イントラネット、CRM や ERP などの企業アプリケーションの採用により、ビジネスに関する機密情報が、企業 LAN 内において保護されない状態で転送されるケースが増えています。内部ネットワークからのデータの盗聴など、さまざまな内的/外的脅威により、従来の境界部におけるセキュリティソリューションだけでは対応することができないリスクが生じるようになりました。 SSH Tectiaを使用することにより、アプリケーションや既存のインフラストラクチャを変更することなく、アプリケーションをエンドツーエンドで透過的に保護することが可能です。
SSH Tectia とセキュアなアプリケーション接続に関する FAQ (よくある質問とその回答) を以下に示します。
- SSH Tectia によるビジネス アプリケーションの保護とは、どのようなことを指すのですか?
- SSH Tectia で様々なビジネス アプリケーションを保護するには、どの製品が必要になりますか?
- SSH Tectia の透過的なトンネリング機能はどのようなしくみで機能するのですか?
- 静的アプリケーション トンネリング (ポート転送) と透過的なアプリケーション トンネリングの違いは何ですか?
- ビジネス アプリケーションを使用するうえで存在する脅威にはどのようなものがありますか?
- ビジネス アプリケーションを保護するために SSH Tectia で使用されているセキュリティ技術とはどのようなものですか?
- SSH Tectia で保護されるのはどのような種類のビジネス アプリケーションですか?
- SSH Tectia は、社内のレガシー アプリケーションを保護できるのですか?
- アプリケーションが保護されているときに、SSH Tectia はエンドユーザーからはどのように見えるのですか?
- 非境界化とは何ですか? また、そのセキュリティ実装とは何を指すのですか?
Q1. SSH Tectia によるビジネス アプリケーションの保護とは、どのようなことを指すのですか?
With SSH Tectia を使うと、大規模な組織はエンドユーザ ワークステーションとアプリケーション サーバとの間のアプリケーション接続を費用効率の高い方法で保護できます。TCP/IP ネットワーク上で転送中のアプリケーション データの機密性、整合性および認証を確実にするために、SSH Tectia を適用するには技術的に異なる 2 通りの方法があります。1つ目のシナリオでは、コマンドラインのアプリケーションにアクセスするときに、保護されていない Telnet ベースの端末クライアント/サーバをSecure Shellで置き換えます。もう一つのシナリオでは、Tunneling Expansion Packを備えた SSH Tectia を使用して、任意の TCP ベースの企業アプリケーションを透過的にトンネリングします。既存のアプリケーションを再設定したり、変更を加えたりする必要はありません。Q2. SSH Tectia で様々なビジネス アプリケーションを保護するには、どの製品が必要になりますか?
SSH Tectia Client および SSH Tectia Server 製品は、ワークステーションとサーバの間のセキュアではない端末アプリケーション接続をセキュアなものに置き換えることができます。SSH Tectia Client 製品は、Telnet のようなユーザ インターフェイスを提供すると同時に、リモート端末接続にセキュリティを付加します。Windows ワークステーションとサーバの間のアプリケーション接続を透過的にトンネリングするには、クライアント側に SSH Tectia Connector 製品を、サーバ側に SSH Tectia Server with Tunneling Expansion Pack 製品をインストールする必要があります。透過的なアプリケーション トンネリングでは、セキュアなアプリケーション接続を実行する際に、アプリケーションの再設定を行う必要がないのです。
SSH Tectia Connector を SSH Tectia Server for IBM z/OS 製品と一緒に使用することにより、Windows ワークステーションと IBM メインフレームの間の TN3270 端末アプリケーション接続を透過的にトンネリングすることができます。
SSH Tectia Manager は、アプリケーション トンネリング ルールと他のセキュリティ設定が、基礎となる企業セキュリティ ポリシーとの一貫性を保つように、これらを一元的に管理することができます。SSH Tectia client/server ソリューションの一元的なソフトウェア展開、保守、および監視によって、一般的なシステム管理作業を自動化できるので、運用コストが大幅に削減されます。
Q3. SSH Tectia の透過的なトンネリング機能はどのようなしくみで機能するのですか?
アプリケーション ソフトウェアがネットワーク サーバへの接続を開始すると、SSH Tectia Connector はその接続を透過的に収集して、強力な暗号機密性と整合性を備えた Secure Shell トンネルを作成します。このトンネリング メカニズムはアプリケーション トンネリングに対して一元的に管理されたルールを作成する機能を提供します。トンネリングされたアプリケーションには設定の変更はまったく必要なく (localhost への接続を再ルートするのにアプリケーション クライアントを再設定する必要はない)、接続は透過的な方法で保護されるので、実際にアプリケーション トラフィックが認証されていたり、エンドツーエンドで暗号化されていることをエンドユーザはまったく意識しないで済みます。
Q4. 静的アプリケーション トンネリング (ポート転送) と透過的なアプリケーション トンネリングの違いは何ですか?
SSH Tectia Connector を使用した透過的アプリケーション トンネリングのしくみについては、Q3 をご覧ください。SSH Tectia Connector の独自の機能である透過的なアプリケーション トンネリングの代わりに、SSH Tectia Client 製品には静的アプリケーション トンネリング (ポート転送ともいう) をサポートしています。静的アプリケーション トンネリングを使用すると、セキュアなアプリケーション接続を確立するためにローカル ホストを経由してアプリケーション接続を再ルートする必要があります。つまり、アプリケーション クライアントがローカル ホスト内の特定の TCP ポートに接続するように、アプリケーション クライアントのネットワーク設定を再構成する必要があることを意味しています。さらに、SSH Tectia Client はトンネルされた (localhost) 接続をリモート サーバに転送するように設定する必要があります。
図: 動作中の静的アプリケーション トンネリング
SSH Tectia Connector の透過的なアプリケーション トンネリングとは異なり、静的アプリケーション トンネリングにはクライアント側のネットワーク設定での変更が必要であり、また、固定されたポートを使用するアプリケーションで主に使用できます。ただ し、静的アプリケーション トンネリングはサーバー間の無人接続で使用することもできます。
Q5. ビジネス アプリケーションを使用するうえで存在する脅威にはどのようなものがありますか?
これまで企業は、リモートのユーザー ワークステーションとネットワーク境界部に存在する企業のファイアウォールとの間で暗号化された通信を実装してきました。CRM (Customer Relationship Management) や ERP (Enterprise Resource Planning) などの企業アプリケーションの採用により、ビジネスに関する機密情報が、企業 LAN 内において保護されない状態で転送されるケースがこれまで以上に増えています。社員による内部ネットワークからのデータの盗聴、無線ローカル エリア ネットワークの採用、新種の巧みなネットワーク ワームの出現などの内部および外部のさまざまな脅威は、ミッションクリティカルなデータの整合性にとって深刻な脅威です。Q6. ビジネス アプリケーションを保護するために SSH Tectia で使用されているセキュリティ技術とはどのようなものですか?
SSH Tectia では SSH 社が開発した Secure Shell プロトコル (SecSh v2) を使用しています。Secure Shell プロトコルは、世界各地の数百万ものユーザーに使用されている標準のリモート アクセス メカニズムです。このプロトコルは、商用アプリケーション ソフトウェアのみならず、内部で開発されたクライアント/サーバー アプリケーションにも機密性、整合性、および認証の実装を可能にします。SSH Tectia の Secure Shell 実装には、AES、3DES、DSA、RSA アルゴリズムなどの標準をベースにした強力な暗号手法が採用されています。基本となる暗号手法ライブラリは FIPS 140-2 で認定されたものであり、SSH Tectia は最も要求の厳しい政府関係機関や企業の環境に対しても非常に適しています。SSH Tectia の広範囲に及ぶ認証サポートには、パスワード、公開鍵認証、証明書や、PKI、GSS-API、RADIUS、PAM、Kerberos などがあります。
技術的な仕様の詳細については、SSH Tectia client/server ソリューション データシートを参照してください。
Q7.SSH Tectia で保護されるのはどのような種類のビジネス アプリケーションですか?
SSH Tectia は、透過的な方法で、利用可能な任意の 65,535 の TCP アプリケーション ポートをトンネリングできます。SSH Tectia が異機種混在のマルチアプリケーション環境で使いやすいことを実証するために、SSH 社は、広範囲の商用アプリケーション ソフトウェアに対して定期的に社内で互換性テストを実施しています。テスト済みのアプリケーション製品には、SAP、Oracle E-Business Suite、Lotus Notes、代表的な電子メール アプリケーションなどがあります。様々な種類のソフトウェアとのトンネリングを設定するためのガイドを提供する互換性に関する文書は、SSH Resource Center にあります。詳細については、Compatibility Notes(英文)を参照してください。
Q8.SSH Tectia は、社内のレガシー アプリケーションを保護できるのですか?
はい。SSH Tectia は、社内のレガシー TCP アプリケーションに対して、そのコードレベルの変更や他の変更を行わずに保護することができます。Q9. アプリケーションが保護されているときに、SSH Tectia はエンドユーザーからはどのように見えるのですか?
SSH Tectia は、ビジネス アプリケーションを使用してるエンド ユーザには透過的です。SSH Tectia とエンド ユーザーとの間で唯一認識される典型的なやり取りには、セキュアな接続が確立されるときの個人識別番号ダイアログまたはパスワードのプロンプトがありま す。Windows ドメイン認証、Entrust Authority、またはシングル サインオン システムと統合すると、認証プロンプトさえも省略できるので、SSH Tectia はエンドユーザからはまったく見えなくなります。Q10. 非境界化とは何ですか? また、そのセキュリティ実装とは何を指すのですか?
これまで、情報セキュリティ システムはファイアウォールやアンチウイルス ゲートウェイなどの保護機能を実装した境界部セキュリティの概念を使用して開発されてきました。境界部セキュリティ モデルは、内部ネットワークが信頼でき、追加のセキュリティ手段を何も必要としないという前提に基づいています。しかしながら、最近のさまざまな IT トレンドの組み合わせとして、情報セキュリティの脅威は今やネットワーク境界のみを防護するだけでは足りなくなりました。この影響の結果が、非境界化、ま たはより簡単にいうと、境界部の消失ということになります。社員に対してリモート アクセスを提供したり、顧客やパートナーの環境とビジネス アプリケーションを統合するのに、インターネットがますます使用されるようになってきました。通常、顧客やパートナーの環境とビジネス アプリケーションを統合するためには、境界部ネットワークに穴をあけ、バックエンド サーバーに対するアクセスを許可します。その結果、企業ネットワークには企業内の IT 部門の管理下にはない外部からの大量のアプリケーション トラフィックが見られるようになりました。さらには、境界部セキュリティは、企業ネットワークへの WLAN などの無線アクセスの採用によって生み出された新たな脅威に対しては保護を提供できません。
非境界化の時代において、クリティカルなデータをしっかりと保護するには、より統括的なセキュリティ アプローチが必要になります。その重要な部分として、ミッションクリティカルなビジネス アプリケーションを端から端まで保護することがあげられます。セキュアなアプリケーション接続を行う SSH Tectia は、この要件を満たすのに最適なソリューションなのです。
