20-3. ユニバ−サル・アクセスの設計 `29/01〜09 (1) ユニバ−サル・アクセス `29/01 -------------------------------------------------------------------------------- ここでは基本的に SSL-VPN装置を用いて、どこからでも安全に社内リソ−スにアクセスで きる仕組みを考える。既存のディスクつきパソコンをそのまま活かして使うこと。理想的 にはシンクライアントに全部、変えるのが望ましいが、なかなか現実問題そうはいかない。 -------------------------------------------------------------------------------- * 実現に向けて 一つの仮説を立てた。いつでもどこでも機密情報を見ることができないので、USBキ− にコピ−したりプリントしたりして結果、情報漏洩の原因を作るのでないか。ならばいっ そ、どこからでも見れるようにしたらどうか。 その実現のために SSL-VPN 装置を情報の 漏洩対策に用いるのである。社内も SSL-VPN装置を使って、社内のファイル共有サ−バへ のアクセスなどは暗号化したらどうか。これは以前にもそう思った。途中、どこでパケッ トが盗み見されるか分からない。SSL-VPN を使うことにより、社内にいても社外にいても、 ノ−トパソコンを外に持ち出すのでも構わないとする。SSL-VPN にアクセスできることを もって、認証としたらどうか。ファイル共有情報の中で機密性の高いのは SSL-VPNを介さ ないと使えないようにする。しかし他所では SSL-VPN のそんな利用は聞かない。 そこま で検討するならシンクライアントを導入したらとSI業者さんは言う。しかしそんな簡単 にシンクライアントに移行できる訳ではない。つなぎのプランが必要なのである。 この数年、検討していた社内での情報漏洩対策に、機密情報にアクセスするのは社内でも SSL-VPN を介するという話。実際、物が来てSEさんと相談しながら FirePass の設定を 行なった。そこで機密情報にアクセスする際は必ず、 FirePass のプロテクテッドワーク スペースになってからということになることが分かった。これは、ちょっと使い勝手が悪 い。パソコンの通常の画面でユーザは意図することなく機密情報は見えているだけ、機密 情報でないのは編集もできる。そんな環境を想定していた。 A-Gate でテストしている時、 社内のパソコンから A-Gate にアクセスすると、あるサ−バのファイルは暗号化して通信 また別のサ−バのファイルはそのままで通信。まるで区別がつかなかったのだ。テストし ている際には一体、今は暗号化されているの?とやりにくかった。しかしユ−ザさんにこ ういう環境を逆に提供すればいいのでないか。ユ−ザは意識することなく、バックグラウ ンドでは安全性が保たれている。そういう環境を提供できるのだから。 最初 SSL-VPN 装置だけを使ったユニバ−サル・アクセスを思いついた。 2007年の初 めの頃だったか。 PacketiX も使えば、より自然な使い勝手になるのでないかと2008 年4月早々に思いついた。内外の区別なく社内のリソ−スに安全にアクセスできる環境を 実現すること。ユビキタスの実現である。 PacketiX を調べていたら似たようなASPサ −ビスが他にもあることが分かった。また Windows の RDP 機能も使えそうだと気付いた。 更に SSL-VPN に搭載されている RDP 機能も、これまで知ってはいたがようやく用途が理 解できた。SSL-VPN アクセスでは使用したい文書などが社内のファイルサ−バに全部あれ ば問題ない。自分のパソコンのフォルダには書きかけの文書はなく、ファイルサ−バに入 れておくようにしている場合である。でないと共有の文書サ−バにアクセスできても仕事 にはならない訳で、会社の自分のパソコンにアクセスできないことにはいけない。 社内の自パソコンへの SSL-VPN 経由の RDP アクセスも必要ということである。このアク セスは Citrix のシンクライアントのリモ−トからの利用の形態によく似ていることにも 気付いた。Citrix の Secure Gateway ソフトなり、SSL-VPN装置の Access Gateway アプ ライアンスを使用する場合である。 Citrix では社内の自分のパソコンが Citrix のサ− バ XenApp( 旧Citrix Presentation Server ) に存在する違いでしかない。もう1つ大き な違いはリモ−トアクセスするプロトコルが RDP でなく Citrix 専用の ICA であること。 パソコン1台当たりの必要帯域が RDP 64Kbps のところ ICA は 10Kbps 程度。 しかし昨 今、高速なモバイル通信環境が整ってきたことから、帯域についてはメリットであるとは 言えなくなってきている。とりあえずは SSL-VPN での RDP を取り組んでいく。更にこの アクセスは在宅勤務やBCP対策にも有効だと気付いた。いろいろ検討しがいがある。 * 2つの認証方法をどう使う ROUDでパソコンを特定するのか、指紋認証で利用者を特定するのか。指紋認証はまだ一般 的な感覚として広く受け入れられているとはいい難い。気持ちに抵抗のある人にはROUDで 認証する。抵抗のない人は指紋認証を用いることにする。認証の強度からいえば指紋認証 の方が断然高い。指紋認証の利用者にはパソコンのログオンから指紋認証を使用し、パス ワ−ドは基本的には使わない。ROUD 利用者はパスワ−ドも場面に応じて使うことになる。 指紋認証はどうするか。ノ−トパソコンに付いているのは使わないことにする。1社のメ −カのノ−トパソコンだけしか社内で、使用できないようにできればまだいいが。メ−カ が違うと指紋認証のやり方も異なる、同じではない。管理が繁雑になることと、一括して 何がしか管理ができない。指紋認証はソニ−の PUPPY を主に用いる。PUPPYで指紋の登録 ができない人にはDDS社の指紋認証を用いることにする。 FirePass はDDSとソニ−の指紋認証装置 PUPPY とも連携ができる。ROUD は PUPPY と 連携ができる。DDSのは Active Directory と連携もできる、PUPPY はその機能はない。 ただし PUPPY はサ−バを建てることにより一括して管理ができる、PUPPY内のパスワ−ド を変更したり、アプリケ−ションにログイン情報を入れ込んだりできる。それに PUUPYは 暗号化対応USBト−クンでもあって、ファイルの暗号化ができる。これも利用したい。 指紋認証でユ−ザその人を特定する。指紋認証の方式は調べたところ、今は指紋の画像そ のもので認証するのでなく特徴情報で認証するようになっている。これならユ−ザの拒否 反応は少ない。すでに営業さんなどノ−トパソコンを使っている人らは、指紋認証を抵抗 なく使っている人も結構いるみたいである。むしろ便利だという声が多い。自分が専用に 使うものだから、自分の指紋うんぬんは気にならないということらしい。 [ 認証手続き ] ------------------------------ ROUD に登録したパソコンからでないと SSL-VPN 装置 |先ずはパソコン自体を認証する| にアクセスできないようにする。いずれ指紋認証に変 ------------------------------ えていきたい。当面は以下の認証はパスワ−ドとする。 ↓ ------------------------------ 指紋認証をもってその人であることを特定する。また |SSL-VPN 使用ユ−ザを認証する| は定期的に変更するユ−ザのパスワ−ドを入れる。パ ------------------------------ スワ−ドの使用はできるだけやりたくない。 ↓ ------------------------------ ここでも指紋認証が使えるようにしておく。いちいち |ファイルサ−バでのユ−ザ認証| パスワ−ドを入れなくても、指を置くだけで社内共有 ------------------------------ 等が使える。便利さを売りにして指紋に誘導していく。 ROUDでパソコンを特定して、かつ指紋認証で利用者を特定すると非常に厳しい認証となる。 よく言われる二要素認証である。とりあえず現状、指紋認証の認知の問題から ROUD をメ インに認証することにする。しかしいずれ指紋認証だけにしたい。ROUDに似たパソコンの 個体認証は、SSL-VPN 装置のホストチェッカ−でもそこそこできる。これを指紋認証と併 用することにする。ROUDの保守料はばかにならず、購入した後でも納得できない。 * ファイル共有サ−バの検討 機密情報を含んだ文書を作成している途中はどうなるのか。完成して機密文書サ−バに入 れたのはいいが、作成途中のもある。作成者が機密だと認識した時点で、機密用の文書サ −バに移動することにする。パソコンでは機密情報を作成するのに使用するフォルダとい うのを定めて、このフォルダは暗号化する。暗号化ソフトは PUPPY でも秘文でも何でも。 全体と部門用の文書サ−バは SambaかWebベ−スか。外からも利用ということを考慮し たらWebベ−スにすべきである。ファイルのアップロ−ドもできる WebDAV を実装した Apache なりグル−プウェアなり、別に独自プロトコルでも構わないが。しかし Samba や Windows のファイル共有を使っている所が多いので WAFS なる製品がでてきたのだが。 ファイル共有で Samba でも WebDAV でも暗号化できる。 文書サ−バ自体が暗号化できる のであれば、通信路を暗号化するため SSL-VPN装置をかます必要はない。しかし SSL-VPN でブラウザにデジタルIDが必要、更にWWWサ−バでも必要となる。これは繁雑である。 機密情報の文書は通信路を暗号化して保護する方がやり易いのでないか。 機密情報は結構たくさんあるのでないか。全社文書サ−バにその部門でしか使わない機密 文書を置く意味はあるのか。部門用の文書サ−バにおいておくのが普通じゃないか。いや 機密情報というより重要情報か。ファイル共有サ−バを全社で1つにするか、部門用もお くかという話。流れ的には支店のサ−バも本社に置き WAFS でアクセスである。 機密情報は一般ユ−ザは見るだけとする。コピ−もプリントもできない。作成した本人ま たは上司など管理者しか編集はできない。外出先からは機密情報にはアクセスはできるが、 本人でも見るだけにする。技術的に防衛できるのはここまでである。画面を写真で撮られ る、紙にメモを取られるのは防ぎようがない。画面キャプチャ−には手だてが出てきた。 全社文書サ−バには一般用と機密用を設ける。 機密用文書サ−バには SSL-VPN 経由でな いとアクセスできないようにする。SSL-VPN にアクセスする際には認証をかけるようにす る。SSL-VPN アクセスを終えると、パソコンの電源を落としたら、パソコンにはアクセス したキャッシュなどファイルの痕跡は残らないようにする。通信は暗号化される。 * 社内資源へのアクセスの方法 外から SSL-VPNを使いパソコン個体認証をする場合、ROUDに直接外からアクセスする。そ のためには ROUD はDMZに置く必要がある。 △PC (WAFSソフト,高速通信カ−ド) WAFS:ファイル高速化装置 | / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\インタ−ネット SVR1:一般文書情報サ−バ \____________/ SVR2:機密文書情報サ−バ | | ◆ 仮想IP ■ SSL-VPN外:FirePass 1210 | | | SSL-VPN内:FirePass 4110 --------------------------------------------- | ◇SSL-VPN外 □ROUD外 ROUD:パソコン個体認証 | | | FireWall-1□------------------------------ □SVR1 | □WAFS □SSL-VPN内 □ROUD内 □SVR2 | | | | | | -------------------------------------------------------□----------- ↑ | | ↑| FireWall ↑  ̄ ̄ ̄ ̄ △ △ |↓ |暗号化あり 暗号化なし PC1 PC2 ̄ ̄ ̄  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ 機密文書サ−バの前の FireWall は無くてもサ−バ自体で、どこからアクセスを受けるか 制限をかけることができればそれでもいいかも。FortiGate のようなUTMを置いてもい い。パソコン個体認証の ROUD は2台用意。1つは外からのアクセス用、もう1つは社内 でのアクセス用である。ROUD内 はやめて ROUD外 だけで、 社内アクセスにも使用する考 えもある、ちょっと安全性に問題があると思うが、いかんことはないだろう。 FirePass 1210 は25標準同時接続。外出する営業マンなどが50人程いる場合、標準同 時接続数10では足らないかも。余裕をもって25接続の製品を選ぶことにする。社内で も機密情報にアクセスするのに使うとすれば同時ユ−ザ数は100はいるだろう。内部用 は FirePass 4110。アクティブ、スタンバイ構成にするには同じシリ−ズの装置が必要で ある。専用の制御装置が必要で、直ぐに予備機に切り替わる。4110 は615万円。 SSL-VPN の FirePass ユニバ−サル・アクセス。社外からの社内へのアクセスだけでなく、 社内でのアクセスにも使えるとうたっていた。学内無線LANのセキュリティ強化のため、 SSL-VPN 装置を導入した大学の事例がある。外でノ−トパソコンを使う場合はいったん本 社に繋いで認証をうける事例もある。 しかし一般的に社内で SSL-VPN を利用して情報漏 洩対策にしようという考えは、ほとんどない。`27/10 HTTPS の暗号化するので速度はどうか。あるSI業者では FirePass を使っているのだが 社内LANに比べたら、だいぶ遅いという。 またある業者は IPSec ベ−スのVPNで社 内にアクセスしている、モバイルではやや遅い気はするが、自宅から ADSL や FTTH でア クセスするのでは、全然遅いということはないとか。先の業者は FirePass の能力がそも そも低いのか。アクセスの速度は重要な成功要因のファクタ−であることには違いない。 SSL-VPN 利用の事例を見て行くと参考になる話が。会社が合併して FirePass を介したの がCTC、一方の情報を制限してセキュアに見れるようにした。2009年6月に読んだ ので、所轄の異なる役所での2つのネットワ−クでのこと。別な組織のネットワ−クから 情報を利用したいとのことで、 FirePass に BIG-IP のロ−ドバランサ−も導入して数千 台のパソコンからのアクセスをさばく。愛知県内の役所の話である、すごい。 一応 SSL-VPN 装置は FirePass で考えてみている。どうやら FirePass では A-Gateのよ うにシ−ムレスな一般と機密情報の扱いはできない気がする。機密情報を扱う時はこれこ れの操作をする、と意図的にやるのである。そうなると機密情報にアクセスする時にのみ SSL-VPN内 を利用する訳で利用頻度は小さくなる。 FirePass の同時ユ−ザ数も少なくで きる。後、考えることは他の SSL-VPN 装置、Juniper ならシ−ムレスにできるかである。 [ シチュエ−ション ] 海外 IPSec VPN の動的IPアドレス、できれば固定IPアドレスが望ましい。IP-VPN という選択も。対向でVPN装置を設置、できれば安全のためUTM装置がいい。 外出 SSL-VPN、IPSec VPN クライアント、SSL-VPN での RDP、SoftEther の PacketiX。 持ち出し専用のノ−トパソコン。個人用ノ−トパソコンにディスク暗号化。 自宅 外出と同じく。それこそ個人のパソコン。そんなに安全でないことを前提にして 一番安全な方法を採用する。SSL-VPN の RDP でパソコンのMACアドレス認証。 やはり SSL-VPN はクライアントであるパソコンの設定が簡単なのが売りであって、 もし IPSec VPN の設定が簡単というのであれば、特に SSL-VPN にする必要性はない。 かつて FireWall-1 や SonicWALL で、パソコン用の IPSecクライアントソフトを試したことがあ る。設定は極めて繁雑でVPN接続しても不安定で次、接続しようとしたらできなかった。 * 社内据え付けパソコン 営業さんも社内ではデスクトップのパソコンを使うことにする。筐体がでかいのというこ とではなく、作業性の問題としてキ−ボ−ドはデスクトップ用の方がいいだろうというこ と。ノ−トパソコンの狭いキ−ボ−ドを日々の作業で使うのはいかがなものか。モニタも 大きめのならいいが、外出に持って出るため小型のノ−トパソコンを買っていたりすると、 画面はやはり小さい。外出にはそれ用のノ−トパソコンを用意することにする。 機密情報サ−バにアクセスするには、ROUDでパソコンの個体認証をする。アクセスしたい パソコンは ROUD に登録しておく。 そして機密情報サ−バには SSL-VPN内 を経由してア クセスする。ROUD に登録してないパソコンでも、 一般情報サ−バや部門用サ−バにはア クセスできる。 機密情報サ−バは SSL-VPN内 のIPアドレスからしかアクセスができな い。機密情報サ−バ前の FireWall でパケットフィルタリングをそのように掛ける。 機密情報サ−バにアクセスするには、そのログイン画面でユ−ザのアカウントを入れるこ と。指紋認証をできるようにしているユ−ザは、ここで指紋認証で入れるようにする。パ スワ−ドを覚える必要がなく便利で安心だよということをアピ−ルする。こうして少しず つ指紋認証の利用を促していくこととする。ROUD自体もユ−ザには全然、負担をかけない。 指紋認証もそうで、自然に違和感なくいつの間にか。これが小生のポリシ−である。 社内のパソコンは社内のネットワ−クからだけ、SSL-VPN内 にアクセスできるようにした い訳で。そうなると社内のパソコンを個体認証するまでもないかも知れない。SSL-VPN の ホストチェッカ−機能で十分かも知れない。ファイルの単純な存在をチェックするのでは 危ない。できればハ−ド的な情報を利用するのがいい。それでも自作パソコンで同じパ− ツを使ってそっくりコピ−されたらダメだが、その可能性は実際極めて小さいだろう。 * 社外持ち出しパソコン ROUD に持ち出しのノ−トパソコンを全部登録する。外出時のパソコンは SSL-VPN外 を経 由して一般情報と機密情報サ−バ、イントラにアクセスできる。社内の自分のパソコンを 起動していれば SSL-VPN の RDP 機能で、リモ−トデスクトップアクセスができるように する。社外持ち出しパソコンには暗号化のフォルダは設けない。機密情報を外にいる時に 作成することは禁止にする。機密情報は社内のサ−バのをあくまでも見るだけとする。 仕事で外出している時に使う共有のノ−トパソコンを何台か用意する。ノ−トパソコンは 何も入れてない空、落としても忘れても盗まれても全く問題なし。持ち出しパソコンのロ グオンはどうするか。1つのアカウントを共通で使うか、そのパソコンを使用するユ−ザ 全員のアカウントを登録しておくか。これは要検討。ともかくそれぞれの場面、ファイル 共有やメ−ルサ−バ(POP3)にアクセスするのは各自のアカウントを入れる。 持ち出しパソコンでインタ−ネットのホ−ムペ−ジなどにアクセスするのに、イントラネ ットを経由させるようにするか。社内の共有サ−バやメ−ルサ−バにアクセスする以外に、 普通にインタ−ネット上の他のホ−ムペ−ジを見るのも SSL-VPN経由させるのである。社 内のファイアウォ−ルと侵入防御装置を通ることになり安全性が高まる。SecureBranchと いうNECの SSL-VPN 製品がそういうコンセプトになっているのを見つけた。 ノ−トパソコンではウィルスチェック、パ−ソナルファイアウォ−ルのソフトを入れた方 がいいか。Windows XP SP2 にはファイアウォ−ル機能が内臓されている。 インバウンド はフィルタリングするがアウトバウンドはしない。インバウンド制限で SSL-VPNからのパ ケットのみを受け付けるようにする。しかし FirePass では SSL-VPNアクセスしている時 はインタ−ネットとの接続性をなしにできる。この機能を用いれば十分な気がする。 (2) FirePass 1210 の設定とメモ `29/01 * FirePass 設定のポイント 触っていると設定のメニュ−が堂々巡りして訳が分からなくなる。ユ−ザを中心にみて行 くと分かるみたい、分かるような気がする。ともかく現状の設定をセ−ブしておいていろ いろテストする。FirePassはグル−プ分けができる。実際にユ−ザに使用してもらえるよ うに、一般ユ−ザ用のグル−プを作り、ROUD 経由でないと FirePassを利用できないよう にしておく。その上でテスト用のグル−プを作り、ここで種々いろいろ確認テストしてみ る。これで実運用をしながら、テストをして行く環境ができる。重要なことである。テス トでも FirePass を ROUD と連携して使うように設定すると、幾つか制約がでてくる。止 むを得ない。A-Gate のように一体になっているわけでないのだから。 FirePass の目玉機能であるプロテクテッドワ−クスペ−ス(PWS)の利用で、ROUD と連 携する場合に制約がかかる。PWSを利用する場合は FirePass に直接アクセスすること。 パソコンを ROUD で端末認証してPWSにすることはできない。PWSを使おうが使わま いが、ROUDの端末認証ではVPNクライアントは使えない?。ここら辺り再度確認したい。 ROUD 側の人とやりとりしたメモに、PWSにしてから ROUD端末認証するのが正規手順だ とあった。PWSの赤い画面で A-Gate の代わりである通常の SSL-VPNアクセスをするの は何だなと思い、業者による設定の際にはあまりPWSは気に止めなかったのかも知れな い。PWS+ROUD+リモ−トデスクトップ接続はできるのかも知れない。`29/09 * FirePass と ActiveX FirePass と ROUD を触っていて ActiveX の扱いが必要になった。IEに入った ActiveX をいったん削除して、新規設定インスト−ルして何がどうなっているのか確認したかった。 FirePass クライアント用のソフトをアンインスト−ルしたら、IEに入った ActiveX も 削除された。最初にクライアント用のソフトをインスト−ルする時に、ActiveX を入れる うんぬんというのは表示される。いったん入るともう出ない。 Windows 2000 でプログラ ムの追加と削除に、FirePass Component Instraller 0.51MB が入っていた。 Windows XP のIEはどんな ActiveX が入っているのか表示ができる。Windows 2000 のIE、バ−ジ ョン 6.x では ActiveX を表示するメニュ−がなかった。 Windows XP で ActiveX を削除する。ROUD 利用せず、PWSで RDP 使用の場合。IEブ ラウザのメニュ−等から [インタ−ネット オプション] 画面を出す。[全般] 画面の "イ ンタ−ネット一時ファイル" の [設定] をクリック。出てきた画面の [オブジェクトの表 示] をクリックする。C:\WINDOWS\Downloaded Program Files という画面がでてきて "F5 Networks xxx"というのが4つ、"F5 Virtual Sandbox Class"が1つあった。F5 Networks 4つを削除した。次に F5 Virtual を削除しようとしたら共有違反とか出てできなかった。 パソコンを再起動してもう一度削除したらできた。[インタ−ネット オプション] の [プ ログラム] の [アドオン管理] を見たらこれら5つの ActiveX は無くなっていた。 注. Windows 7 では FirePass の上記のプログラムは入らないようになっていた。 * プロテクテッドワ−クスペ−ス機能 (略してPWSと呼ぶ) [ PWSに入った,RDP アクセスなし ] ロ−カルのパソコンのハ−ドディスクやUSBキ−などのドライブはデフォルト設定のま までは見える。今一つPWSがどういうものか分からない。この画面は FirePass 上に作 られた仮想的なデスクトップということなのだが。VPNアクセスから試してみるか。 ロ−カルのパソコン Windows 2000 Professional にて。D:\ を見たらは全然ファイルは 無かった。D:\ にファイルを1つ作ってみた。PWSから抜け FirePass 終えたら作った ファイルは無かった。元々 D:\ には幾つものファイルやフォルダがある。 C:\ には13個のファイルとフォルダが見えた。このパソコンでは元々この数だった。C: \Documents and Settings\ikken フォルダにファイルを作った。PWSから抜けFirePass 終えたらファイルは無かった。大きな声ではいえないが hosts は書き変わったバイ。 USBキ−を差した。Hドライブと認識。H:\ には入ることができた。ここでファイルを 作成しようとしたら拒否された。 H:\ にすでにあるファイル xxx.txt を開こうとしたら ら共有メモリうんぬんで秀丸エディタは失敗した。ワ−ドパッドなら開くことができた。 [ PWSに入って RDP アクセスした ] ロ−カルのパソコンのリソ−スは次の操作をやって見えないようにして使えないようにし た。[タ−ミナルサ−バ]->[リソ−ス] のリソ−スグル−プ: [henomohe] のロ−カルリソ −ス(ドライブ,プリンタ,COMポ−ト) をリダイレクトのチェックを外す。 リモ−トのパソコンの D:\My Documents\ フォルダにファイルを作ってみた、作ることが できた。RDP から抜け、PWSから抜け、FirePass終わってもファイルはあった。これが できないとそもそも困る。会社のパソコンの作りかけの文書の作業続行ができない。 ロ−カルのパソコンのC、Dドライブは上の設定により見えない。このパソコンにUSB キ−を差した。これもUSBキ−の存在は見えない。リモ−トのパソコンにUSBキ−を 差した、ドライブとして認識されファイル作成もできた。FirePass 終わってもあった。 PWS画面が出て RDPアクセスすると、PWS画面の一部がウィンドウになるのとモニタ 画面一杯になるのがある。[タ−ミナルサ−バ]->[リソ−ス] の { タ−ミナルサ−バお気 に入り } を作る際のスクリ−ン解像度の設定による。フルスクリ−ンだと一杯になる。 * FirePass のメニュ− メインメニュ−は6個ある。 [デバイス管理], [ネットワ−クアクセス], [アプリケ−シ ョンアクセス], [ポ−タルアクセス], [ユ−ザ−], [レポ−ト]。 ずっと悩んだのがポ− タル画面とポ−タルアクセス。これらは別の話である。 ポ−タル画面は単純に FirePass にアクセスした際の窓口としての画面のことである。ネットワ−クアクセス、アプリケ− ションアクセス、ポ−タルアクセスを設定していくとその結果としてポ−タル画面ができ てくる。アプリケ−ションアクセスのタ−ミナルサ−ビスしか設定しないと、ポ−タル画 面は設定したタ−ミナルサ−ビスだけのメニュ−が出てくる訳である。 ポ−タルアクセスについて。先ずは Samba など Windows のファイル共有サ−バの利用に 関して、利用するにはIEブラウザが必要である。 Microsoft の Internet Explorer は Windows OSと一体となった特殊なブラウザで、Windows のファイル共有も利用できるよ うになっている。ポ−タルアクセスを使うと Mozilla などのWebブラウザでもWindows のファイル共有が利用できる。メ−ルに関しても普通は、Outlook Express など専用のメ −ルソフトが必要である。それがポ−タルアクセスを使うとWebブラウザでメ−ルのや りとりができるようになる。これらは見た目の表示は違ってくる。 ポ−タルアクセスはWebブラウザさえあれば、どこでも社内リソ−スにアクセスできる というのが最大の利点なのだが、ネットワ−クアクセスでもって、使い慣れたいつものソ フトと画面で操作する方がいいと思う。特段ポ−タルアクセスを敢えて用いる必要性は感 じられない。SI業者のエンジニアもネットワ−クアクセスを勧めてきた。これまで設置 したお客さんもほとんどがネットワ−クアクセスを利用とのこと。これは SSL-VPN的な使 い方の場合である。タ−ミナルサ−ビスの RDPアクセスではネットワ−クアクセスはいら ないはず。最初に色々テストする際に、どういうことができるのか確かめておきたい。 [ネットワ−クアクセス] > [リソ−ス] と [マスタ−グル−プ設定] と [グロ−バル設定] 等のメニュ−。 [アプリケ−ションアクセス] > [Appトンネル] と [タ−ミナルサ−バ] と [グロ−バル設定] のメニュ−。 [ポ−タルアクセス] > [Webアプリケ−ション] と [Windowsファイル] と [モバイルEメ−ル] 等。 * 各種機能をざっとみる モバイルEメ−ル ポ−タルアクセスの1つの機能。Webブラウザでメ−ルの送受信ができる。社内の メ−ルサ−バ Mail-Store がWebメ−ルの機能がなくても大丈夫。変換する。ポ− タルアクセスは何でもWebブラウザでやる、Windows ファイルはファイル共有アク セスをブラウザでみえるように変換している、一度見たら文字が一部化けていたよう な。通常の大きさのブラウザでメ−ルが読み書きできる。 モバイルアクセス これは携帯電話やPDAでそのままメ−ルの読みかきができる。FirePass 41xx には 入っている。FirePass 12xx はオプションで65万円。携帯電話にメ−ル転送しなく てもいい。携帯電話の小さな画面でWebアクセスできる。小さなブラウザで見える ように FirePass で加工される。モバイルEメ−ルのWeb画面を加工してメ−ルの 読み書きができる。添付ファイルは扱えない。あまり使い勝手はよろしくないもよう。 FirePass SSL VPN Client あらかじめソフトをパソコンにインスト−ルしておく。ネットワ−クアクセス、アプ リケ−ショントンネル、タ−ミナルサ−ビスが利用できる。クライアント用のソフト ってなんだったか。IEには ActiveX が入るのだから、 こんなの必要ないんじゃな いのかと思うが。ActiveX を使わない別なやり方があるということ。 設定のセ−ブとロ−ド [デバイス管理]->[メンテナンス]->[バックアップ/リストア] の {現在の設定のバッ クアップを作成} で backup-xxx-2009xxx.zip というようなへたら長いファイル名で パソコンにセ−ブされる。圧縮形式である。リストアすると現在の装置の設定に上書 きになる。zip ファイルは例えば 3,871 KB とか、結構サイズはでかい。 セ−フスプリットトンネル 外にいるパソコンから FirePass の利用で、そのパソコンでは直接インタ−ネットの サイトを見たりしている。そして SSL-VPNアクセスもするという場面。このパソコン をはさんでインタ−ネットと社内ネットワ−クがつながる。この間のIPパケットの やり取りをできなくする。スプリットトンネリングとか統合IPフィルタ−。メニュ −の [ネットワ−クアクセス]->[リソ−ス] で "トラフィックにスプリットトンネル を使用"、"トンネル通過の全てのトラフィックに強制" 辺りで制御する。 バ−チャルキ−ボ−ド オプションの設定でアカウントを入れるところの上に、キ−ボ−ドの絵がかなり小さ い画面で出てくる。キ−ロガ−防止である。マウスで指定するのはやりにくい。画面 は HTTPSで暗号化されているが、パソコンにキ−ロガ−のソフトが密かに仕込まれて いたら、パスワ−ドを押したキ−ボ−ドのキ−が知られてしまう。どうも実際の利用 ではバ−チャルキ−ボ−ドまで設定している会社などはほとんど無いようである。し かしマウス入力を盗聴されないということは言えるのだろうか。Windows PCではマ ウス入力はどうやっても盗み見ることができないと、なっているとか言うのか。 キャッシュクリ−ナとは ログインする際にいろいろやってうっとうしいので、あまり使われていないとのこと。 でもログアウトする時は関係ないのか。ここではプロテクテッドワ−クスペ−スで作 業した一時ファイルは別か。メニュ−は[ユ−ザ−]->[エンドポイントセキュリティ] ->[ログオン後アクション] である。{ActiveX/プラグインを導入してクライアントブ ラウザwebキャッシュをクリ−ンアップ} に〆すると有効になる。 〆すると中身がで てきて、手元のセミナ−資料によれば {フォ−ムとパスワ−ドのオ−トコンプリ−ト デ−タを消去} に〆してあった。 ホストチェッカ− クライアントの起動プロセス、ファイルの有無、レジトリの内容でアクセス許可、拒 否ができる。ホストチェッカ−はパソコンから FirePass へ、https アクセスを開始 した後に実施されるので、暗号化通信になっている。簡易的なパソコンの個体認証と いうことで使用しているところもある。ある特定のフォルダに特定のファイルがある ことをチェックするのである。2008年1月21日、地下鉄に乗っている時にこれ で行けるとひらめいたつもりだったが、パソコンをそっくりコピ−されると弱いわけ でなりすますことができてしまう。ROUD はそこが強い訳で売りである。 プロテクテッドワ−クスペ−ス プロテクテッドワ−クスペ−スは赤の画面が出てくる。プロテクテッドワ−クスペ− スはパソコンのモニタ画面全体になる。パソコンの画面の一部がプロテクテッドワ− クスペ−スになり、そうでないモニタ画面が一部というのはできない。しかしプロテ クテッドワ−クスペ−ス画面から他のパソコンにリモ−トデスクトップ接続(RDPアク セス)すれば、赤い画面はなくなるので別にいいとも言える。 正確には赤い画面の上 に RDP アクセスの画面が出る。RDP 画面はモニタ一杯でも一部にでもできる。 * 改めて赤い画面のプロテクテッドワ−クスペ−スとは [スタ−ト]->[プログラムの実行] で "秀丸エディタ " を開いた。共有メモリの確立に失 敗しました。と出てだめだった。PWSでリモ−ト デスクトップ接続(RDP)した後も同様 に出た。他のプログラムDOS窓、FFFTP、電卓、ワ−ドパッド、ペイントは実行できた。 PWS画面に出ているアイコンは何で決まるのか。 今 Windows 2000 Professional に出 ているのはマイドキュメント、マイコンピュ−タ、マイネットワ−ク、ごみ箱、Internet Explorer、Microsoft Outlook、プロテクテッドワ−クスペ−スの終了、である。 RDP 接続の画面をモニタ画面一杯に表示でなく、 FirePass の設定によりウィンドウとし て表示できる。最初 RDP 画面はモニタ一杯にでてきたので、 PWS画面の上に完全に覆 いかぶさっているのかと思った。 PUPPY のパソコンのロックはできた。パソコンのログオン時点で PUPPYを使用して、その まま RDP 接続まで行き PUPPY を抜く。パソコンはロックされ、PUPPY を差し直して指紋 を入れるなりパスワ−ドを入れるとパソコンは復帰した。 PUPPY の Password Provider 機能は認証画面を登録する際の [Alt] キ−が認識されなく てできなかった。Password Provider のプログラムが使えなくなるというのではなく、単 に [Alt] キ−が何かで無効になっただけでないのか。[Shift] キ−はいいみたい。 目の前のモニタは液晶ディスプレイでKVMスイッチで、デスクトップのパソコンと Sun のマシンで切り替えて見ている。[Scroll Lock] を2回と数字を押して切り替える。これ も別に問題なく使えている。Password Provider も何かすればできるのでないか。 * 引き続きユ−ザ認証を考えてみた `28/01 ホストチェッカ−の利用だが。これはクライアントの起動プロセス、ファイルの有無、レ ジトリの内容でアクセス許可、拒否ができる。これって、パソコンの個体認証ということ で使えないか。ある特定のフォルダに特定のファイルがないとだめ、外からみただけでは、 どのファイルを使っているか分からない。2008年1月21日、地下鉄に乗っている時 に方針が閃いた。FirePassのホストチェッカ−機能が暗号化通信できるかどうか。もしで きればかなり強力な認証になる。できる、F5社に問い合わせてできることを確認しまし た。ROUD や RegistGateを使うまでもないかも。いや、やはりそういう訳にはいかないか。 時が過ぎ2011年8月、iPad で社内にアクセスする話が多くなっている。iPad では生 体認証は使えず、特定ファイルやプロセスの有無で利用可とするデモが散見される。 (3) パソコン個体認証の設定 `29/01 * RegistGate と ROUD デバイス特定認証のソフト RegistGate と RegistGate を入れた ROUD アプライアンス。 ROUD は基本的に事前にパラメ−タシ−トに記入して、 あらかじめ設定して納品されるこ とになっている。自分でIPアドレスを変更したりはできない。マニュアルも用意されて いない。IPアドレスとデフォルトゲ−トウェイの設定画面はあるが、不用意にいじって はいけないとのこと。マニュアルはパソコンのユ−ザとパソコン個体の登録をする10ペ −ジぐらいのものしかない。これまで自分がやってきたように、マニュアル片手にいろい ろ触って試してみるということはできない。例えばIPアドレスを変更するには保守契約 の中でインシデント対応ということで対応するという。変更する作業手順を教えてもらっ てやるという。 これらの作業、細かな設定は RS-232C か telnet で装置に入って vi で 行なう。しかし中身は RedHat Linux であり、装置の時計を date コマンドで合わせるぐ らいのことはやれるようになっている。NTP で時刻合わせとか言うとご相談になるが。 * メモ クライアントは Windows 2000/XP, IE 5.5/6.0/7 対応。 ActiveX モジュ−ルのダウンロ −ド時にインスト−ル権限、管理者権限がいる。手元の Windows 2000 に一時的に"User" を1つ作ってやってみたら ActiveX は入らなかった。"PowerUser" だとどうか要確認。 Windows Vista は要相談のこと。`28/04 時点、まだ Vista には対応できていないところ がある、どうもホストチェッカ−の辺りを今、Registgateソフトの方で対応を急いでいる らしい。今のところ無難なのは Windows 2000 Professional と Windows XP である。 パソコンのプロセスチェックは ROUD でもできるが、ROUD ではやらずに SSL-VPN の方で やるところが多いとのこと。SSL-VPN のホストチェッカ−機能である。SSL-VPN と連携す る場合は、ROUD のユ−ザ認証は必要である。 ROUD の認証方式はユ−ザ認証とハ−ドウェア認証の組み合わせである。 ユ−ザ認証のみ ハ−ドウェア認証のみでもいい。メニュ−には [ユ−ザ認証+全登録端末許可] というの もあった。ハ−ドウェア認証はパソコン端末認証とも呼んでいる。 LDAP サ−バの利用はどうか。購入した ROUD は LDAPサ−バは見ることはできない。LDAP を見ることができるようあるお客さん向けに作ったとか。一応 LDAP 対応版は2008年 8月頃のリリ−スと聞いた。しかしかなり制約があるようで、使ってみてのお楽しみ。 ROUD のユ−ザ登録のユ−ザID は小文字、大文字を区別する。 ROUD のハ−ドウェア名は 小文字、大文字を区別する。パソコンのコンピュ−タ名は小文字、大文字を区別する。パ ソコンの BIOS 名は大文字になっている。これだけ例外か?。 ROUD は1つのパソコンで複数のユ−ザもいける。確認した。ROUD のご紹介資料に1対1 認証の説明で、ユ−ザ2とユ−ザ3が PC2 を利用する絵がでている。 1対1認証はユ− ザとパソコンを限定する厳密な認証である。 ROUD が保持するパソコン個体情報はハ−ドウェアキ−生成情報として、 ハ−ドディスク、 CPU情報、ネットワ−クカ−ド、HDD拡張がある。これら全部を一応パソコンから吸い上げ 記憶する。実際に参照するかどうかは ROUD のメニュ−でチェックを入れたのだけである。 * ROUD を設定してみる ユ−ザの登録をする。10ヶ所ぐらい項目があるが必須入力のアスタリスクがついている ところだけ書けばいい。メ−ルアドレスも必須入力になってはいるが使うとこがあるのか。 簡易 RADIUS サ−バということになるので FirePass 以外でも使ってねということか。ユ −ザ登録は CSV 形式のファイルで一括で登録ができる、ただカンマで区切るだけ。 次にハ−ドウェアの登録をする。この時パソコンではIEで ActiveXが取り込めるように なっていること。ユ−ザ権限に注意が必要である。ユ−ザが ROUD のURLにIEでアク セスして登録申請をする。至って簡単。そして ROUD の管理者画面で登録申請のあったパ ソコンを登録する。これはメニュ−を1つクリックするだけで終わり。至って簡単!。 認証要素は推奨の HDD+CPU+拡張HDD にする。 MACアドレスも認証要素に含めるとパソ コンにモバイルカ−ドや携帯電話をつなげると、MACアドレスが変わるそうな。ハ−ド ディスクがクラッシュして交換する場合は、パタメ−タが変わるので端末登録をし直す必 要がある。パソコンとユ−ザが対の利用を想定、認証方法は標準の1対1でいいだろう。 MACアドレスは偽造ができるので、MACアドレスをもって認証するというのは推奨し てない。最初、パソコンのハ−ドウェア情報からハッシュ値を生成してキ−として、これ を ROUD に登録する。パソコンは ROUD にアクセスする度に、 IEに入れた ActiveX の プログラムによりキ−を生成する。これで登録してあるキ−と比較チェックする。 RADIUS サ−バで管理するのはユ−ザのアカウントなどの情報である。ROUD でのユ−ザ登 録には13の項目がある。 必須はユ−ザID,所属グル−プ,パスワ−ド,メ−ルアドレスで ある。パソコンの個体情報は ROUD 本体に保存される。 ROUD は簡易 RADIUS 機能を搭載 している。外部 RADIUS サ−バにユ−ザ情報を登録することもできる。 設定のポイントというか、設定してくれた内容の見方。ROUDに管理者権限でアクセスして [グル−プ管理]の[グル−プ検索]をクリックする。ここに少なくともグル−プIDを会社名 かで1つ作ってくれているはずである。メニュ−の[更新]をクリックすると、グル−プ情 報詳細という画面が出てくる。同様に [ユ−ザ検索]、[ハ−ドウェア検索] を見ること。 * ROUD で外部 RADIUS サ−バを使う場合 ROUD には装置内に利用者の情報を登録保存することができる。ROUD は簡易 RADIUS サ− バ機能を搭載していて、これを使用する。また外部の RADIUS サ−バを指定して利用する こともできる。外部 RADIUS サ−バとは、専用のアプライアンス、UNIXなどのフリ− ソフト、市販の SunOneServer や Active Directory-IAS がある。Active Directory-IAS とは IAS( Internet Authentication Service )、Active Directory と関連する Windows サ−バのオプションである。2008年末、全国で ROUD の出荷台数は30ぐらいらしい。 この IAS を利用する例はほとんどないらしい。 社内で Active Directory を使うという ポリシ−がある場合、SSL-VPN のユ−ザ認証もやってやれないことはないということであ る。しかし下図のようにたかがユ−ザ認証を一つするのに、幾つものサ−バを経由するこ とになる。ややこしい、やらない方が無難である。絵に描いた餅と思った方が無難である。 | ◇SSL-VPN □ROUD | | | FireWall-1 □---------------------- Windows Server | □Windows Server □ | |IAS |AD SSL-VPN : FirePass 1210 ---------------------------------------------- ROUD : パソコン個体認証 WS2003: Windows Server 2003 FirePass ROUD WS2003 WS2003 ROUD と Windows の間でRADIUS ◇ ----> □ ----> □ -------> □ サ−バの共有シ−クレット (パ | | |IAS |AD スワ−ド) を同じのに設定する。 -------------------------------------------------- RADIUSクラ RADIUS アカウント情報 イアント サ−バ とアクセス制御 FirePass ROUD WS2003 例えば Windows 2003 Server にIASサ−ビス ◇ ----> □ ----> □ をインスト−ルすると RADIUS サ−バが動く | | |IAS,AD ようになる。Active Directoryも稼働させて ------------------------------------- おく必要が多分ある。本当にこんなんが使い 登録パソコン 登録ユ−ザ 物になるのか。 Active Directory だけでも 個体情報 情報 かなり挙動不審なところがあるというのに。 * ROUD の設置について 装置は1Uサイズ。Cisco 2950 ぐらい。結構重い。CD-ROM なし。20ペ−ジぐらいの運 用保守マニュアル。国産製品なのでマニュアルは日本語。付属品は RJ45 UTPケ−ブル CAT5e 1本。RS232-C オスオスのケ−ブルが1本。ラック用の小さな金具。電源入れてみ た。オフィスにずっとおいておく訳にはいかない程度の音がする。もっと静かかなと思っ ていたが。Cisco 3750レイヤ3スイッチなんか何も音がしないというのに。DMZのネッ トワ−クケ−ブルは1番のポ−トにつなぐ、3つあるポ−トの真ん中。 -------------------------------------------- 背面にファンが3つもある。電源スイ | OKI | ッチ。それにもう1つスイッチがある。 | ROUD3000 { } ○ □ □ □ | 2つのスイッチで電源をオンオフする。 -------------------------------------------- * ROUD 購入前の事前テスト 沖電気ネットワ−クインテグレ−ション(株)にデモサイトがあり ROUD を体験できる。イ ンタ−ネットを通して ROUD端末認証と SSL-VPN を体感できる。ホ−ムペ−ジから申し込 む。http://www.okinw.co.jp/security/registgate.html。SSL-VPN は JuniperSA 、ファ イアウォ−ルは Netscreen-SA。Webブラウザより Network Connect という ActiveXコ ントロ−ルのソフトウェアをダウンロ−ドする。その際はパソコンの管理者権限が必要で ある。一度やってみようと思ったが、SSL-VPN 装置へのパソコンの登録は A-Gate と似た ような操作で、手続きは目に見えているので結局やらなかった。実際、物がきてやってみ たらほとんど A-Gate と同じだった。端末認証の流れは FirePass と同じと思われる。 -------------------------------------------------------------------------------- RegistGate と ROUD では端末認証といっている。 小生はパソコンのことを端末という言 い方は変な気がする。よい子では端末認証ではなくパソコン個体認証と言うようにする。 -------------------------------------------------------------------------------- (4) 利用者特定認証の設定 `29/01〜09 * 認証の種類 ここでいう利用者とはパソコンを操作する人、それにパソコン自体を言うことにする。両 者を表わす適当な言葉が思いつかなかった。利用物並びに利用者の特定認証なんていうの もまどろっこしいし。指紋認証ができるように用意したUSBト−クンは2種類。DDS 社の UBF とソニ−のPUPPY。PUPPY はユ−ザ利用のメモリがあって、SSL-VPN のクライア ント用のデジタルIDを入れることができる。ペンティオのUSBト−クンにも入れるこ とができる。UBF に入れることはできない。UBF は購入した時点ではユ−ザ利用メモリは なかったが、その後メモリありの製品も出てきた。PUPPY も UBFもパソコンのロック制御 ができる。PUPPY は試してみた。UBF は自分では試してみてないが、見せてもらった際に はちゃんとできていた。PUPPY はできないが、UBF は Active Directory と連携できる。 ・パソコンのログオンのパスワ−ド(アカウント) ・USBト−クン内に保持されたクライアント用デジタルID ・USBト−クン内に保持された指紋情報 ・USBト−クン内に保持されたパスワ−ド(アカウント) ・FirePass によるパソコンのMACアドレス認証 ・FirePass によるパソコンの指定ファイル等の存在チェック ・ROUD によるパソコン個体認証 ※USBト−クンは単にUSBキ−とも、ここでは呼ぶことにする。本来ト−クンにはIC チップが入っているが、USBキ−には入ってない。 * 解けた USBキ−の指紋認証をどう使ったらいいのか。幾つかの制限のキ−ワ−ドが頭をよぎっ ていた。FirePass は ROUD を利用するとPWSは利用できない,(これは再度確認が必要)。 ソニ−のUSBキ−内のデジタルIDを利用する場合、ROUD は利用できない。PUPPYでの 指紋認証は FirePass がPWSモ−ドに入ってしまったら使えないのでないか。FirePass または ROUD のログイン、どの場面で指紋認証によるログインをやるか。やれるのか。ず っと考えてきたが、この日、会社へ出勤途上の車の中で分かった。`29/09/28 パソコンのログオンの時に PUPPY での指紋認証をやることにする。 これでこのパソコン を使用するユ−ザを特定することができる。次に FirePass にログインする時に、このパ ソコンのMACアドレス認証を FirePass で行なう。これで FirePass を利用できるパソ コンを特定することができる。これで人と物を特定ができたわけである。欲を言えば指紋 認証を FirePass でもシングルサインオンとして使うことができれば便利である。PWS を調べていて、アカウント自動入力画面とキ−の認識が効いてないだけじゃないのか。 PUPPY と UBF の使い分けをどうするか。普通は PUPPY を使ってもらう。PUPPY で指紋を 登録できないとか指紋認証が不安定な人には、UBF を使ってもらうことにする。PUPPY よ りも UBF の方が認証精度は高いようだ。PUPPYは指を装置に置いて指紋の画像を取り込ん で比較する。UBF は指をスライドさせて、周波数分析とやらで比較する。パソコンのアカ ウントのパスワ−ドはユ−ザには知らせない。管理者しか知らないようにしておく。もし 指紋をきちんと認識してくれない、その場合は管理者からパスワ−ドを教えてもらう。 * PUPPY でのログオンとログイン USBキ−を差してPWSモ−ドに入り、RDP もやっているとしよう。普通のモニタ画面 だとUSBキ−を抜くとスクリ−ンロックがかかる状態で、PWSモ−ドでUSBキ−を 抜くとどうなるのか。PUPPY でスクリ−ンロックを試してみること。やってみました。先 ずはパソコンのログオン時点で PUPPYでユ−ザ認証するよう設定し、やっておく。その上 でPWSモ−ドの RDP アクセスした状態で PUPPY を抜くとスクリ−ンロックがかかった。 PUPPY の利用では Windows ログオンに PUPPY を使うことは強制はしてない、PUPPY を使 わないのであれば、PUPPY をパソコンに差さないでおけばいい。PUPPY で Windowsログオ ンをする設定は。PUPPY の管理者ツ−ルを起動して [動作環境設定]の[アプリケ−ション 設定]の[PUPPYの取り外し設定]で、●{設定する} ●{コンピュ−タのロック} に変更する。 画面右の [PUPPYへ登録] をクリックする。こんなような操作をすればできる。 PUPPY でできるだけシングルサインオン。PUPPY の Password Provider 機能で、 パソコ ンのログオン画面のアカウントを記憶する。ブラウザでどこかのサイトとか社内のファイ ル共有サ−バへのアクセスとか、アカウントを入れる場面で。パソコンのログオンのアカ ウントと一緒なら、もうログインしなくてもいいようにしたい。ユ−ザはこれらの自分の アカウントのパスワ−ドを知っている必要はない。指紋認証で入る。さてできるか?。 * PUPPY を FirePass と連携させる とりあえず1台のパソコンに PUPPYの管理者用ソフトとクライアント用ソフトを入れてみ た。PUPPY は指紋認証またはパスワ−ドで認証できるように設定した。しかし指紋は登録 もしていない。つまり PUPPY は FirePassのクライアント用デジタルIDを入れるのみに 用いることとする。テストを分かりやすくするためだが。FirePass で FirePassのクライ アント用のデジタルIDを生成し、パソコン内に xxx.p12 形式のファイルを作る。 これ を PUPPY の専用ソフトを用いて、PUPPY に入れるのである。 [プログラム]->[Puppy Suite 810 Enterprise Edition クライント用]->[証明書マネージ ャの起動] で画面が出てくる。あるいはモニタ画面の右下の PUPPYのアイコンをクリック しても [証明書マネージャの起動] が出てくる。[インポ−ト]をクリックして、FirePass で生成したファイルを取り込む。下の画面の [個人]と[証明機関] で取り込まれた証明書 を見ることができる。下の画面の [インポ−ト] をクリックすると、マイドキュメントの フォルダが開きファイルの種類 PKCS#12 Files(*p12,*pfx) を探そうとする。 -------------------------------------------------------------------------- |証明書マネージャ | |------------------------------------------------------------------------| | ------ | | |個人|証明機関 | | | ----------------------------------------------------------------- | | |発行先 |発行者 |有効期限の終了 |有効期限の開始 |シリアル番号| | | |--------------------------------------------------------------------| | | |ikken fpas.nix.co.jj 2019/02/03 2009/02/03 01 | | | | | | | ---------------------------------------------------------------------- | | | | [インポ−ト] [エクスポ−ト] [削除] | | | | -Windows証明書ストア------------------- | | | これはなんじゃ? | | | -------------------------------------------------------------------------- そのパソコンでないと FirePass にアクセスできない。PUPPY をパソコンにつないでない とデジタルIDが使えない。PUPPY がないとパスワ−ドを入れることができない、ユ−ザ は知らないので。FirePass で ikken のクライアント用デジタルID生成する。単に証明 書とも呼ばれる。証明書は普通、使用するパソコンのIEブラウザに入れるが、ここでは USBト−クンの PUPPY に入れる。PUPPYによる指紋認証+PKIの二要素認証による強 力な FirePass クライアント認証の実現である。 * FirePass の説明を聞きたいところ MACアドレスの比較チェックはできるのか。マニュアルを一瞥したところ、説明が見当 たらない。もしできるとしたら、エンドポイントセキュリティチェックのインスペクタの "拡張Windows情報" 当たりか。これを使うには [ログオン前シ−ケンス] の {シ−ケンス エディタ} で記述をするのか。設定は今のところ黒丸を付けているのはPWSの "Switch to PWS" だけ図が描かれている。多分 [ログオン前シ−ケンス] では1つだけ選択有効に なるのでないか。"ログオン前インスペクションなし"を黒丸にするとPWSは出てこない のでないか。[プロテクテッドの設定]もよく分からない、これはPWS画面のことだと漠 然と思っていたが、PWSも含む幾つかの機能を言うようだ。ここの設定と [エンドポイ ントインスペクタ] のメニュ−とは関係があるみたいだが。 そもそも ROUD 利用の場合の ROUD 経由の FirePass、ROUD 利用なしのFirePass、これら は FirePass のどこのメニュ−で制御しているのか。もうひとつPUPPY 内のデジタルID を使って FirePass のユ−ザ認証する場合は ROUDは使えないと聞いた。[デバイス]->[設 定]->ネットワ−ク設定] の [ウェブサ−ビス] の {クライアント証明書のリクエスト}に 〆を入れると、 FirePass は全てのアクセスにクライアント証明書の要求をするようにな るかららしい。PUPPY のクライアント証明書は使わないのであれば、PUPPY をパスワ−ド だけを人の代わりに FirePass に入れるのに用いる。これはできそうな気がする。ともか く今は {クライアント証明書のリクエスト} には〆を入れてない。〆して再確認するか?。 (5) ユニバ−サル・アクセスの解 `29/08 -------------------------------------------------------------------------------- これで解けたのでないかと思う。SSL-VPN 装置のメ−カに言って機能を追加できないか掛 け合ってみるか。既存の SSL-VPNで既に実現できるのか尋ねるのが先か。2009年8月 5日の夕方に思いついた。もう一つ思いついた、こっちは10月21日夜にふと出てきた。 -------------------------------------------------------------------------------- * ひらめきのヒント その日、パソコンのファイル暗号化について調べていた。A-Gateで見たシ−ムレスなファ イルのアクセスをずっと考えていた。こんな感じで一般も機密情報も扱うにはどうしたら いいか。どんなアクセスのイメ−ジになるのか、なかなか見えて来なかった。FirePassの PWSではファイルをどのようにしても、最後は結局のところ何の痕跡も残らない。でも PWSというモ−ドにするという意図的な操作がいって、機密文書を見るために専用の別 な部屋に入るという感じになる。これはうっとうしい話だ、機密文書だけ机に広げれば仕 事ができる訳ではない。普通は一般文書も見ながら仕事はするものだ。機密文書をそこで コピ−しても、消しても、修正しても仕事を終えた後は、何も変化はなかった。机におい ていた機密文書は速やかに片付けられている。もちろん権限のある人が文書を新たに作成 したり修正したりすることもできる。だいたいこんなような状態をイメ−ジした。 * パソコンから利用のイメ−ジ 普通のパソコンの状態では一般情報には常にアクセスできるようにしておく。そして機密 情報に用ができたら、機密情報のフォルダをクリックして、パスワ−ドを入れる。指紋認 証を使っている人は、指紋認証のUSBト−クン経由でパスワ−ドを入れるのもいい。パ ソコンの画面には機密情報サ−バと一般情報サ−バへの窓口であるフォルダを出すことに する。一般情報は自由に画面キャプチャやプリント、コピ−、ドラッグ&ドロップ等がで きる。もちろんユ−ザ権限とファイル権限に応じて閲覧/作成/編集ができるようにする。 ファイルサ−バは Windows それに Samba の CIFS、WebDAV が対象である。機密情報にア クセスするのに FirePass のPWSのモ−ドに入る操作をし、機密情報への用が済んだら PWSモ−ドから抜ける操作をする。ここではそんな事はしないようにする。 -------------------- ユ−ザのパソコンはこれまで使用のものをそのまま使う。ハ− | | ドディスクの暗号化もなし。SSL-VPN の設定をするのみ。 | □ 機密情報 | | | ただの平社員であるとか、そもそも機密情報に用のないユ−ザ | ◇ 一般情報 | には機密情報のアイコンを画面に出す必要はない。 | | |------------------| 機密情報サ−バへは SSL-VPN装置を経由させる。これで通信路 |ディスク暗号化無し| は暗号化される。盗聴の心配が無くなり安全である。 -------------------- 機密情報のアクセスには2つのモ−ドを基本的に用意する。SSL-VPN の機能として実現す る。View モ−ドと Edit モ−ド。View モ−ドはユ−ザ権限に応じて閲覧のみができるよ うにする。そもそも画面キャプチャやプリント、コピ−、ドラッグ&ドロップはできない。 Edit モ−ドは自由に利用できる。Edit モ−ドが通常のモ−ドで View モ−ドが特殊な安 全性を配慮したモ−ドである。SSL-VPN の機能としては、とりたてて Edit モ−ドなるも のを設ける必要はない。View モ−ドというのが実現できさえすればいい訳で、View モ− ドに対して Editモ−ドという位の意味合いでしかない。 これは FirePass のPWSとソ ニ−の PUPPY のファイル暗号化を合わせたような機能でないかと思う。 "NonCopy PUUPY エンタ−プライズ" の説明を読んでいて、自分が漠然とイメ−ジしてたことが分かった。 いやいや Edit モ−ドはそんな単純なものではいけない。Editモ−ドは機密情報サ−バに SSL-VPN 装置を経由することによる、SSL-VPN 装置によって制御されるモ−ドである。機 密情報フォルダ内でのみ自由に利用できる。別のフォルダにコピ−したりはできないとい うこと。ユ−ザ権限とファイル権限に応じて閲覧/作成/編集ができる。画面キャプチャ、 プリント、コピ−、ドラッグ&ドロップも同様である。ただし文書のカット&ペ−ストは できなくする制御はできない。これらの制限によりUSBメモリには機密情報は入れるこ とはできない。一般情報しか入らない。SSL-VPN の設定をしたパソコンなら、外出先でも 自宅でもどこでも機密情報も一般情報も利用ができる。そうすることによってUSBメモ リに情報を入れて持ち歩かなくても済む。ユ−ザもその方が安心できるはずである。 * パソコンの扱いの検討 [ 社内でのパソコン利用の検討 ] パソコンは普通のディスク付きのもの。暗号化はしない。機密文書の書きかけの状況が危 ない訳だが、機密文書は個々のパソコンのフォルダでは作らないことをル−ルとする。必 ず機密情報のフォルダ内で作成する。つまり機密情報用サ−バ内で作ることにする。 [ 社外でのパソコン利用の検討 ] 機密情報はたとえ権限があっても見るだけにしたらと思ったが。そんな制限は特にかける 必要はないだろう。社内と同じ扱いにする。これで SSL-VPN装置としては、特に別に機能 は必要ない。社外からは見るだけにしたいとなると、それなりの仕様が必要になるが。 * 他の方法との比較検討 各社の暗号化ソフトの記事を読んでいると、これらのソフトでも上記のようなことはでき そうな気がする。しかしファイルサ−バ側にも、クライアントのパソコンにも専用ソフト を入れて制御を行なうようになっている。暗号化ソフトを使わずにWebサ−バを HTTPS にして、Driveware のようなデバイス制御ソフトをクライアントのパソコンに入れてもで きそうな気がする。結局のところ、こうした方法は各パソコンでの専用ソフトの初期設定、 暗号化ソフトを使うなら暗号化鍵の扱い、そうしたことがやっかいなのである。ここでの プランは暗号化してない Samba サ−バ、WebDAV サ−バはそのままで、SSL-VPN 装置をか ましさえすればいい。それだけで機密情報のアクセス制限ができるという。そうした導入 の容易さが、SSL-VPN 装置を利用するアイデアの大きなアドバンテ−ジなのである。 * Juniper の SSL-VPN では FirePass のプロテクテッドワークスペース(PWS)機能は、 一般的にはセキュアデスク トップ機能というようである。あるSI業者が 2006/06 にまとめた資料では Juniper SA には似たような機能は入ってなかった。時期バ−ジョンで対応する予定と書かれてあった。 製品名称は正しくは Juniper Networks Secure Access。 2007/05 時点のパンフレットに はSVW( Secure Virtual Workspace ) 機能と言うのが出ていた。別売りのAdvanced オ プションにある機能で、SVWで情報漏洩対策、パソコンを一時シンクライアント化する 仮想デスクトップと説明がある。SVWは SA2000/4000/6000 で利用可、SA700 は対応し ない。SA700 は Terminal Service も対応しない。このSVW機能はまだ見たことがない。 小生が考えたようなことができるのかどうか。名古屋でセミナ−はないか。`29/08 * SSL-VPN 経由の RDP アクセス `29/10 非常に便利なアクセスなのだが、一つ問題がある。外のパソコンから社内の自分のパソコ ンに SSL-VPN 装置を経由して RDP アクセスできるようにするには、ファイアウォ−ルで "SSL-VPN -> 社内PC" へ RDPパケットを通すル−ルを追加することが必要である。何人 かが新型インフルエンザにかかった、それぐらいならル−ルの追加は限定的といえる。イ ンフルエンザ対応でこんな事ができるんだと社内に知られ、例えば営業マン全員がやれる ようにせよとなると困る。営業さんの社内のパソコン数十台を対象にファイアウォ−ルに 穴を開けることになる。そこでリモ−トデスクトップの中継型ASPサ−ビスの仕組みを SSL-VPN 装置に持たせたらどうか。 中継サ−バの機能を SSL-VPN 装置に入れるのである。 これで社内パソコンの方から SSL-VPN装置への方向にアクセスさせるようにする。社内の パソコンにはそのパソコンの中の RDPサ−バと中継サ−バを仲介するソフトを入れる。 * FirePass のPWS機能の利用 `29/10 FirePass のプロテクテッドワ−クスペ−ス(PWS)機能を、 外出時の持ち出しの普通の ノ−トパソコンの情報漏洩対策に用いることができないか、だいぶ検討した。しかしF5 社も安全であるとはどうも太鼓判を押していないようで、利用はそれこそ自己責任となる。 FirePass のPWSについてその後、知ったことで、どうやら SSL-VPN のセッションが何 らかの原因で突然切れたような場合、パソコンのハ−ドディスクにそれまでのやりとりが 残ってしまうことがあるらしい。PWSはソフトでパソコンのドライブが無いように見せ ているのだが、前にちょっと調べた際にもフォルダが見えてアクセスできてしまう所もあ った。ならばいっそ、SSL-VPN 装置のPWS機能ではなく、パソコンのディスクを無いよ うに見せる疑似シンクライアントのソフトでどうかとも思ってしまう。 * メモ:共用の社外持ち出し用のノ−トパソコン `29/10 ノ−トパソコンの設定は基本的には FirePass だけでいい。Word も Excel などアプリケ −ションはインスト−ルする必要はない。リモ−トデスクトップ接続するので、会社の自 分のパソコンに入っているアプリケ−ションを使う。OS以外は空という感じである。メ −ルなどのウィルスチェックソフトも入ってなくていい。 FirePass のPWS機能で安全 性は確保される。確保されるはず、パソコンの実ディスクとは切り離されるので安全のは ず。今一度、機会があればF5社のエンジニアに見解を尋ねてみたい。ノ−トパソコンの MACアドレスを FirePass に登録する。できるかどうかこれも確認のこと。持ち出しノ −トパソコンのログオンは指紋認証で行なう。1人に1個 PUPPY を支給する。 指紋認証 でユ−ザを特定し、MACアドレスでパソコンを特定する。 この共用パソコンにはログオンのアカウントは1つだけ作る。ログオンは個人ではなく共 通でいい。例えばユ−ザ名 minna、パスワ−ド henomohe。指紋が合致したら PUPPY から パソコンにユ−ザ名とパスワ−ドを送出する。1人に1個 PUPPY を支給する。 指紋はそ れぞれの人の右手の中指の指紋とするか。パソコンのロック解除は、この右手の中指とか にする。社内の自分のパソコンへ RDP アクセスする際のアカウント入力画面で、PUPPYか らユ−ザ名とパスワ−ドを送出できないか。 試したところ FirePass に入ると PUPPY の 制御が効かなかった。もしできる方法があれば便利である。RDP のアカウント入力が指紋 でできなくても問題はない。指紋認証を通った人でしかそのパソコンを使えなくて、その パソコンでしか FirePass にアクセスできない。これで認証は十分である。 とりあえず社内のパソコンのログオンはパスワ−ドでやるものとする。ユ−ザは自分のパ スワ−ドは知っている訳で、FirePass でパスワ−ドを入力しても問題はない。 PUPPY の 指紋認証でログオンできれば便利ということでしかない。ログオンは FirePass のポ−タ ル画面に用意された、 社内の自分のパソコンへの RDP アクセスする際のログイン画面で ある。1個の PUPPY を皆で使おうとするとどうなるか。 Aさんは人さし指、Bさんは中 指、Cさんは薬指の指紋を登録するという使い方になる。PUPPY 1個で済むので費用は安 くできる。しかし指を PUPPY に置くのがやりにくい人も出てくる。 はっきり言ってよろ しくない。また皆の指紋が1個の PUPPY に入っている訳で、 もし紛失したら罰が悪いと いうのはある。ただし無くしても指紋認証は本人しか使えないので、全然問題はない。 * 装置認証はずっとのテ−マ `2f/10 MACアドレス認証には2つある。無線LANのアクセスポイントやスイッチングハブで のやり方が1つで、流れているフレ−ムの中にあるMACアドレスを直接みる。もう1つ は SSL-VPN 装置などでのMACアドレス認証は、 あらかじめパソコンのMACアドレス を登録し SSL-VPNクライアントソフトでアクセスする際のパケットにMACアドレスを含 めるということ。SSL-VPN 装置がMACアドレス認証をサポ−トしてない場合、 SSL-VPN 装置の前のハブでMACアドレス認証をさせてはどうか。ハブの ApresiaLight はMAC アドレス認証とWeb認証ができる、装置内に 128個分MACアドレスを登録できる。こ れやれそうな気がするが出来ない。SSL-VPN ではMACアドレス認証は最初のやり方だか ら。それに SSL-VPN の装置とパソコン間の通信はそもそも暗号化されているのだから。 * SSL-VPN の利用で事業の継続を考える 新型インフルエンザの社会的影響、政府がレポ−トを発表した。2008年7月30日に 夜の報道番組でやっていた。国内で3200万人が感染して64万人が死亡する。会社へ も4割の人が出勤できない。NECの取組みが紹介されていて、会社に出てこれない人に 在宅で仕事ができるようノ−トパソコンを7割の社員に支給したとのこと。シンクライア ントのことだろう。ならば SSL-VPN装置で緊急時には、それぞれ自宅のパソコンから社内 にアクセスできるようにしてはどうか。この場合はパソコンの個体認証はしないというこ とにしておく。あらかじめパソコン個体認証してあるのは、使えばいいけど。パスワ−ド だけで入れるようにする。内部資源の安全確保に関してはひょっとするとかなり弱いもの になるかも知れない。しかし事業を継続することが先決である。事前にBCP( Business Continuity Plan ) 対策委員会とかに計っておく必要はある。彼等はこんな事ができるな んてことはまるで知らない。仕組みが理解できてもできなくても説明する必要がある。 ------------------------------------------------------------------------------------ [ 付録 ] もう少し SSL-VPN 利用による事業継続を考える * 新型インフルエンザ対策へのBCPが発端 BCPはあくまでも緊急用である。自宅から出れない、会社にいけない状況で自宅のパソ コンを用いて、会社の自分のパソコンにアクセスして何とか仕事をするというものである。 * SSL-VPN の RDP 機能利用によるBCP BCPの時は FirePass だけを使用する。ROUD は使わない。FirePass の RDP機能を使う。 FirePass にログインするアカウント、 それから社内の自分のパソコンにログオンするア カウント。2ヵ所のユ−ザ名、パスワ−ドで一応のセキュリティは確保される。これでよ しとする。BCP適用の事態はいつ起こるか分からない。今回の新型インフルエンザでは 一部の人だけ出社できないというような状況が生じたといえる。会社へ来るな。だいたい 感染者が発見されるとその周辺の人も含めて、7日から10日間、自宅待機となる。リモ −トアクセス用のパソコンをセットアップして、自宅へ届けることはできそうもない。自 宅へ近寄ることもはばかられる。神戸でやる結婚式にも行くな、キャンセルせよ、もし行 ったら3日間は出社は自粛してもらいたい。そんなことだった。FirePassでは安全のため PWSを使用する、PWSを使用する場合は ROUD は使えないという制限がある。 * SSL-VPN の RDP 機能利用の他への適用 BCPの時ではない。国内の支店や海外の拠点でのこと。人数が少ない場合は長期出張的 な考えで SSL-VPN の A-Gate で社内リソ−スを使用できるようにした。A-Gate の機能の パソコン個体認証もやった。A-Gate にも RDP 機能があった。単に SSL-VPNアクセスする より、RDP アクセスも含める方がいい場合というのがある。ホスト系やオフコン用のソフ トのアクセスである。特殊なプロトコルでLANで利用することを概ね想定しているもの。 ポ−トも幾つか使うような話である。インタ−ネット越しでは実際に使い物になるかどう かはSI業者も分かってない。BCPのように緊急性はない、支店や拠点で使用している パソコンは固定されて、あらかじめ分かっている。SSL-VPN のホストチェッカ−機能でこ れらのパソコンのMACアドレスをあらかじめ登録し、認証させるか。RDP よりも使用帯 域が少ないプロトコルが旧 MetaFrame の ICA である、別途ソフトが必要になるが。 * 意外にも早く現実味を帯びてきたBCP 厚生労働相が2009年4月28日夜、新型インフルエンザ発生を宣言した。WHOが豚 インフルエンザの警告レベルをフェ−ズ3から4に引き上げた。今回、BCPを策定して いた大手企業でも、実際には有効には働かなったようである。きつ過ぎるセキュリティポ リシ−が障害になって、リモ−トアクセスが許可されなかったりした。人事の勤怠管理で も問題になったと考えらえれる。自宅にて仕事を継続することはシンクライアントにより 技術的にはほぼクリアされている。これからは社内の制度的な問題をクリアしていかなけ ればならない。我々エンジニアは先ずできることをデモで示し、社内の理解を得るよう勤 めることである。BCP対策だけでなく、一般的な在宅勤務の実現可能性も示すのである。 BCP対策の一つの手段として、前もって準備しておく、費用もそれなりにかけることと すれば、リモ−トデスクトップアクセスのASPサ−ビスを利用する手もある。しかしこ れだと費用の面から、企業の幹部だけを対象にするとか適用が限定されると思う。 * SSL-VPN の利用によるBCP対策の説得 2009年8月19日、12時28分朝日新聞サイトで "厚労相、新型インフル「流行本 格化」対策実践呼びかけ"。夏が終わり流行が本格化する秋に入ろうとしている。 一つの 説得の仕方を示そう。課長なり部長なり社長なりと面と会う機会があれば。もしあなたが 今、新型インフルエンザにかかったら少なくとも1週間は会社に出てこれないだろう。へ たしたら2週間ぐらい出れないかもしれない。多分、熱は2〜3日で下がる。その後の日 数、あなたはポヤ−として過ごすのですか。在宅勤務の制度が人事でまだ決まってないか ら、ああだこうだと理由を見つける前に、単純に考えてみてもらおう。会社の重要な役割 を担っている貴方が1週間も2週間も仕事せずに済むのですか。もしそうだとしたら、そ もそも居なくても構わない人物なのではないですか。9月に発覚した大人の事例ではどう も休むのは1週間かそれ未満でいいみたい。BCP対応するかどうか微妙な日数だ。 * フレッツ・ADSL 用モデムル−タの設定 会社の人がこれからはどんどん自宅で SSL-VPNを使うことを想定。フレッツ・ADSLや光接 続のモデムル−タの設定なども安全を考えないとけない。それぞれの人にお任せではなく、 一応安全に設置するガイドラインを作って、マニュアルをあげた方がいいと思う。LAN 側IPアドレスはデフォルトのままでなく、別なのを付けるとか。パスワ−ドもデフォル トのままにしないこととか。モデムル−タはパケットフィルタリングもできるので、これ だけはル−ルを書いておこうとか。仕様を見たら、一応ステ−トフル・インスペクション とも書かれていた。そこそこのセキュリティ対策ができる。これらは実際に自分がフレッ ツ・ADSLを引いてみて分かったこと、感じたこと。インタ−ネットを使わない時はモデム ル−タの電源コンセントは抜いておこうとか。フレッツ・ADSLならモデムの電源が入って なくても電話はできる。フレッツ・光ではモデムに電源が入っていないと電話はできない。 * 新型インフルエンザの自宅待機者へ 自宅のパソコンのログオンはそのまま、ウィルスチェックのソフトが入ってなくても構わ ない。FirePass にアクセスするとPWSになるので安全。 そして共通のユ−ザ名とパス ワ−ドで FirePass にログインする。 そして会社の自分のパソコンに RDP アクセスする、 この時はいつもの自分のアカウントを入れる。FirePassでは利用できる時間帯を制限する ことにする。例えば朝8時から夜8時までとか。FirePassのタイムアウト時間も2時間ぐ らいの長めにする。自宅待機の人が朝、SSL-VPN 接続して夕方、仕事を終えるまでそのま まにするという使い方をしてもらう。タイムアウトが短いと悪意のある第三者にアクセス を許すことになりかねない。ネットワ−ク管理者は FirePass のログを見張っていること。 気になることがあれば自宅待機の人に電話するなりして、利用状況を確認する。パスワ− ドのみでアクセスを許すのは、飽くまでも緊急の対応であることを忘れてはいけない。