トピック要点インターネットの普及は、多くの組織での仕事のあり方に大きな変化をもたらしました。競争上の優位性を維持するために、組織が、自宅や支社、ホテル、インターネット カフェ、また客先などの離れた場所から企業のネットワークに接続するように、社員に求めることが増えています。このようなリモート接続は、通常、仮想プライベート ネットワーク (VPN) テクノロジを使用して実装されています。 社員およびパートナーは、VPN 接続により、パブリック ネットワーク経由で安全に企業のローカル エリア ネットワーク (LAN) に接続できます。VPN テクノロジを利用したリモート アクセスは、リモート管理や高度なセキュリティ アプリケーションなど、多くのビジネス機会を新しく創出する鍵となります。多くのビジネス グループやユーザーが利用している、生産性アプリケーションや管理アプリケーションには、安全かつ頻繁な企業 LAN へのリモート アクセスが要求されます。 VPN は、VPN トンネルを通過するデータを暗号化することで、安全な VPN アクセスを提供していますが、リモート アクセス コンピュータから発信されるウイルスやワームなどの、悪意のあるソフトウェアを使った侵入は防ぐことができません。ウイルスやワームの攻撃は、LAN に接続しているウイルスやワームに感染したコンピュータを起点として行われる可能性があります。 金融サービス部門などの組織は、安全な取引を行っているという信用を維持することが必要なため、軽微なセキュリティ侵害であったとしても、会社のイメージは低下してしまいます。したがって、VPN 接続では、強力なアクセス要件のチェックと確認が必要になります。 リモート コンピュータが組織のセキュリティ要件を満たしていない場合、潜在的に危険性のある VPN アクセスが発生する可能性があります。ほとんどの VPN 実装では、リモート コンピュータが企業のネットワークに接続する前に、そのコンピュータに最新のセキュリティ更新プログラムまたはウイルス シグネチャが設定されているかどうかを確認することは不可能です。このため、多くの組織では、基本的な VPN ベースのリモート アクセスは組織のセキュリティ要件を満たすものではないと考えられています。 VPN 検疫は、これらの問題を解決するメカニズムを備えています。VPN 検疫は、VPN プロトコルを使用してネットワークに接続するコンピュータに必ず接続前チェックと接続後チェックを行い、そのコンピュータが必要なセキュリティ ポリシーを満たすまで隔離します。これらのチェックは、カスタム スクリプトによって実行され、サービス パックのバージョンとセキュリティ更新プログラムを確認し、さらに承認されたウイルス対策ソフトウェアが最新のウイルス定義ファイルによって実行されているかどうかも確認します。これらのカスタム スクリプトを使用して、他の要件をテストすることもできます。 VPN 検疫ソリューションは、指定したリモート アクセス ポリシーを満たす、接続しているすべてのコンピュータを検疫ネットワークに置き、これらのコンピュータが組織のセキュリティ ポリシーに従っているかどうかを確認します。リモート アクセス VPN サーバーは、リモート アクセス コンピュータがすべての接続チェックに合格した場合のみ、検疫制限を解除し、企業のネットワーク リソースへのアクセスを許可します。 このガイドでは、Microsoft® Windows Server™ 2003 Service Pack 1 (SP1) で利用可能な新機能を使用した Microsoft Virtual Private Network (VPN) で、検疫サービスを計画および実装する際の課題を説明します。 ビジネス上の課題VPN 接続経由のリモート アクセスを準備する際、組織が直面する課題はさまざまです。これらの課題は、提供するサービスや、ビジネスを展開する際の規制の枠組、またセキュリティ環境によって異なります。一般に、次のような課題が挙げられます。 | • | 効果的な VPN アクセス ポリシーを定義する。 | | • | ウイルスやワームなどに感染したコンピュータ、またはアクセス ポリシーに従っていないコンピュータが企業 LAN に接続する可能性を減少させる。 | | • | データの安全性の確保、および個人情報の管理のための法的要件に従う。 |
ビジネス上の利点効果的な VPN 検疫サービスを実装することには、多くの重要な利点があります。たとえば次のような利点があります。 | • | 企業の資産へのより安全なアクセスの実現。VPN 検疫は、ウイルス対策ソフトウェアおよびセキュリティ更新プログラム要件を厳守することにより、ネットワーク アクセスのセキュリティを強化します。 | | • | サービスの管理と保守の簡素化。 組織での VPN 実装のための最新で、かつ安全なテクノロジを標準化することができます。特殊なリモート アクセス コンピュータ システムなどのハードウェア VPN の実装をネットワーク インフラストラクチャから取り外し、サポート ツール、ドキュメンテーション、および接続プロセスを簡素化できます。このように簡素化することで、VPN アクセス ソリューションの毎日の運用サポートが改善され、検疫ソリューションの実装の管理コストを上回る利益が得られます。 | | • | リモート アクセスの予測性と有用性の向上。 信頼性と有用性が向上すると、社員がより VPN サービスを使用するようになり、重要な作業および重要なコーポレート リソースの保護に対しての信頼性をなお一層高めることになります。 | | • | 総保有コスト (TCO) の削減。リモート コンピュータが、信頼できるコンピュータ ポリシーに固く準拠することにより、管理およびサポート コスト全体を削減します。サポートへの問い合わせの減少、またウイルスやワームからの攻撃への対応に費やす時間の減少により、これらのコスト削減が達成されます。 | | • | クリティカルなビジネス情報に対するセキュリティの強化。顧客情報は、ほとんどの組織、特に規制を受ける環境下で活動している組織にとって、最も重要なものです。顧客情報を可能な限り安全に保持することは、規制基準の準拠に役立ち、組織のビジネス上の信用を維持することになります。 | | • | ビジネス プロセスの改善。VPN 検疫ソリューションを実装すると、営業部の管理職や、顧客アカウントのマネージャ、およびコンサルタントにとってのビジネス アプリケーションとプロセスの可用性が高まります。このように可用性が高まることによって、意思決定の転換が迅速になり、提供する製品およびサービスに、より柔軟性をもたせることができます。 |
このような利点の詳細については、第 2 章「仮想プライベート ネットワークの検疫へのアプローチ」を参照してください。 対象読者このガイドは、大規模な組織に所属し、厳密なプライバシーを必要とする人々、および厳格な規制を受ける環境下で働く人々にとって有益な情報を提供します。このガイドは、ID 保護やデータへのアクセス制御が必要な、あらゆる規模の組織にも適用されます。 このガイドの対象読者は、リモート アクセス リンクおよびネットワーク セキュリティの計画、展開、または運用に携わる技術面での意思決定者、エンタープライズ設計者、およびエンタープライズ セキュリティ管理者です。また、Microsoft Windows® を使用する VPN ネットワークの計画、展開、または運用に携わるコンサルタントにとっても、このガイドの情報は役に立ちます。 必要な知識このガイドは、リモート アクセス管理の概念および技術に関する知識に精通している読者を対象としています。このガイドで示しているソリューションを実装するには、次の分野および技術を理解し、それに関する知識に精通している必要があります。 | • | Windows Server 2003 リモート アクセス | | • | インターネット認証サービス (IAS) またはその他のテクノロジを使用したリモート認証ダイヤルイン ユーザー サービス (RADIUS) の実装 | | • | 接続マネージャと接続マネージャ管理キット (CMAK) | | • | スクリプトまたはバッチ ファイル プログラム | | • | 証明書サービスと公開キー基盤 (PKI) |
このガイドでは、Microsoft Operations Framework (MOF) の運用およびサポート プロセス モデル作業領域についても触れています。また、MOF のセキュリティ管理およびインシデント管理サービス管理機能 (SMF) についても触れています。MOF の詳細については、Microsoft Operations Framework の Web サイト www.microsoft.com/japan/technet/itsolutions/techguide/mof/default.mspx を参照してください。 計画ガイドの概要このガイドは、次の章で構成されています。 第 1 章 :はじめに この章では概要を説明し、検疫サービスを備えた VPN を展開するうえでのビジネス上の課題と利点を紹介します。また、このガイドの対象読者、およびこのガイドを読むうえで必要となる知識を示し、このガイドに含まれる各章の概要とソリューション シナリオについて説明します。 第 2 章 :VPN 検疫へのアプローチ この章では VPN 検疫アクセスへのアプローチを概説します。また、在宅勤務者シナリオ ソリューションのための VPN アクセスの基本要素についても説明します。 第 3 章 :問題点と要件 この章では、Woodgrove National Bank のシナリオを紹介します。次に Woodgrove National Bank での VPN 検疫シナリオの背景、ビジネス上の問題点、技術とセキュリティ上の問題点、およびソリューション要件を明らかにします。また、在宅勤務者の VPN アクセスのソリューション シナリオを説明し、このシナリオのビジネス面、技術面、およびセキュリティ面の課題を探ります。 第 4 章 :ソリューションの設計 この章では、在宅勤務者のための VPN アクセスのシナリオ ソリューションを計画する方法の詳細について説明します。シナリオ ソリューションの概念、前提条件、ソリューション アーキテクチャ、およびソリューションのしくみについて検討します。最後に、ソリューションの拡張方法について説明します。 検疫サービスを備えた VPN の使用についての概説に加え、このガイドには、このシリーズで紹介する Woodgrove National Bank シナリオで構築される安全なリモート アクセス ソリューションの実装のための規範的なガイダンスも記載されています。このシナリオでは、在宅勤務者のための安全な VPN アクセスの実装方法を示しています。 マイクロソフトが作成した Woodgrove National Bank シナリオを通じて、VPN ネットワークの検疫サービスを提供する際に組織が直面する一般的な課題、およびマイクロソフトが提供するテクノロジを使用して、どのようにこれらの課題に取り組むかについて示しています。このシナリオでは、以下の課題に取り組んでいます。 | • | ほとんどの時間をオフィス以外の場所で過ごす営業担当者のために安全なリモート アクセスを実装する。 | | • | 従業員が自宅で生産性を継続できるように、主な天気事象に沿ったビジネス継続性を提供する。 | | • | 作業者が自宅で働くことを選択できるように、フレキシブルな作業環境を提供する。 | | • | リモート コンピュータへ適切なソフトウェアの更新プログラムを配信する。 |
| 
