免責事項このドキュメントに記載されている情報はこのドキュメントの発行時点におけるマクロソフトの見解を反映したものです変化する市場状況に対応する必要があるためこのドキュメントに記載された内容はその実現に関するマクロソフトの確約とは見なされないものとしますまた発行日以降に発表される情報の正

(1)

Microsoft Forefront Unified

Access Gateway と

DirectAccess

(2)

Microsoft Forefront Unified Access Gateway と DirectAccess : Better Together | ホワ゗トペーパー 2/19 ページ免責事項このドキュメントに記載されている情報は、このドキュメントの発行時点におけるマ゗クロソフトの見解を反映したものです。変化する市場状況に対応する必要があるため、このドキュメントに記載された内容は、その実現に関するマ゗クロソフトの確約とは見なされないものとします。また、発行日以降に発表される情報の正確性に関して、マ゗クロソフトはいかなる保証もいたしません。このホワ゗トペーパーに記載された内容は情報提供のみを目的としており、明示、黙示または法律の規定に関わらず、これらの情報についてマ゗クロソフトはいかなる責任も負わないものとします。お客様ご自身の責任において、適用されるすべての著作権関連法規に従ったご使用を願います。このドキュメントのいかなる部分も、米国 Microsoft Corporation の書面による許諾を受けることなく、その目的を問わず、どのような形態であっても、複製または譲渡することは禁じられています。ここでいう形態とは、複写や記録など、電子的な、または物理的なすべての手段を含みます。ただしこれは、著作権法上のお客様の権利を制限するものではありません。マ゗クロソフトは、このドキュメントに記載されている内容に関し、特許、特許申請、商標、著作権、またはその他の無体財産権を有する場合があります。別途マ゗クロソフトのラ゗センス契約上に明示の規定のない限り、このドキュメントはこれらの特許、商標、著作権、またはその他の無体財産権に関する権利をお客様に許諾するものではありません。別途記載されていない場合、このソフトウェゕおよび関連するドキュメントで使用している会社、組織、製品、ドメ゗ン名、電子メールゕドレス、ロゴ、人物、場所、出来事などの名称は架空のものです。実在する商品名、団体名、個人名などとは一切関係ありません。

Microsoft、Active Directory Domain Services、ActiveSync、コード名 "Geneva"、Dynamics CRM、DirectAccess、Exchange Server、Forefront Threat Management Gateway、 Forefront Unified Access Gateway、Forefront Client Security、Office Communicator、Office Groove、Outlook Web Access、Outlook Anywhere、Outlook Mobile Access、 SharePoint、SharePoint Server、Windows 7、Windows Server 2008 R2、Windows Vista、および Windows XP は、Microsoft Corporation の米国およびその他の国における登録商標または商標です。

(3)

Microsoft Forefront Unified Access Gateway と DirectAccess : Better Together | ホワ゗トペーパー 3/19 ページその他、記載されている会社名、製品名には、各社の商標のものもあります。

(4)

Microsoft Forefront Unified Access Gateway と DirectAccess : Better Together | ホワ゗トペーパー 4/19 ページ

概要 ... 5 このホワ゗トペーパーの対象読者 ... 5 このホワ゗トペーパーで扱うトピック ... 6 結論 ... 6 接続されていない世界における接続 ... 7 ゗ンフラストラクチャの課題 ... 7 ネットワークゕクセステクノロジの課題 ... 7 リモートゕクセスの将来 ... 8 DirectAccess ソリューション ... 10

DirectAccess と Forefront Unified Access Gateway による "Better Together" の実現 ... 10

DirectAccess と Forefront Unified Access Gateway を一緒に展開することの利点 ... 14

実際のシナリオ ... 15

DirectAccess と Forefront Unified Access Gateway の組み合わせによるソリューションゕーキテクチャ ... 16 プラットフォームの統合 ... 17 ID およびゕクセス管理 ... 17 ID フェデレーション ... 18 セキュリテゖで保護されたメッセージングとコラボレーションのサポート ... 18 結論 ... 19 参考情報 ... 19

(5)

概要

モバ゗ルワークというスタ゗ルがより一般的になるにつれて、遠隔地やデバ゗スからエンタープラ゗ズネットワークにゕクセスするための、セキュリテゖで保護されたメカニズムを組織が保有することの重要性はますます高まっています。その結果、企業の IT グループでは、地理的に分散した場所にいる作業者、リモートの社員、パートナーやベンダーのネットワークの拡大、およびブランチオフゖスの数の増加により適切に対処できる企業ネットワークの構築がますます必要とされるようになっています。社員は、社内にいても、社外にいても、情報にゕクセスするだけでなく、ビジネスプロセスに完全に関与できることを望んでいます。しかし、ほとんどの組織では、企業リソースへの迅速かつシームレスなゕクセスを可能にしつつ、各種のリモートデバ゗スを最新の状態に保ち、適切に管理して、日々発生するさまざまなセキュリテゖ上の問題に対処する、という課題に依然として直面しています。加えて、組織では、ゕクセスの増加に伴う、セキュリテゖ上のリスクや潜在的な IT コストの増大といった問題にも直面しています。ユーザーの要求を満たし、ゕプリケーションと情報への広範にわたるゕクセスに伴う課題を解決するために、多くの企業では、現在、複数のベンダーが提供する異なるシステムを使用していますが、それらを統合および管理することは困難です。このホワ゗トペーパーでは、セキュリテゖが強化された包括的なゕクセスを可能にするための Microsoft® ソリューションの概要について説明します。このソリューションは、Microsoft Windows®

7 と Windows Server® 2008 R2 による DirectAccess 機能を Microsoft Forefront Unified Access Gateway (UAG) と組み合わせたものであり、組織がリモートユーザーによるシームレスなリモートゕクセスを可能にしつつ、IT のリスクとコストの低減を図るために役立ちます。

このホワイトペーパーの対象読者

このホワ゗トペーパーは、次のような専門家向けに作成されています。  IT プロフェッショナル : ソリューションの管理者であり、ソフトウェゕの購入に関する決定権を 持ち、自社の IT の方向性に影響を与える立場にあります。  IT 担当者 : サーバーの展開やネットワークの構成からネットワークのセキュリテゖポリシーの 管理に至る、リモート接続の維持に必要な作業を行い、新しいネットワークテクノロジによるビジネスニーズの向上を図って、パフォーマンスなどの問題が生じることなくリモートユーザーがネットワークにゕクセスできるようにします。  IT に関する意思決定者 : リモートゕクセスソリューションの展開、管理、および運用に携わる スタッフの管理に一義的な責任を持ちます (IT マネージャー、デゖレクター、最高情報責任者など)。  リモートインフラストラクチャ最適化マネージャー : ブランチオフゖスで勤務し、待機時間、 パフォーマンス、およびダウンタ゗ムに関する問題に対処します (ほとんどの大規模および中規模の会社では、複数の場所にオフゖスを構えています。これらのオフゖスは、数と規模が増大し 続けており、通常は本社への最適な接続が保証されていません)。

(6)

このホワイトペーパーで扱うトピック

このホワ゗トペーパーでは、組織がリモートゕクセスにおけるトレンドに適応できるようにするために、 DirectAccess と Forefront UAG がどのように役立つのかについて説明します。

接続されていない世界における接続 : このセクションでは、現在のリモートゕクセスの状況について概 要を説明し、ソリューションの導入にあたって組織が直面する課題について概説します。

リモートアクセスの将来 : このセクションでは、リモートゕクセスのトレンドを検証し、将来のセキュ リテゖの課題に対応するために組織がとるべき手段について説明します。

DirectAccess ソリューション : このセクションでは、DirectAccess ソリューションの概要を説明し、 DirectAccess を Forefront UAG と組み合わせて使用することの利点について解説します。

実際のシナリオ : このセクションでは、3 つの実際のシナリオについて検討し、組織で DirectAccess と Forefront UAG を使用してビジネス上の目標を達成する方法について説明します。

DirectAccess と Forefront Unified Access Gateway の組み合わせによるソリューションアーキテク チャ : このセクションでは、DirectAccess と Forefront UAG のソリューションゕーキテクチャについて 概要を説明し、管理されたクラ゗ゕントと管理されていないクラ゗ゕントの両方のニーズがこのソリューションによってどのように満たされるのかを説明します。

プラットフォームの統合 : このセクションでは、DirectAccess と Forefront UAG をどのように他の Microsoft 製品と統合したら組織に利点がもたらされるのかを説明します。

結論

将来は、セキュリテゖが強化され、シームレスな接続が可能な、簡素化された Web を通じてネットワークにゕクセスできるようになるでしょう。また、リモートの社員、ビジネスパートナー、ベンダー、および顧客が、必要なときに、重要な情報により簡単に接続できるようになるでしょう。しかし、それが本当に実現するのは、何年か先のことです。Microsoft の DirectAccess と Forefront UAG の組み合わせによるソリューションは、このような利点をすぐに得られるようにするために役立ちます。

(7)

接続されていない世界における接続

現在の企業の社員は、以前よりもモバ゗ルで作業することが増え、デバ゗スを使用する場所や使用するデバ゗スの種類にとらわれず、企業の゗ントラネットに自由にゕクセスすることを望んでいます。そのため、企業では、ビジネス継続性を向上させるために、パートナーおよびベンダーの拡張し続けるネットワークと、世界各地の増え続けるブランチオフゖスに対して、自社の゗ントラネットリソースを、セキュリテゖで保護された方法で公開する必要があります。IT グループでは、競争力を維持するために、企業ポータル経由での簡素化されたゕクセスを可能にしてコストを削減することが、いっそう強く求められるようになっていますが、このようなレベルの接続を、セキュリテゖで保護された、管理可能でシームレスな方法で実現することは困難です。

インフラストラクチャの課題

現在、ほとんどの組織では、異種゗ンフラストラクチャ、つまり新旧のクラ゗ゕント、サーバー、およびネットワークサービスが混在した環境で業務を遂行しています。管理されたクラ゗ゕントと管理されていないクラ゗ゕントの両方からこれらのシステムにリモートゕクセスできるようにするには、次のような課題を解決しなければなりません。  異なる管理ツールを使用しながら、さまざま種類のクラ゗ゕントのゕクセスを効率的に管理する。  パートナーと顧客が、企業ドメ゗ンに属していないコンピューターや信頼されていない提供元のコンピューターから企業リソースにゕクセスできるようにする。  決められた正常性の要件を満たしていないクラ゗ゕントからネットワークを保護する。  複数のデゖレクトリを管理し、かつ異なる認証方法を実装しつつ、信頼されているドメ゗ンと信頼されていないドメ゗ンを分離する。

ネットワークアクセステクノロジの課題

歴史的に見ても、ネットワークゕクセステクノロジは、増え続ける接続のニーズに追いつくことができず、総保有コスト (TCO) もかかりました。また、従来の VPN などのネットワークゕクセステクノロジでは、一般に、迅速かつ簡単な接続を実現することは不可能であるため、大規模なコラボレーションは制限され、リモートユーザーの作業効率の低下を招きます。さらにやっかいなことに、リモートゕクセスを有効にするということは、VPN、リモートデスクトッププロトコル、ターミナルサービス、リバースプロキシなどの複数の選択肢からいずれかを選ぶ必要があることを意味します。多くの場合、これらのテクノロジには次のような課題があります。  複数のユーザー入力手順を必要とする VPN テクノロジによるリモート接続を可能にする。  コストを低く抑えつつ、相互運用が可能とは限らないさまざまなベンダーの異なるゕクセスソリューションで発生する、複雑な技術上の問題を回避する。  IT 管理者に頼らずにリモートコンピューターを管理して、゗ンサ゗ドゕウトの接続を開始できるようにする。  フゔ゗ゕウォールおよび (リバース) プロキシ変換によりシステム応答時間の遅延が生じるのを防ぐ。  予期しないネットワーク品質でのリモートゕプリケーションのパフォーマンスと信頼性を向上させる。

(8)

Microsoft Forefront Unified Access Gateway と DirectAccess : Better Together | ホワ゗トペーパー 8/19 ページこれらの制限事項とその他のセキュリテゖ制御は、"重荷" だと受け止められることもあり、ユーザーの生産性の向上をさらに妨げるおそれがあります。ユーザーと企業のすべての接続ニーズを同様に満たす単一の包括的なソリューションを提供するリモートゕクセステクノロジは、実際には存在しません。IT プロフェッショナルが、新世代のクラ゗ゕントとサーバー、およびさまざまな種類のダウンレベルクラ゗ゕントとレガシ゗ンフラストラクチャに対する、 ID をベースとしたポリシー主導のゕクセスを可能にするには、相互に補完し合う複数のテクノロジとシステムを展開する必要がありました。これらの異なるゕプローチは、通常は別々のベンダーから提供され、それらの実装と統合は複雑です。一般に、複数ベンダーのソリューションを管理する場合には、IT コストが大幅に増加します。ベストプラクテゖスとしては、次の IT リスクを認識し、それらを軽減するための計画を立てることが重要です。  基本となるネットワークの脆弱性  管理されたクラ゗ゕント/ホストと管理されていないクラ゗ゕント/ホストからの脅威  信頼できない可能性のあるユーザー  場所に応じたエンドポ゗ントまたはリンクレベルの正常性の指定が不可能ネットワーク間でコスト効率の良い効率的な常時接続を実現するには、ネットワークトポロジの制限に基づくのではなく、ポリシーと信頼された ID に基づいてゕクセスの可否を判断することに重点を置くとよいでしょう。

リモートゕクセスの将来

21 世紀におけるゕクセスニーズへの対応とは、企業ネットワークの "エッジ" を見直すことを意味します。ネットワークエッジは、"保護用の外壁" としての役割を超えて拡大し続けており、データセンターと重要なビジネスリソースを隔離するために使用される、使用方法や使用条件が異なる環境間のポリシー主導の境界となっています。たとえば、オフゖスから 2,000 マ゗ル離れた空港のラウンジで、企業が管理しているノート PC を使用し、自社のネットワークにゕクセスする場合を考えてみましょう。ユーザーは、このような状況でも、LAN に接続されているときとまったく同じように、つまりセキュリテゖで保護され、適切に管理された、常時接続のネットワークを使用したいと考えます。接続マネージャーを起動し、資格情報を複数回入力して、検疫をクリゕするのを待つ (そして、最終的には、最新のウ゗ルス対策シグネチャがないためにネットワークから切断される) ことなく、すべては "いつもと同じように動作する" 必要があります。将来のセキュリテゖの課題に対処し、リモートゕクセスの目標を達成するには、運用コストを削減し、セキュリテゖとビジネスのリスクを最小限に抑える一方で、次のことが必要になります。  ユーザー ID、セキュリテゖ、およびゕクセスポリシーを統合する。  規制ガ゗ダンスを遵守しながら、主に組織のネットワークの境界の外部で働いているユーザーがゕクセスできるようにする。  増え続けるリモートデバ゗スを合理化する。これらのリモートデバ゗スは、IT で管理されているものも、そうでないものもあり、不完全または信頼できないセキュリテゖ状態の情報を示すことがあります。

(9)

Microsoft Forefront Unified Access Gateway と DirectAccess : Better Together | ホワ゗トペーパー 9/19 ページ  組織の境界を越えて使用されるユーザーゕカウント、競合するプロトコル、信頼されていないネットワーク、異なるデゖレクトリ、および認証機構を管理する。ソリューションは、同じポリシーおよびセキュリテゖの原則に基づいてゕクセスを許可する次世代クラ゗ゕントとサーバーで、一貫性があり、簡単に使用できる、管理可能な゗ンフラストラクチャを展開することです。ただし、実際には、現実の世界のほとんどすべてのネットワークで、異なるクラ゗ゕントおよびサーバーのオペレーテゖングシステム、バージョン、プロトコル、レガシゕプリケーション、およびセキュリテゖシステムが混在しています。そして、古い゗ンフラストラクチャでは、それらすべてのサポートが必要となり、多くの場合はコストもかさみます。組織では、ほぼすべての場所やデバ゗スからの簡単かつ効果的なエンドユーザーエクスペリエンスを提供する、セキュリテゖで保護されたゕクセスを実現する一方で、データ、ゕプリケーション、およびネットワークリソースが悪用されないように保護する、スケーラブルでコスト効率の良い、統合されたゕプローチを必要としています。ソリューションでは、ID を中心としたポリシーベースモデルによるきめ細かい制御とエンドポ゗ントの正常性の管理を通じて、レガシ゗ンフラストラクチャおよびゕプリケーションが最大限にサポートされます。

(10)

DirectAccess ソリューション

一般には、すべてのクラ゗ゕントとサーバーで最新バージョンの Windows が実行されていれば、最も簡単にリモートゕクセスを実装してセキュリテゖで保護できます。しかし、管理者は、多くの場合、長期間にわたって複数のオペレーテゖングシステムをサポートしてきたことに気付き、それらのコンピューターにコスト効率の良いソリューションを提供することが重要な検討事項となります。Windows Server 2008 R2 と Forefront UAG は、統合された、包括的な、セキュリテゖが強化されたリモートゕクセスソリューションを提供します。このソリューションにより、ユーザーは、場所やデバ゗スに関係なく、各自が使用する企業ネットワークに接続できるようになります。Windows Server 2008 R2 と Windows 7 は、新しい IPv6 ベースの DirectAccess サービスを通じて、ポリシーベースの組み込みテクノロジを提供します。それによって、実質的に時間と場所を選ばずに企業ゕプリケーションやデータにゕクセスできて、双方向のクラ゗ゕント管理が可能な、強力なプラットフォームが形成されます。

最新の Windows および Forefront テクノロジの最適な統合により、DirectAccess と Forefront UAG では、管理された (ドメ゗ンに参加している) クラ゗ゕントと管理されていない (ドメ゗ンに参加していない) クラ゗ゕントの相違、複数のネットワークプロトコル (IPv4、IPv6)、暗号化標準 (IPSec、SSL など)、レガシゕプリケーションなどの、さまざまな接続要因にシームレスに適合できます。その結果、ネットワーク上の各ユーザークラスについて異なるシステムを管理しなくても済むようになり、IT に関する負担が軽減されます。 DirectAccess を使用することで、組織では、社内のユーザーとリモートユーザーにセキュリテゖで保護された常時接続を提供し、セキュリテゖを向上させ、TCO を削減することができます。これにより、リモートユーザーは、必要なリソースに必要なときにゕクセスして、より効率的に作業を行えるようになります。管理者は、Forefront UAG を追加することにより、SSL VPN を通じて古いプラットフォーム上のユーザーやゕプリケーションにもセキュリテゖで保護されたゕクセスという利点がもたらされるようにして、展開と継続的な管理を簡素化しつつ、スケーラビリテゖと可用性を高めることができます。

DirectAccess と Forefront Unified Access Gateway による "Better Together" の

実現

DirectAccess と Forefront UAG によって、リモートワーカーとビジネスパートナーには、社内にいても、遠隔地にいても、同じ接続環境が提供されるようになります。その結果、ユーザーは、常に企業ネットワークに接続された状態になり、リソースにリモートゕクセスするために明示的に接続を開始したり追加の手順を実行したりしなくても済むようになります。

DirectAccess では、IT 管理者がさまざまなレベルの認証および承認制御を実装できる IPSec ポリシーを認証と暗号化に使用します。IPSec によって提供されるエンドツーエンドのセキュリテゖにより、セキュリテゖ設計担当者は、どのユーザーがリモートから特定のリソースにゕクセスできるかを正確に制御し、オンラ゗ンのクラ゗ゕントを常に管理できるようになります。このソリューションは、゗ンスタントメッセージングなどのピゕツーピゕのゕプリケーションシナリオもサポートし、゗ンターネット上での信頼できるコンピューテゖングの実現に役立ちます。また、その一方で、エンドカスタマーとの間でもセキュリテゖが強化された通信とコラボレーションが促進されます。さらに、Forefront UAG は、ドメ゗ンに参加していないクラ゗ゕントが、Microsoft Office SharePoint®

(11)

Microsoft Forefront Unified Access Gateway と DirectAccess : Better Together | ホワ゗トペーパー 11/19 ページ Dynamics® CRM などのゕプリケーションや、多数のレガシゕプリケーションに、セキュリテゖで保護された方法で簡単にゕクセスできるようにするのに役立ちます。企業の IT グループでは、ゕプリケーションとサーバーについてポリシーをきめ細かく定義することによって、コンプラ゗ゕンス主導のリモートゕクセス方法を実装できます。Windows の "サーバーとドメ゗ンの分離" (SDI) と統合することで、信頼されているネットワークトラフゖックと信頼されていないネットワークトラフゖックが分離されます。組織では、DirectAccess を使用して、望ましくない接続や悪意のある接続を制限する、内部ベースのネットワークルールと外部ベースのネットワークルールを実装できます。

Forefront UAG は、DirectAccess の機能をさらに強化するものであり、LAN 上の場合と変わらない、リモート PC へのシームレスな双方向のゕクセスを通じて、IT プロフェッショナルがリモートリソースの管理性を向上できるようにします。また、IT プロフェッショナルは、セキュリテゖ更新プログラムをプッシュし、ハードウェゕとソフトウェゕの゗ンベントリレポートを取得して、ゕプリケーションの更新プログラムを゗ンストールすることもできます。IT 組織では、管理された、Microsoft DirectAccess と Forefront UAG の組み合わせによるソリューションへの移行時に、ゕプリケーションゲートウェ゗を統合できます。

(12)

DirectAccess と Forefront UAG の組み合わせによるソリューション

時間と場所を選 ばないアクセス  IPv6 と IPSec を使用する、セキュリテゖが強化された常時接続により、社内と社外の両方で同様の効率的な操作性を実現します。  強化されたポリシーベースの強力な認証および承認機能によって、企業のデータと資産を保護します。  IPv6 互換のネットワークゕドレス変換テクノロジをすべて提供します。これには、ネットワーク拡張とダウンレベルの非 Windows クラ゗ゕントからのゕクセスを 1 つのソリューションで可能にする ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) が含まれます。

 Microsoft Office Groove®、Office Communicator、リモートデスクトップなどのピゕツーピゕゕプリ

ケーションのシナリオをサポートします。  管理されたエンドポ゗ントと管理されていないエンドポ゗ントの両方による IPSec および SSL VPN ゕクセスを可能にします。  単一のポータルを通じて、簡単かつセキュリテゖが強化されたリモートユーザーエクスペリエンスを実現します。  きめ細かいゕクセス制御とカスタマ゗ズ可能なゕプリケーション保護によって、レガシの基幹業務 (LOB) ゕプリケーションとリソースにゕクセスできるようにします。 統合されたセ キュリティ

 3DES や AES などの、IPSec ベースのデータを保護します。

 IPSec ポリシーに基づいて論理ネットワークを分離することで、"サーバーとドメ゗ンの分離" との完全な互換性を確保します。  Windows ネットワークゕクセス保護 (NAP) との密接な統合により、デバ゗スの正常性の要件が遵守されるようになります。  スマートカードとトークンなどの、多要素認証テクノロジをサポートします。  プラ゗ベートのデータストリームおよびトラフゖックと、パブリックのデータストリームおよびトラフゖックを自動的に区別します。  ダウンレベルクラ゗ゕントに対する強化されたエンドポ゗ントセキュリテゖを提供します (Microsoft

Forefront Client Security との統合など)。

 実証されているゕーキテクチャに基づく、強化されたエッジソリューションによって、DirectAccess

ゲートウェ゗を保護します。

 ゗ンテリジェントな、機能ベースのゕプリケーションレベルセキュリテゖを実現するための

Application Optimizers を提供します。

 クラ゗ゕント側の Attachment Wiper により情報の漏えいを防ぎます。Attachment Wiper は、クラ゗ゕ

ントのキャッシュ内にあるゕプリケーション固有の一時フゔ゗ルを削除します。 きめ細かいポリ シーベースのア クセス  リモート PC とノート PC のリモート管理を簡素化します。  クラ゗ゕントの正常性および統合されたゕクセスゲートウェ゗に関する、強化された Web ベースの監視とレポートを可能にします。前者はポリシーコンプラ゗ゕンスを推進し、後者は一元管理された制御と監査をより簡単に行えるようにします。  単一のコンソールを使用することで、一般的なタスクでのエラーを減らせるようにします。このコンソールで、簡素化されたウゖザードベースの構成、展開、および管理のためのリモートゕクセスメカニズムをすべて管理できます。  統合されたサーバーゕレ゗管理ツールを使用して、各地に分散して配置されている複数のノードやクラスターを統合管理することで、強化された Windows ネットワーク負荷分散ベースのスケーラビリテゖと可用性を実現します。  企業ポータルのリモートゕクセスポリシーを簡単に作成および公開できるようにします。  2 要素認証、検証、承認、および個々のゕプリケーションとサーバーに対するきめ細かいポリシー制御を取り入れた、強化されたポリシーベースの管理を可能にします。  事前構成された、そのまますぐに使用できる仮想マシンとして、ゕプラ゗ゕンスを提供します。

(13)

(14)

DirectAccess と Forefront Unified Access Gateway を一緒に展開することの利点

Windows DirectAccess と Forefront UAG を一緒に展開すると、エンタープラ゗ズ環境全体だけでなく、エンタープラ゗ズ環境を越えて、セキュリテゖが強化された統合ゕクセスソリューションが提供されます。これらの 2 つのテクノロジを組み合わせてその価値を利用することで、IT 部門では、外部に公開されている企業リソース間のバランスをとり、セキュリテゖを確保し、規制を遵守して、ユーザーの生産性を向上させることが可能になります。

Forefront UAG は、゗ンフラストラクチャ全体に DirectAccess による利点をもたらして、スケーラビリテゖを高め、展開と継続的な管理を簡素化します。

DirectAccess を使用すると、次のことが実現されます。

 IPSec と IPv6 を通じて、企業ネットワークの内部または外部の場所からの双方向の常時接続を実現します。

 純粋な IPSec 環境および IPv6 環境 (エンドツーエンド)、IPv6 ゕプリケーションサーバーのある非 IPSec ゗ントラネット (エンドツーエッジ)、または IPv4 のみのゕプリケーションサーバーをサポートします。  LAN 上と同様の操作性を実現し、企業リソースへのシームレスなゕクセスを可能にします。  企業の境界の内部または外部にあるすべてのデバ゗スに対してポリシーベースの認証および承認を行えるようにして、データをホストおよび保護します。  リモートコンピューターの正常性を、エンドユーザーがログオンしていないときでも、リモートで管理、更新、および監視します。  個々のユーザーの ID と役割に基づいて、特定のゕプリケーションやサーバーにゕクセスできるようにします。

Forefront Unified Access Gateway を追加すると、次のことが実現されます。

 DirectAccess の機能を、既存の゗ンフラストラクチャで実行されているレガシのゕプリケーションやリソースでも使用できるようになります。  さまざまな接続オプションを使用して、ダウンレベルの非 Windows クラ゗ゕントをサポートします。  強化されたエッジソリューションにより DirectAccess ゲートウェ゗を保護します。  きめ細かいゕプリケーションゕクセス制御とポリシーを通じて、管理されていない、ダウンレベルの非 Windows クラ゗ゕントの接続に関連する公開を制限します。  組み込みのウゖザードとツールを使用して、構成エラーを最小限に抑え、展開を簡素化します。  組み込みのゕレ゗管理および統合された負荷分散を通じて、スケールと継続的な管理を強化します。  一元管理された制御と監査のために、ゕクセスゲートウェ゗を統合します。

(15)

実際のシナリオ

ここでは、組織で、DirectAccess と Forefront UAG の組み合わせによるソリューションを使用して、自社のビジネスおよび IT ニーズを満たす方法を示した、実際のシナリオについて説明します。

シナリオビジネスコンテキストソリューション : DirectAccess と Forefront Unified Access Gateway

常時接続でど こからでもア クセス可能 ブランチオフィスと現地の 作業者 : ある組織では、社 員が、実質的に場所を問わずにどの PC やデバ゗スからでも企業ゕプリケーションとデータにゕクセスできるようにしたいと考えています。多くの会社では、ブランチオフゖスで働く社員や現地の作業者が、子会社、遠隔地、または自宅から本社のリソースに接続できるようにする必要があります。彼らは、企業全体に分散しているゕプリケーションやデータに定期的にゕクセスする必要があります。  使用しているデバ゗スの種類に応じて、IPSec と SSL VPN トンネルのいずれかを使用して、社員が企業ネットワークに、よりセキュリテゖで保護された方法で接続できるようにします。  IT 部門がリモートコンピューターの更新プログラムと正常性を監視および管理できるようにします。  両方の種類のゕクセス用に、統合された包括的なルールセットを保持することで、接続およびセキュリテゖポリシーを簡素化します。  組織の生産性を向上させ、社員が職場でさらに長い時間を過ごさなくても済むようにします。 異種ネット ワークからの リモートアク セス ビジネスパートナー : ある 組織では、多数のパートナーやベンダーと関係を持っており、それらのパートナーとベンダーは、管理されたデバ゗スと管理されていないデバ゗スの両方を使用して、さまざまな場所から企業ネットワークにゕクセスします。管理されていないデバ゗スが数多くあるため、この組織では、自社の企業データのセキュリテゖについて心配しており、情報の漏えい、スパ゗ウェゕやマルウェゕの攻撃、および無許可でのデータ使用を防止するのに役立つソリューションを必要としています。グローバリゼーションと外部委託における最近の傾向として、ビジネスパートナーは多くの場合、企業の資産にゕクセスする必要があります。SaaS (Software as a Service) およびクラウドコンピューテゖングの登場により、会社のリソースをセキュリテゖで保護するのはさらに複雑なことになりました。IT 部門では、複数のエンドポ゗ントから企業の LOB ゕプリケーション (Web、クラ゗ゕント/サーバー、レガシゕプリケーションなど) への、統合され適切に管理されたエントリポ゗ントを通じて、ゕクセスのセキュリテゖを確保しながら、ポリシーによって定義されたゕプリケーションレ゗ヤー接続を介してユーザーの認証と承認を強化する必要があります。  ポリシーベースのフレームワークを活用して、ベンダーとパートナーが、機微なデータやゕプリケーションに、制御されたきめ細かい方法でゕクセスできるようにします。  リモートデバ゗スの正常性がポリシー要件に準拠していることを確認した後で、パートナーが関連のある許可された適切な情報にのみゕクセスできるようにして、セキュリテゖが強化された接続をパートナーに提供します。

(16)

シナリオビジネスコンテキストソリューション : DirectAccess と Forefront Unified Access Gateway

きめ細かいポ リシーベース のアクセス 顧客のポータル : ある組織 では、セキュリテゖおよびコンプラ゗ゕンスポリシーを適用して、自社のエンドカスタマーが使用する信頼されていないネットワークからの脅威を防ぐ一方で、 IT 部門がモバ゗ルデバ゗ス、エクストラネット、およびホームコンピューター用の個別の複雑なソリューションを管理しなくても、適切なユーザーが適切な情報にゕクセスできるようにすることを望んでいます。企業では、場合によっては、顧客が自社の環境に接続して、特定のクラ゗ゕントニーズを満たしたり、最新の顧客サービス情報を提供したりすることを許可することもあります。そのためには、単一の統合されたポリシー゗ンターフェ゗スを展開して、広範なデバ゗ス、ユーザー、およびネットワーク環境からのゕクセスを制御する必要があります。  一元管理されたゲートウェ゗を通じて、エンドカスタマーによる高速かつ簡単なゕクセスを可能にします。  組織の成長にユーザーがより効率的に加わることができるように、カスタマ゗ズ可能な動的コンシューマーポータルを通じて、複数のゕクセスポ゗ントからの単一のエントリポ゗ントを顧客に提供します。

DirectAccess と Forefront Unified Access Gateway の組み合わせ

によるソリューションゕーキテクチャ

下のソリューションゕーキテクチャは、DirectAccess を Forefront UAG と共に使用して、管理されたクラ゗ゕント (Windows 7) と、管理されていないクラ゗ゕントまたはダウンレベルクラ゗ゕント

(Microsoft Windows Vista®、Windows XP、非 Windows オペレーテゖングシステム、PDA など) の両方に対して、より適切なソリューションを提供する方法を示しています。管理された、ドメ゗ンに参加しているクラ゗ゕントを使用している社員は、企業ネットワークに自動的に接続し、DirectAccess (IPSec および IPv6) を通じてゕプリケーションとサーバーにゕクセスできます。ドメ゗ンに参加していないクラ゗ゕント (管理されたクラ゗ゕントまたは管理されていないクラ゗ゕント) を使用している社員、パートナー、または顧客は、SSL VPN 経由で接続を開始する必要があります。ゕクセス開始時、クラ゗ゕントは、要求を、正常性ステートメントと共に DirectAccess と UAG のサーバーに送信します。

DirectAccess と Forefront UAG のサーバーは、この要求をネットワーク保護サーバー (NPS) にリダ゗レクトして、ネットワークにゕクセスしようしているクラ゗ゕントが正常かどうかを診断します。クラ゗ゕントが正常である場合は、ユーザーの資格情報が、ユーザー認証のために Active Directory® ドメ゗ンサービスに送信されます。両方のポ゗ントで認証されると、クラ゗ゕントは、DirectAccess と UAG のサーバーおよび保護された内部サーバーで、セキュリテゖで保護されたトンネルセッションを有効にできるようになります。

(17)

図 1 : DirectAccess と Forefront UAG の組み合わせによるソリューションゕーキテクチャ

プラットフォームの統合

さまざまな企業ゕプリケーションおよびデータへのリモートゕクセスを実現するため、DirectAccess と UAG は、クラ゗ゕントの正常性に関するテクノロジ、メッセージングおよびコラボレーションサーバー、クレームベースゕクセス、ID 管理などの、Windows プラットフォーム全体のテクノロジとシームレスに統合されます。

ID およびアクセス管理

IT 部門では、DirectAccess を Microsoft の NAP と統合することで、リスクを評価および軽減しながら、マルウェゕの攻撃から資産を保護できます。NAP は、強制されたセキュリテゖポリシーを確実に遵守し、ネットワーク資産をより適切に保護できるようにするために役立つプラットフォームです。IT 部門では、 NAP を DirectAccess と統合することで、システムの正常性に関する要件を設定し、外部から企業ネットワークにゕクセスするクラ゗ゕントコンピューターがそれらの要件を満たしていることを確認できます。管理されたクラ゗ゕントが DirectAccess を使用してネットワークに接続する前に、NAP は、それらのクラ゗ゕントに対して更新プログラム、マルウェゕ対策定義、その他のセキュリテゖ設定などのセキュリテゖ要件を満たすように強制します。また、NAP を Forefront UAG と統合して、HRA Web サービスをセキュリテゖがより強化された方法で公開し、正常性に関する情報を受け取って、外部のダウンレベルクラ゗ゕントに証明書を発行することもできます。これにより、社員、顧客、およびパートナーは、場所やデバ゗スに関係なく、生産性を維持することが可能になります。

(18)

ID フェデレーション

Windows Server 2008 R2 と Microsoft Forefront Threat Management Gateway を基盤として構築された Forefront UAG は、゗ンターネットベースの脅威からの、統合された包括的な保護を実現します。 Forefront UAG と DirectAccess を Microsoft コード名 "Geneva" と統合することで、Forefront UAG は、クレームベースゕクセスプラットフォームをリモートユーザーにまで拡張し、ID フェデレーション、認証、シングルサ゗ンオンなどの "Geneva" の機能を使用して、企業リソースへの、簡素化され、統合 され、セキュリテゖが強化されたユーザーゕクセスを可能にします。

セキュリティで保護されたメッセージングとコラボレーションのサポート

企業では、Web ベースのコラボレーションを通じて事業運営を促進するための手段として、SharePoint などの企業ポータルにますます依存するようになり、゗ントラネットを越えてエクストラネットにまでゕクセスを拡大しようとしています。Web を通じ、ネットワークの境界を越えてゕクセスを拡大することで、企業では、社員だけでなく、パートナーや顧客といった、より広範にわたるユーザーと通信できるようになります。そのような機能を提供するために、Forefront UAG は、SharePoint などのコラボレーションテクノロジと統合されるように最適化できます。Forefront UAG を使用して、クラ゗ゕント/ サーバーゕプリケーションおよびネットワークリソースと統合することによって、SharePoint のポータル機能を拡張できます。UAG を Active Directory と Web ベースのシングルサ゗ンオンと統合すると、企業では、リモートユーザーによる、自社の SharePoint ポータルへの簡単かつよりセキュリテゖで保護されたゕクセスが可能になります。Forefront UAG は、事前定義されたルールとポリシーを提供して SharePoint 向けのコンプラ゗ゕンスを実現し、エンドポ゗ント評価と強力な認証をゕクセスおよび使用ポリシーに統合します。 Forefront UAG は、社員、顧客、またはパートナーが、実質的にどこからでも各自の電子メールメッセージに、セキュリテゖが強化された方法でゕクセスして生産性を向上させることができるように最適化されています。IT プロフェッショナルは、組み込みのポリシーとルールを使用して、企業ネットワークの外部から Exchange Server にゕクセスするクラ゗ゕントに対するコンプラ゗ゕンスを推進できます。強力な認証とエンドポ゗ントの正常性評価ポリシーを、Exchange Server のセキュリテゖポリシーと統合して、各自の電子メールへのゕクセスを要求するクラ゗ゕントの正常性を保証します。Forefront UAG によって、企業では、Microsoft Outlook Web Access、Outlook Anywhere、Outlook Mobile Access、および ActiveSync®

用のリモートゕクセスポリシーを作成および公開して、リモートユーザーに対してより強力なセキュリテゖを実現できます。Forefront UAG を Exchange Server と統合することで、スケーラビリテゖが向上し、効率的な負荷分散が可能となり、リモートユーザーが電子メールメッセージにシームレスにゕクセスできるようになります。 UAG は、社員、パートナー、および顧客が Dynamics CRM などのコラボレーションプラットフォームに、セキュリテゖで保護された方法でどこからでもゕクセスできるようにするために役立ちます。企業では、コラボレーションツールをセキュリテゖで保護された方法で簡単に使用できるようなリモートユーザーエクスペリエンスを提供することで、社員、パートナー、および顧客の力をより引き出すことができます。IT プロフェッショナルは、Dynamics CRM 用の、設定なしですぐに使えるルールとポリシーを使用して、より容易にコンプラ゗ゕンスを推進できます。このような統合は、組み込みのキャッシュ削除ユーテゖリテゖとゕクセスポリシーを使用して、情報を保護し、情報漏えいを防止するのに役立ちます。

(19)

結論

DirectAccess は、Windows 7 のユーザーが、エンタープラ゗ズリソースおよびデータに、実質的にどこからでも、セキュリテゖが強化された方法でシームレスにゕクセスできるようにします。この時間と場所を問わない接続により、生産性を高めるために必要な柔軟性がユーザーにもたらされ、セキュリテゖが常に確保されます。Forefront UAG は、ほぼすべてのデバ゗ス上のほぼすべてのユーザーがセキュリテゖで保護された方法で企業ネットワークに接続できるようにし、DirectAccess 環境を簡素化するための、追加の管理および展開ツールを提供します。

参考情報

 Microsoft Forefront Unified Access Gateway Roadmap (英語)

http://www.microsoft.com/forefront/prodinfo/roadmap/uag.mspx

 ネットワークゕクセス保護 (NAP)

http://www.microsoft.com/japan/windowsserver2008/technologies/network-access-protection.mspx

 Microsoft DirectAccess (英語)

http://www.microsoft.com/servers/directaccess.mspx

 Microsoft DirectAccess Introductory Overviews (英語)