セキュリティ基盤ソリューション
ネットワーク エッジ
サーバー
アプリケーション
クライアント &
サーバーOS
はじめに
拝啓 ますますご清祥のこととお慶び申し上げます。 平素より弊社製品をご愛顧賜り、厚く御礼申し上げます。 さて、このたびはインターネットと内部ネットワークの境界(エッジ)におけるセキュリティの問題 を解決する「セキュリティ基盤ソリューション ― エッジセキュリティ編」について、ご案内した いと思います。 従来、公共機関は内部のネットワークを一般のインターネット回線に接続することに関して、きわ めて慎重に対処してきました。しかし、インターネットが社会的なインフラとなった現在において、 内部ネットワークとのより広範囲な接続は避けては通れない課題になっております。本提案書では、 インターネットの利便性を確保しながら、より安全に内部ネットワークとの接続を実現するソ リューションをご紹介しております。つきましては、本提案書の内容をご検討のうえ、ご採用賜り ますようよろしくお願い申し上げます。 敬具 日本マイクロソフト株式会社ネットワーク
保護
インターネットへの
アクセスと脅威から保護
ネットワーク
アクセス
ポリシーベースの
リモートアクセス制御
新しいエッジセキュリティ製品
•
マイクロソフトが提供する IT インフラのネットワークエッジ(境界)を
保護するセキュリティ製品が新しくなりました。
Forefront Threat Management Gateway とは
•
ISA Server の次期製品として、Web マルウェア対策、HTTPS 検査、
ネットワーク検査システムなどの機能が強化されたセキュリティ対策
製品です。
•VoIP traversal
(SIP)
•拡張されたNAT
•ISPリンクの冗長
化
ファイア
ウォール
•Web ウイルス、
マルウェア対策
•URL フィルタリン
グ
•HTTPS 検査
安全な
Webアクセス
•FSEとの統合
•ウィルス対策
•スパム対策
E-mail 保護
•ネットワーク検査
システム(NIS)
侵入防止
•VPNによるNAPと
の統合
•SSTP サポート
リモート
アクセス
•変更追跡
•レポート機能の拡
張
•Windows Server
2008 64bit サ
ポート
設定と管理
•Update Center :
•HTTP: AV+URL フィルタリング •Email: AV+Anti-Spam •NIS signaturesオンライン
サービス
安全な Web アクセス
業務に不要なサイト
ウイルス配布サイト
庁内ネットワーク
URL フィルタリング
により登録されたサイト
への接続を遮断
アンチ マルウェア機能
によりマルウェアに感染
した Web ページを遮断
HTTPS インスペクション機能
により SSL 通信を復号化して検査
掲示板セキュリティゲートウェイとしての機能を強化することで
安全なWebアクセスをエッジで実現
購買サイト
SSL 通信
電子メールのセキュリティ
•
エッジでの Eメール セキュリティの実現
−
マルウェア対策、スパム対策、フィッシング対策
•
Forefront Protection for Exchange Server との統合
※ FPE と Exchange Server をエッジトランスポート サーバーのロールでインストール
•
最大5つのマルチエンジンに対応
•
他社製の SMTP サーバーの保護も可能
庁内ネット ワーク DMZ Exchange以外の SMTPゲートウェイ 外部SMTPサーバーマルウェア
対策などを
実施
Exchange サーバー ドメイン コントローラー その他のサーバー安全なサーバーの公開
庁内ネットワーク
Exchange サーバー SharePoint サーバー Webサーバー公開ウィザードにより
簡単にルールを作成できる
職員
攻撃を遮断し、簡単にかつ安全にサーバーの公開を実現
リバースプロキシにより
庁内サーバーを保護
トラフィック内の
攻撃コードを検出し、
攻撃を遮断
許可している
プロトコルだが
有害な通信
許可していない
プロトコル
庁内リソースに
アクセス
悪意のあるトラフィック、
攻撃から庁内のリソース
を保護
機密情報などへのアク
セスをコントロールし、
リスク管理やコンプラ
イアンスに寄与
リモートアクセス
の提供
情報の保護
庁内リソース
の保護
庁内のアプリケーショ
ン、データに対して、
さまざまなデバイス、
場所からのアクセスを
提供
Forefront Unified Access Gateway とは?
•
SSL VPN で安全なリモートアクセス環境を提供
•
エンドポイント(端末)でのセキュリティ保護を提供
•
さまざまなデバイス、場所から庁内のリソースに、SSL ベースで安全
にアクセス
Forefront Unified Access Gateway 2010 の概要
•
さまざまな場所からインターネット経由で庁内ネットワークにアクセス
−
クライアントに特別なアプリケーションのインストールは不要
−
アプリケーション公開用ポータルを提供
−
アクセス時にセキュリティ状態の検査(検疫)が可能
•
さまざまなディレクトリに対して認証が可能
−
Active Directory, LDAP…
•AD, ADFS, RADIUS, LDAP….
•Exchange Server •Dynamics CRM •SharePoint Server •IIS
•IBM, SAP, Oracle •Remote Desktop Services •ファイルサーバー
庁内ネットワーク
Linux OS MAC OS Windows OS 管理された(ドメイン 参加の) Windows 7Direct Access
HTTPS (443) 管理されたWindows 7 PCは、DirectAccess で 直接接続 自宅や公共の場所にある PCからは、Webブラウザ を通じてアクセスDirectAccess の機能を拡張
•
DirectAccess は、Windows Server 2008 R2 と Windows 7の組み
合わせにより、VPN を使用せずに庁内リソースにアクセスできる機能
•
UAG を追加することにより、DirectAccess の機能を拡張
IPv4/
IPv6
Windows Server 2003Windows Vista
PDA
Linux
Windows Server 2000 非 Windows サーバーIPv4/
IPv6
IPv6
IPv6
UAG との連携により DirectAccess の機能を拡張
Windows / 非Windows コンピュータのサポート IPv4 で構成されたコンピュータのサポートDirectAccess の制限事項
Windows Server 2008 / Windows 7の組み合わせのみ IPv6 で構成されたコンピュータのみ接続可能
Direct Access Server は冗長化構成できない
DirectAccessで接続
+
冗長化構成
NAP との連携による PC の検疫
•
UAG 接続時に、リモート接続しているクライアント PC の検疫が可能
•
Windows Server 2008 の ネットワークアクセス保護 (NAP) の機能
により、ポリシーに適合しない PC の自動修復が可能
•
修復が完了すれば、再接続することなく、利用制限を解除
ネットワーク
ポリシー サーバー
修復サーバー
(WSUS、Web サイト等)① UAG 接続時
にシステムの
状態を確認
② 問合せ
④ NG!
⑤チェック結果
に応じてアプ
リケーション
の利用を制限
③ポリシー
を確認
⑥自動修復が
可能
© 2011 Microsoft Corporation. All rights reserved.
※ Microsoft、Microsoft ロゴ、Active Directory、Forefront、Office ロゴ、SharePoint、Windows、Windows Server、Windows Vista は、Microsoft Corporation の米国およびその他の国における登 録商標または商標です。
※ その他、記載されている会社名および製品名は、各社の登録商標または商標です。
※ 記載の内容は 2011 年 9 月現在のものです。内容については予告なく変更される場合があります。予めご了承ください。
日本マイクロソフト株式会社 パブリックセクター統括本部 〒108-0075 東京都港区港南2-16-3 品川グランドセントラルタワー
