ASCII24 Business Center

BUSINESS CENTER / 特集

【特別企画】Technical Farm by NETWORK MAGAZINE


2002年12月24日

インターネットセキュリティ技術の最前線

電子商取引の急速な普及や地方自治体を含めた省庁の電子申請、電子入札など、現代を生きる企業にとって、ネットワークは最も重要なビジネスインフラであるといえる。日々新しい技術が生まれるネットワーク業界の最前線をタイムリーに紹介しよう。

本特集の紹介製品

eEye Iris 住友金属システムソリューションズ
LinkRunner ネットワーク・マルチメーター フルーク
セーフティパスビジネス NTTコミュニケーションズ
e-VLAN NTTコミュニケーションズ
SonicWALL TELE3 SP SonicWALL

「予防」「防御」に加えパケット解析が求められる

ブロードバンドをベースとしたネットワークが重要な企業のビジネスインフラとなった今、ネットワーク障害や不正アクセスによる問題が生じた場合、企業のネットワーク管理者は、早急に問題を確定し、それに適した対策を講じる必要がある。インターネットを利用したVPNの構築やファイアウォールなどさまざまな、セキュリティ対策が実施されている中にあって、ネットワークセキュリティにおいて、最近、注目を集めているのが、侵入検知システム(IDS)である。

従来、セキュリティ対策は、大まかに分けて、「抑止」、「予防」、「防御」、「検知」、「回復」の5段階にカテゴライズされ、これまでは「抑止」や「予防」、「防御」をどうするかといったことに力が注がれていた。つまり、不正アクセスやウイルスの被害を事前に食い止め、安全なネットワークを構築しようという発想である。

ただ、インターネットのセキュリティの世界には100%の「安全」は存在しない。どれだけ、予防や防御に力を入れても、ネットワークトラブルは少なからず発生してしまう。そこで、リスクマネジメントの観点から、現在では、100%の安全性を追求するだけではなく、トラブルが発生した場合に発生要因をいち早く確定し、有効な対処法を施すことに重点が移行しつつある。その際に有効で確実な手段がパケットを解析し、不正パケットかどうかを判断する技術である。

予防,防御だけでなくパケット解析も重要視されているのだ。

パケット&プロトコルのリアルタイム・モニタリングソフト

eEye Iris

住友金属システムソリューションズ
URLhttp://www.smisoft.com/

eEye Iris
eEye Iris

正確かつ詳細にネットワークの内部を把握するには、流れるパケット単位でデータをキャプチャし、解析する手法がもっとも確実、かつ、効果的である。eEye Irisは、ネットワークを流れるパケットをリアルタイムにキャプチャし、その内容表示から、構造解析、デコード(復元)までの、一連の機能を備えた、ネットワーク管理者必携のソフト。

基本的なパケットキャプチャ機能に加え、パケットの解析機能をリアルタイムに実行できるほか、ポートごと、プロトコルごとに詳細な解析結果を表示する機能や、IPごとのネーミング機能を用いた表示切り替え、ネットワークの統計グラフ表示など高度な機能も備えている。フィルタ機能を使えば、プロトコル別、ポート別、ユーザー別での解析も可能。問題発生の可能性のある箇所を絞り込みながら、迅速に原因を見つけ出して解決することができる。

パケットを解析するソフトは、他社からも数多くリリースされているが、それらのソフトとは違い、複数パケットから人間の目で見ることのできるGUIレベルのデータ形式にデコード(復元)できる機能を備えていることが大きな特徴である。たとえば、httpポートのデータからは閲覧したWebをデコード(復元)でき、SMTPやPOP3ポートのデータからは、送受信した電子メールを添付ファイルとあわせてOutlook上に復元して表示してくれるのである。デコード機能が搭載されていることにより、パケット解析技術についての高度で専門的な知識がなくても、問題を早急に把握でき、短時間で解析できるツールである。

  • 製品名:eEye Iris
  • 価格:248,000円
  • 問い合わせ先:03-5815-7258


デスクトップとネットワークの接続を即診断! システム管理者必携ツール

LinkRunner ネットワーク・マルチメーター

フルーク
URLhttp://www.flukenetworks.com/jp/

LinkRunner ネットワーク・マルチメーター
LinkRunner ネットワーク・マルチメーター

現代を生きる企業のライフラインとなったネットワーク。日々、高速化、複雑化されつつあるネットワークではあるが、そのトラブルの約80%は単純な配線や接続性に起因しているという。LinkRunner は、ネットワークが正常に機能しない場合、その原因がネットワーク側にあるのか、あるいは PC NIC側にあるのかを速やかに切り分け、判別できるハンディ・テスター。速やか、かつ、確実なトラブルシューティングを実現し、ネットワークを素早く復旧させることで、企業の生産性を高めることができる。

ネットワークにおける物理層、データリンク層の問題解決するのに不可欠なテスト機能を備え、キーデバイスとの接続性を確認する「ピング」、複合的なテストによりケーブル不良を素早く検出する「ケーブル検査」などの機能により、トラブルシューティングに費やす時間を大幅に削減。ネットワークの物理層、あるいは、リンク層の問題を識別するために必要な段階的な作業を、大幅にスピードアップできるのが特徴だ。

また、使用方法も簡単で、ネットワークのトラブルシューティングの経験の少ないエンジニアでも、安心して利用できる。重量もわずか128gと、ポケットに入る大きさなので、最前線で活躍するネットワーク・エンジニアの1人に1台持たせることで、様々な利用シーンでの活躍が期待できる。トラブルシューティングの現場で、ネットワーク、あるいは、PC NIC のどちらで問題が起きているかを判定する精度が上がり、速やかにトラブルを解決できるようになる。

  • 製品名:LinkRunner
  • 価格:90,000円
  • 問い合わせ先:03-3434-0181



強固なネットワークを実現! 最新セキュリティツール群

ネットワークトラブルの多くは基本的な接続が問題

ネットワークが企業のライフラインとなっている現在、ネットワークトラブルを最小限度に抑えることは企業にとって重要事項である。高度にネットワーク化された現代の企業にとっては、いざ問題が発生した場合に、その原因を見つけ出す作業も複雑化している。しかし、高度に複雑化したネットワークだからこそ、ネットワークが正常に機能しない問題の多くは、単純な配線ミスや接続の不具合といった、極めて初歩的な事柄に起因しているのも事実である。

インターネットのセキュリティ技術が、予防、防御といった観点から、不正アクセスのパケットやウイルスが「侵入したことを検知する」、侵入検知へと、その重要性が移行しつつあるなか、一方では、基本的、物理的なネットワークトラブルへの対処も見逃せない、セキュリティ技術である。

つまり、オフィスなど、実際のビジネスの現場で、ネットワークトラブルが発生した場合、不正アクセスやウイルスなどによるアクシデントの原因を探すとともに、ネットワーク自体が正常に接続され、稼動しているかを探ることも忘れてはならないのである。最近では、ネットワークの接続性に関するチェックを素早く行えるハンディタイプのツールもリリースされているので、ウイルスや不正アクセス対策と同時にネットワークそのものの正常な稼動を維持するのに効果的だろう。

また、企業同士がインターネットを経由して電子商取引を行ったり、または、営業社員が外部から自社のイントラネットにアクセスして情報を共有する場合などでは、インターネットVPNが注目されている。

VPNとは、「Virtual Private Network」の略称で、仮想的に自社だけのネットワークを構築できるという技術である。従来は、外部からのアクセスを制限し、いわゆる「閉じたネットワーク」を構築するには、専用線などを利用するのが一般的で、導入コストや通信費用の高さが、企業のとっての問題であった。専用線の場合には、通信距離と通信時間によって課金される場合があり、ネットワークを利用して自由にビジネスを展開しようとする企業にとっては、利用する際のコストの高さが問題であった。

それに対し、インターネットVPNとは、IPSecと呼ばれる暗号化の技術を用い、通常のインターネット網を利用してVPNを構築するものである。専用線など従来のネットワークと比べて、導入コスト、運用コストも大幅に低減でき、しかも、安全性の高いプライベートネットワークを構築できることが魅力といえる。そのため、最近では、インターネットVPNを構築し、利用できるツールが各社からリリース井されている。ただし、インターネットVPNも、もちろん完璧にセキュリティが確保されたネットワークではない。プライベートなネットワークであるために、外部からのアクセスに対する防御はされているものの、内部で利用する際に、利用者本人であるかどうかを認証する手法が完璧には確立されていないのである。そんな不安を解消するためには、ICカードの利用が適している。ICカードで本人を認証できれば、ネットワークはより強固なものとなる。

ICカードを用いた企業・特定会員向けハイセキュア認証・接続サービス

セーフティパスビジネス

NTTコミュニケーションズ
URLhttp://www.safety-pass.com/safetypass/

セーフティパスビジネス
セーフティパスビジネス

「セーフティパスビジネス」は、企業とその社員間(BtoE)や企業間(BtoB)、事業会社とその代理店・販社などの特定会員間における情報のやり取りや決済を、インターネット上でICカードを用いて安全、かつ、簡便に実現できるハイセキュアな認証・接続サービス。専用のICカードとICカードリーダーを用いてアクセス者を認証し、アクセス者とNTT Comのセンター間でインターネットVPN(IPSecを利用)による、高いセキュリティの暗号路を設定する。NTT Comのセンターでは、企業のイントラネット内で、あらかじめアクセス者に許可された特定サーバへの接続のみを許可するため、不正アクセスやウイルスの被害を防止できる。

また、企業や事業者は、社員との間で、企業内データ、企業メールをはじめ、その他の重要情報のやり取りを、インターネットを用いて世界中どこからでも安全、低コストで実現できるメリットがある。たとえば、社員の自宅や外出先から社内イントラネットに接続する場合、従来のリモートアクセスでは、インターネットではなく電話接続による認証(RAS)が一般的で、出張先での利用が難しい、ADSLなどのブロードバンドが利用できないなどの問題点があった。一方、企業側も、アクセス者の本人認証が不確実となる、イントラネット内全てのサーバにアクセス可能となる、イントラネットにウイルスが侵入するなど、セキュリティ上の不安があった。セーフティパスビジネスを利用すれば、これらの問題を解消でき、ネット上の幅広い利用シーンが想定される。

  • 製品名:セーフティーパスビジネス
  • 価格:初期費用:4000円/人〜、基本料金:10,000円/月、アクセス料:600円〜/人・月
  • 問い合わせ先:03-6800-3560



今後の可能性が注目される広域Ethernet

セキュリティ技術を理解し適材適所で対策を講じる

企業のネットワークは、専用線をバックボーンとしたものから、インターネットを利用したものへと移行しつつある。その中で、インターネットVPNと同様に注目されているのが、IP-VPN、広域Ethernetである。

インターネットVPNとIP-VPNの違いを簡単に述べると、インターネットVPNがインターネットを利用したプライベートネットワークであるのに対し、IP-VPNは、通信事業者などから提供されているIPネットワークを利用している点である。インターネットVPNでは、インターネット回線が利用されるために、IPSecと呼ばれる暗号化技術が用いられる。通常、オンラインショッピングなどを利用する場合は、SSLなどの暗号化技術が利用されるが、これは、おもにInternet ExplorerなどのWebブラウザで暗号化をする技術である。インターネットそのものが企業システムの根幹に取り入れられることが多くなった現在では、Webブラウザといったアプリケーション上で暗号化をするだけでは、セキュリティが脆弱であると言わざるを得ない。そこで、アプリケーションに関係なく、全ての通信を暗号化しようと考え出されたのがIP Secである。IP-VPNの普及とあわせて、VPNでセキュリティを確保するために標準化されたプロトコルなのである。

一方、IP-VPNの場合には、MPLSと呼ばれる技術がベースとなっている。これは、パケットに実際の郵便での郵便番号にあたるラベルを貼り付け、パケットの中身を見なくても、送り先を瞬時に判断することでネットワークの高速化を実現した技術である。IP-VPNでは、サービスを提供するキャリアが構築した巨大なIPネットワーク上に仮想的にプライベートネットワークを作り上げる。そのため、ユーザーは、このキャリアの巨大なIPネットワークを複数のユーザで共用することになり、その場合にセキュリティの確保が重要な問題となる。MPLSでIP-VPNを構築すると、貼り付けられたラベルでパケットが属するユーザグループが識別・分類されるために、ユーザグループごとにセキュリティを確保したプライベートネットワークを構築できるのである。

インターネットVPN、IP-VPNの普及とあわせて、将来的に可能性のあるネットワークとして脚光を浴びているのが、広域Ethernetである。仕組みを簡潔に述べると、企業の本社のLAN、支店のLANをネットワーク化し、広範囲にわたるLANを構築しようというものである。インターネットVPNやIP-VPNが基本的にIPをプロトコルとしたネットワークであるのに対し、IPX、SNA、AppleTalkなど、Ethernet上の多くのプロトコルを利用できるほか、RIP、OSPF、BGP4、EIGRPなどのルーティングプロトコルも利用できるのが特徴である。

インターネットが企業のビジネスインフラとなりつつある今、セキュリティの確保は最重要課題である。ファイアウォールの導入、侵入検知、ICカードによる個人認証、インターネットVPN、広域Ethernetなど、さまざまな観点からセキュリティが論じられている。重要なのは、それぞれの技術の長所を理解し適材適所でセキュリティ対策を講じることである。

イーサネットを用いた低コスト・セキュアな広域LAN間接続サービス

e-VLAN

NTTコミュニケーションズ
URLhttp://www.e-vlan.com/

e-VLAN
e-VLAN

e-VLANは、複数拠点のLANをEthernet網で接続し、広域ネットワークを構築するサービス。中継網を超高速なEthernet装置で構築することにより、企業の情報ネットワークに求められるセキュリティ、高速性、柔軟性を低コストで実現。通信速度も低速からギガビットクラスまでに柔軟に対応。また,利用者側が、現在、使用しているネットワーク機器をEthernetのインタフェースで、e-VLANに接続するだけで、簡単に広域Ethernetを構築できるので、ネットワーク導入に関するコストの削減も可能となる。

e-VLANの特徴は、まず、複数拠点のフルメッシュ網を実現するマルチポイント接続型サービスであること。プラグ・アンド・プレイ感覚で利用でき、接続先などの複雑な設定は不要。使いやすく、簡素なネットワークを構成できる。拠点を追加したい場合にも、設定変更が容易なため、ネットワークの管理コストも削減できる。

また、プロトコルフリーで、IPはもちろん、IPX、SNA、AppleTalkなど、Ethernet上の全てのプロトコルを転送可能。IPを利用する場合には、RIP、OSPF、BGP4、EIGRPなど、あらゆるルーティングプロトコルを利用できるもの特徴である。現在、利用しているネットワークの、プロトコルの変換やルーティングプロトコルの変更をする必要がないため、最小限の構成変更でe-VLANに移行できる。

  • 製品名:e-VLAN
  • 価格:ゾーン内通信料:16,000/月〜、ゾーン間通信料:5000円/月〜、その他、回線使用料加算額、初期費用、工事費などが別途必要


手のひらサイズの小型ファイアウォール&VPNアプライアンス

SonicWALL TELE3 SP

SonicWALL
URLhttp://www.sonicwall.co.jp

SonicWALL TELE3 SP
SonicWALL TELE3 SP

POS(Point-of-sales)やリモートワーカーに最適な、コンパクトサイズのファイアウォール・VPNアプライアンス。IPSec VPNの構築機能を標準搭載している。11.8×16.5×3.4センチというコンパクトサイズで、場所がとれないキオスク端末などへの設置も可能なほか、出張や外出の多い営業社員に携帯させれば、ホテルや自宅などからVPNを経由して社内のイントラネットに安全、確実にアクセスできるようになる。アナログモデムも内臓しているので、ブロードバンド接続とダイアルアップ接続をフレキシブルに選択することが可能。ブロードバンド回線が利用できない場合でも安心だ。

IPSecを使ったVPN接続の可用性を高める、自動フェイルオーバー・フェイルバック技術を備えているため、ブロードバンド接続が万が一使えない場合でも、ビジネスのダウンタイムを最小限に抑えることができる。また、ハイアベイラビリティが標準搭載されているほか、ハイパフォーマンスな3DES VPNを実現したセキュリティASICも搭載されているので、POSやATMなどのミッションクリティカルなビジネストランザクションにも利用可能だ。

あわせて「SonicWALL Global Management System」を利用すれば、SonicWALL TELE3 SPをはじめ、VPNやコンテンツフィルタリングなどのセキュリティアプリケーションを集中管理することもできる。全国に小売店や支店が点在している企業や、多くのリモートワーカーのアクセスを本社で集中管理しなければならない企業にとって、最適なソリューションとなるだろう。





[通常ページに戻る]
ASCII24 http://ascii24.com/
Copyright (C)1999-2007 ASCII Corporation. All rights reserved.