【NET&COM 2007 Vol.10】 低コストでセキュアなインターネットVPN「IP-Members」
ブロードバンド
その他
/
中村氏はまず、同社のインターネットVPNは法人向け、とりわけ医療分野への展開を目指していると前置きした上で、インターネットVPNに必要とされる技術的条件の解説に移った。それによると、インターネット上では盗聴やチャネルセキュリティにおける改ざん、送信元の詐称、秘密鍵の推測攻撃といった31の脅威が想定され、技術仕様RFCによってそれぞれに対する対策が検討されている。その結果、「生成した鍵を起終点に自動で安全に配送する」ことと「強い短期セッション鍵を生成する」ことの2点を満たす、IPsec(ESP/AH)、IKE、PKIを組み合わせた接続が必要とした。
次に条件としてあげられたのが、同一法人間、または異なる法人間でのVPN接続の中継についての明確なルールだ。これは法人A、法人B、法人Cの3つが同一法人である場合、法人Bを中継して法人Aと法人CがVPN接続することは可能だが、異なる法人である場合はたとえ法人Aと法人B、法人Bと法人Cの間にそれぞれVPN接続の合意があったとしても法人Aと法人Cは法人Bを中継してのVPN接続は許されない。
また、不正アクセスを防止してセキュアな経路を確保するためにVPN接続はVPN装置、非VPN接続はルータと物理的な経路が明確に分けられるべきだとした。さらに複数のVPNセッションについてもリモート拠点ホストからの接続をローカル拠点のホスト、またはIPアドレスレベルで制御することでピア・ツー・ピアのVPN接続制御を実現することが不可欠としている。
最後にVPN接続専用ゾーンと通常接続用ゾーンを用意して、この2つのゾーン間の通信を制御、または制限することで許可されていないホストからのVPN接続を防ぎ、セキュリティレベルを高めることも重要とされた。
IP-Membersでは、2階層PKIモデルに基づいてSC(セキュアコネクタ=ルータ)に内蔵されたセキュアチップにPKI証明書や秘密鍵、アクセス制御リストを格納することで情報流出を防ぎつつ管理コストを抑えたのが特徴だ。ICカードを装着した時のみオンデマンドでVPN接続が張れるほか、万が一の機器紛失や情報流出の際はPKI証明書を失効させることでなりすましによる被害を最小限に食い止められる。また、IPsec+IKE+PKI方式を採用することでマルチキャリア、マルチISP環境でもメッシュ型接続を可能としたほか、不正中継を防ぐアクセスコントロール機能や1時間ごとに監査ログをサーバに保存する機能も用意されている。中村氏は、このようなIP-VPNとほぼ同様の機能がIP-MembersではDSL接続で1万円程度、光接続で1万2,000円程度のコストで実現するとアピールした。
採用事例としては、122医療機関と約3万5,000人の患者が利用する加古川地域保健医療情報ネットワーク、HIS(病院情報システム)と画像コンサルティングを併用した遠隔診断システム、電子商取引を行うマルチキャリア・マルチISP環境の企業などが挙げられた。
《富永ジュン》
特集
この記事の写真
/
