユーザーにサイトがブロックされた理由を通知します。
このサイトがブロックされるべきでないとユーザーが判断した場合、ユーザーは、一時的に Web サイトを閲覧して、サイトが正しく分類されていないことを管理者に通知できます。
Forefront TMG には、クラウド展開シナリオに役立つ機能が他にもあります。その一例がキャッシュです。Forefront TMG では、クラウド アプリケーションの HTTP データと HTTPS データをキャッシュできます。この機能により、帯域幅を節約したり、クラウド要求の待ち時間を短縮することでユーザー エクスペリエンスを向上できます。
Forefront TMG は、Windows Server 2008 R2 の BranchCache 機能を統合することでクラウド展開に役立ちます。このシナリオを解説するために、Contoso 社のクラウド移行の第 2 段階では、いくつかのブランチ オフィスのクライアントを対象とした Office Web Plus が含まれることを想定します (図 7 参照)。
.jpg)
図 7 ブランチ オフィスにあるリソースをクラウドに移行するのに役立つ Forefront TMG 2010 の BrachCache 機能
BranchCache 機能はリモート オフィスにクラウド サービスを提供するうえで次のように役立ちます。
- ブランチ オフィス クライアントは、Office Web Apps にアクセスするための要求をブランチ オフィスに配置されている Forefront TMG に送信します。
- Forefront TMG では、要求されたデータがローカル キャッシュにあるかどうかを検証します。ローカル キャッシュにない場合、ブランチ オフィスの Forefront TMG では、メイン オフィスの Forefront TMG に要求を送信します。
- メイン オフィスの Forefront TMG では、クラウドからデータを取得し、ダウンストリームのブランチ オフィスに配置されている Forefront TMG にデータを送信します。
- ブランチ オフィスの Forefront TMG では、ローカル キャッシュにデータを格納し、要求を送信したクライアントのワークステーションにデータを送信します。
- ブランチ オフィスの別のクライアント ワークステーションが、同じデータの要求を送信します。
- Forefront TMG では、要求を評価し、そのデータがローカル キャッシュにあることを確認して、クライアントにコンテンツを直接提供します。
このように、クラウドからクラウド ベースのオブジェクトを使用するユーザーが増えるにつれて、キャッシュ データは増築されます。このようなオブジェクトは、日中に何度もアクセスされます。Contoso 社では、クラウド ベースのオブジェクトを Forefront TMG でキャッシュすることで、アクセス速度を向上しながら帯域幅を節約できます。
クラウドへの移行を検討している企業にとってセキュリティが最大の懸念事項となっていますが、Forefront TMG 2010 を使用すると、セキュリティで保護された Web ゲートウェイを提供できます。セキュリティに関する懸念事項が解決されれば、クラウドに移行する最大の理由であるコスト削減に集中できます。
.jpg)
Yuri Diogenes は、CISSP、E-CEH、Security+、Network+、MCSE+S、MCTS、MCITP、および MCT の資格保持者であり、米国テキサス州アービングの CSS Forefront エッジ チームでシニア セキュリティ サポート エスカレーション エンジニアとして働いています。TMG/ISA のエスカレーションの対応を担当しており、TMG 製品チームと協力して、マイクロソフト ユーザーの代わりに、バグを報告して、デザイン変更依頼を登録しています。『Microsoft Forefront Threat Management Gateway Administrator’s Companion』(Microsoft Press、2010 年) をはじめとする Microsoft Forefront 関連の書籍を執筆しています。また、TMG チームのブログや TechNet マガジンの記事も執筆しています。