Jump to content 日本-日本語
日本HPホーム 製品 & サービス サポート & ドライバー ソリューション ご購入方法
≫  お問い合わせ
日本HPホーム
ソフトウェア  >  セキュリティ

リモートアクセスソリューション

F5ネットワークス社 BIG-IP Edge GatewayとHP IceWall File Managerの連携について

HP IceWall ソフトウェア
お問い合わせ
ソリューション連携
技術レポート
IceWallニュース
オンラインデモ
デモセンター
カタログ
イベント・セミナー情報
HP IceWall SSO
HP IceWall Identity Manager
HP IceWall Federation
HP IceWall MCRP
HP IceWall Remote Configuration Manager
HP IceWall File Manager
HP IceWall QFS
IceWall サイトマップ
HP IceWall SSO(English)
HP IceWall Federation(English)
HP IceWall Remote Configuration Manager(English)
日本HP セキュリティページ
日本HP メールニュース
日本HP サイトマップ
IceWallについてのお問い合わせ 0120-436-555
※HP IceWall SSO は株式会社SCCとの共同開発製品です。
コンテンツに進む

1.はじめに
社外からイントラネットのファイルサーバーにリモートアクセスする際に、情報漏えいのリスクを考慮し、SSL VPN等の機能を利用したアプライアンスが使われるケースが多くあります。
本レポートでは、F5ネットワーク社のBIG-IP Edge Gateway(以下Edge Gateway)とHP IceWall File Manager(以下File Manager)を連携し、ファイルサーバーへセキュアにアクセスする方法をご紹介します。
また、具体的な利用シーンを想定し、作業用PC上でのファイルの消し忘れや外部ドライブへのファイルコピーによる情報漏えいリスクを低減するセキュアデスクトップソリューションについても併せてご紹介します。

2.各製品の概要

2.1 F5ネットワークス BIG-IP Edge Gateway
F5ネットワークス社のBIG-IP Edge Gatewayは、外出先やリモートオフィスからユーザーが安全かつ簡単に社内ネットワークへの接続や業務アプリケーションを利用できるテレワーク環境を支援する製品です。
従来のリモートアクセスソリューションと比較すると、より大規模な環境(最大で40000同時接続)での利用を想定しております。また、業務アプリケーションへのアクセスを高速化する機能も単一の機器により実現することでコストパフォーマンスが大変優れています。
また、ネットワーク環境に応じて最適な接続形態を自動選択するクライアントPC専用のソフトウェア(Edge Client)を提供しています。接続されているネットワークをEdge Clientが自動的に判別します。ユーザーは接続するネットワークを意識する必要が無いため、ログオンに伴う作業負荷を軽減し、ユーザービリティの大幅な向上に貢献します。
F5ネットワークス社 BIG-IP Edge Gatewayについて F5ネットワークス社 BIG-IP Edge Gatewayについて
Edge Gatewayが提供する主な機能やソリューションをご紹介します。
SSL VPN リモートアクセス環境の提供
エンドポイント・セキュリティ機能などによるクライアントのセキュリティ強化
認証機能やACL機能の提供
ネットワーク高速化・アプリケーション高速化
接続先アプリケーションの制限
※その他にも、多数の機能がありますので、下記のEdge Gatewayの製品ページも参照してください。
BIG-IP Edge Gateway製品ページ日本HP外のウェブサイトへ
ここでは、その中で、クライアント側のセキュリティ強化に特に寄与するエンドポイント・セキュリティ機能について、簡単にご紹介します。

・Edge Gatewayのエンドポイントセキュリティ機能
Edge Gatewayのエンドポイントセキュリティ機能は、ユーザーのログオン時にクライアントのセキュリティ要件をチェックすることができる機能です。設定した内容に応じてブラウザ経由(ActiveXあるいはNetscape互換プラグイン)でクライアントをチェックするプログラム(ActiveXコンポーネント)がインストール・使用されます。
<エンドポイントセキュリティ機能におけるチェック項目例>
OS、プラットフォーム、ブラウザが指定されたものかどうか
Service Pack/パッチが当たっているか(Windows)
有効なクライアント証明書/マシン証明書(Windows)があるか
ウイルス対策製品・ファイアウォール製品が動作しているか(Mac/Linux/Windows)
ウイルス定義ファイルがログオン時よりn日前より新しいものか(Mac/Linux/Windows)
指定したファイルが存在しているか(Mac/Linux/Windows)
指定したプロセスが起動しているか(Mac/Linux/Windows)
指定したレジストリエントリが存在するか(Windows)

2.2 HP IceWall File Manager
File Managerが提供する代表的な機能やソリューションをご紹介します。
ブラウザを使用したファイル管理GUIの提供
ファイルサーバーへのHTTPアクセス化を実現可能
ファイルサーバーアクセスにおいて、認証機能を提供可能
ファイルやフォルダに対して読み取り・書き込みなどのアクセス権限チェック機能を提供
複数のファイルサーバーを仮想的に集約させることが可能
※HP IceWall File Mangerの概要については、こちらを参照してください。

2.3 HP IceWall File ManagerとF5ネットワークス BIG-IP Edge Gatewayの機能連携
ここまで、それぞれの製品の機能を簡単にご紹介しました。
File ManagerとEdge Gatewayを連携する場合の機能分担を、関連するエリアのイメージと併せてまとめると、以下のようになります。
File ManagerとEdge Gatewayを連携させる場合の機能分担

3.動作検証

3.1 本レポートでご紹介する内容
ここからご紹介する内容は、次の2つのパートに分かれます。
3.2 基本構成での連携
2つの製品をシンプルに構成し、個別開発などを行わずに疎結合で動作させることが可能か、を確認するため、簡易的な検証を実施しました。
3.2では、その内容についてご紹介します。
3.3 情報漏洩リスクを低減させる機能
3.3では、3.2の構成に加え、情報漏洩リスクをより低減するために有効となる、Edge Gatewayの機能をご紹介します。

3.2 基本構成での連携

3.2.1 構成
3.2で実施した簡易検証の検証環境は以下の通りです。
F5ネットワークス社 BIG-IP Edge Gateway
  - 搭載バージョン:BIG-IP Ver10.2
HP IceWall File Manager 3.0 SP1
  - 認証機能オプションを使用
検証時の構成と、簡易的に動作を確認した機能は以下の通りです。
構成

3.2.2 動作説明
本項でご紹介した基本構成での動作について説明します。
@ クライアントからEdge Gatewayにアクセスします。この時、Edge Gatewayの持つエンドポイントセキュリティ機能により、アクセス元PCのセキュリティチェックを実施します。
A 暗号化されたSSL VPNトンネルを使用して、クライアントのブラウザからFile Managerにアクセスします。認証機能オプションがブラウザ上にログイン画面を表示し、ユーザーの認証を行います。
B 認証後、ブラウザ上でFile ManagerのJAVAアプレットが起動します。JAVAアプレットもセキュアトンネルを使用してFile Manager にアクセスすることが出来るため、ユーザーはSSL VPNトンネルを意識することなく、File Managerを使用してWebDAVサーバー上のファイルを操作できます。
基本構成での動作

3.2.3 認証パターン
File ManagerとEdge Gatewayの連携において、ユーザーに対する認証の方法には以下のパターンがあります。
1.  ユーザーがアクセスしたときの認証を1回とする方法
  a. File Managerの認証機能のみを使用する方法
  ユーザーはFile Manager(認証機能オプション)に対してログインします
  Edge Gateway側は認証を行わずセキュアトンネルのみを構成します
  b. Edge Gatewayの認証機能のみを行う方法
  ユーザーはEdge Gatewayに対してログインします
  Edge Gatewayでは、認証方式をHTTPフォームベースに定義しておきます
  HTTPフォームベースの認証方式では、 Edge Gatewayはユーザーから入力されたIDとパスワードをもとにHTTPリクエストを生成し、問い合わせ先のWebサーバー(=今回の場合はFile Manager(認証機能オプション))に中継します
  Edge Gateway側は認証結果がOKの場合、セキュアトンネルを構成します
2.  ユーザーからアクセスしたときの認証を2回とする方法
  a. File ManagerとEdge Gatewayの両方の認証を独立して動作させます
今回の簡易検証では、1-aの方法を使用しました。
※どちらのパターンにおいても二要素認証と組み合わせて利用することも可能です。

3.2.4 設定内容
今回の簡易検証に特化した設定内容をご紹介します。
Edge Gatewayの設定例(ネットワークアクセス)
設定内容
  ネットワークアクセスの種類:「Force all traffic through tunnel」
認証サーバー: 「LDAP」,「RADIUS」、「AD」、「HTTPフォーム認証」、 「認証無し」等から任意で設定いただけます。HTTPフォーム認証を選択することでシームレスにIceWallを利用するように設定が可能になります。
(補足)Edge GatewayでHTTPフォームを行う場合の認証設定の例
  管理画面のトップから、Access Policy > AAA Servers > (http form認証設定名(任意))と進み、下記の例に沿って入力します(パラメータは任意です)
Edge GatewayでHTTPフォームを行う場合の認証設定の例
File Managerの設定例
今回の検証においては、File Manager側では特別な設定は不要でした。
File Managerと認証機能オプションを標準的に構成いただくことで接続可能でした。

3.2.5 結果
今回の検証の目的は、2つの製品を連携させて動作させることが可能かを簡易的に確認することでしたので、File ManagerおよびEdge Gatewayの代表的な機能を確認しましたが、特に問題はありませんでした。
※ただし、全ての詳細パターンについて確認したわけではないため、構成上のご参考情報としてお取り扱い下さい。

3.3 情報漏洩リスクを低減させる機能

3.3.1 情報漏洩リスクの解決
3.2では、基本構成での接続モデルと、その簡易検証の結果についてご紹介しました。
3.3では、情報漏洩リスクをより低減するために有効となる、Edge Gatewayの機能を考察としてご紹介します。
3.2での構成をとった場合でも、以下のような情報漏洩リスクは残存します。
ユーザーがアップローダーやメーラーの添付機能を使ってファイルを別の場所に送信するおそれがある
USBストレージやDVD-R等のメディアに、ダウンロードしたファイルを書き出されるおそれがある
これらのリスクに対処するには、ユーザーがファイルサーバーにアクセスしている時のクライアント側の動作を制限・制御するということが非常に有効です。
このリスクには、Edge Gatewayの機能を使った次の3つの解決策が有効です。
解決策@ File Manager以外の他の業務サーバーへの接続を許可しない
解決策A クライアントの動作を制御し、全てのトラフィックを暗号化されたSSL VPNトンネル経由に限定させる
解決策B USBストレージや外部メディアへの書き込みを制限し、プリンター出力も抑制する
情報漏洩リスクの解決
情報漏洩リスクの解決
この解決策を実現するためのEdge Gatewayの具体的な設定方法をご紹介します。

3.3.2 解決策@ File Manager以外の他の業務サーバーへの接続を許可しない
 -管理画面のトップ > AccessPolicy > ACLs > ACL name (任意に設定したもの)
解決策@ File Manager以外の他の業務サーバーへの接続を許可しない設定例

3.3.3 解決策A クライアントの動作を制御し、全てのトラフィックを暗号化されたSSL VPNトンネル経由に限定させる
 -管理画面のトップ > AccessPolicy > Network Access > Network Access list > Network Access resource name(任意に設定したもの)
解決策A クライアントの動作を制御し、全てのトラフィックを暗号化されたSSL VPNトンネル経由に限定させる設定例

3.3.4 解決策B USBストレージや外部メディアへの書き込みを制限し、プリンター出力も抑制する設定
 -管理画面のトップ > AccessPolicy > Access Profiles > Access ProfilesList
 - ビジュアルポリシーエディター(画面1)にてProtected Workspaceを追加後にProtected work Space設定(画面2)で要件に応じた設定内容を投入
解決策B USBストレージや外部メディアへの書き込みを制限し、プリンター出力も抑制する設定例
このように、Edge Gatewayの機能を活用することで、File Managerを利用する上での情報漏洩リスクをさらに低減させることが可能です。
また、解決策Bの設定に登場した、プロテクテッドワークスペース(Protected work Space)の機能を活用することで、File Managerを利用する際に、クライアント側にファイルを残したくないといった、File Manager単体では実現できない要件にも対応することが可能です。

3.3.5 プロテクテッドワークスペース(PWS)のご紹介
  - 動作概要
  プロテクテッドワークスペース(以下、PWS)を起動後、クライアントにダウンロードしたファイルやローカルファイルを編集してクライアントに保存されたファイルの変更内容はPWS終了時に全て失われます。
  - 応用例
  ファイルの消し忘れ等による情報漏洩リスクを抑える手段として以下のように動作させることが可能です。
プロテクテッドワークスペース(PWS)のご紹介
PWS動作中はデスクトップの壁紙が黒色に変化。この状態で、社内の文書のダウンロードや編集は可能。またクライアントにあるファイルを開き編集することも可能。 PWSを終了するとダウンロードされたファイルはすべて消去される。また編集されたファイルの変更内容も失われる。(ファイルの消し忘れを防ぐ)
技術解説:
PWS機能はEdge Gatewayに接続したクライアントにActiveXまたはMozillaプラグイン経由でインストールされるコンポーネントにより、ファイルアクセスをフックして暗号化された仮想化領域に対して読み書きするように見せかける機能です。PWS終了時には仮想領域が全て破棄され、PWSが起動した後にPCに見かけ上、保存されたファイルや変更されたファイル、削除されたファイルの情報が全て失われPWSが起動する前の状態に戻ります。これによりクライアントPC上に社内のファイルが残されることを防ぐことが可能になります。
※PWS起動中にファイルをメールやWebなどでインターネットへ送出可能な環境である場合、情報漏洩は起きうるのでPWSの設定だけではなくネットワークアクセス機能も併用し、リモートアクセス中は全トラフィックをSSL VPN装置に向ける設定やローカルサブネットの利用を制限し、ファイルをインターネット等の外部ネットワーク送出できない設定を併用することが望ましい。
※PWSは32bit/64bit版Windowsにのみ対応しています。(64bit WindowsはVista, 7のみ対応しています)
※本機能は画面転送型のシンクライアントではありません。

4.まとめ
今回は、SSL VPNの機能を軸としたリモートアクセス製品であるEdge Gatewayを使用して、File Managerの利用をより快適に、より安全にするための方法についてご紹介しました。
特に、クライアントサイドにファイルを残さずにファイルサーバーを利用するための方法は、非常にニーズの多い要望ですので、是非ご検討ください。
2010.9.30
日本HP テクノロジーコンサルティング統括本部 テクニカルコンサルタント 平野 宜敬
日本HP テクノロジーコンサルティング統括本部 テクニカルコンサルタント 小寺 孝一郎
F5ネットワークスジャパン株式会社 プリセールスエンジニア 吉野 賢剛 氏
F5ネットワークスジャパン株式会社 マーケティング ビジネスデベロップメントマネージャ 藤田 延也 氏

●関連技術レポート
SSL VPNアプライアンスとの連携 F5ネットワークス社 Edge Gateway(本レポート)
≫ SSL VPNアプライアンスとの連携 F5ネットワークス社 FirePass
≫ SSL VPNアプライアンスとの連携 ジュニパーネットワークス社 Secure Access 2500
≫ 技術レポート一覧へ戻る
このページのトップへ
印刷用画面へ印刷用画面へ
プライバシー ご利用条件・免責事項 ウェブマスターに連絡