セキュリティ基盤ソリューション エッジセキュリティ編
拝啓 ますますご清祥のこととお慶び申し上げます 平素より弊社製品をご愛顧賜り 厚く御礼申し上げます さて このたびはインターネットと内部ネットワークの境界(エッジ)におけるセキュリティの問題 を解決する セキュリティ基盤ソリューション エッジセキュリティ編 について ご案内した いと思います はじめに 従来 公共機関は内部のネットワークを一般のインターネット回線に接続することに関して きわ めて慎重に対処してきました しかし インターネットが社会的なインフラとなった現在において 内部ネットワークとのより広範囲な接続は避けては通れない課題になっております 本提案書では インターネットの利便性を確保しながら より安全に内部ネットワークとの接続を実現するソ リューションをご紹介しております つきましては 本提案書の内容をご検討のうえ ご採用賜り ますようよろしくお願い申し上げます 敬具 日本マイクロソフト株式会社 クライアント & サーバーOS サーバー アプリケーション ネットワーク エッジ 1
新しいエッジセキュリティ製品 マイクロソフトが提供する IT インフラのネットワークエッジ(境界)を 保護するセキュリティ製品が新しくなりました ネットワーク 保護 ネットワーク アクセス インターネットへの アクセスと脅威から保護 ポリシーベースの リモートアクセス制御 2
Forefront Threat Management Gateway とは ISA Server の次期製品として Web マルウェア対策 HTTPS 検査 ネットワーク検査システムなどの機能が強化されたセキュリティ対策 製品です Forefront Threat Management Gateway 2010 の新機能 VoIP traversal (SIP) 拡張されたNAT ISPリンクの冗長 化 Web ウイルス マルウェア対策 URL フィルタリン グ HTTPS 検査 ファイア ウォール 安全な Webアクセス VPNによるNAPと の統合 SSTP サポート リモート アクセス FSEとの統合 ウィルス対策 スパム対策 ネットワーク検査 システム NIS E-mail 保護 侵入防止 変更追跡 レポート機能の拡 張 Windows Server 2008 64bit サ ポート 設定と管理 Update Center : HTTP: AV+URL フィルタリング Email: AV+AntiSpam NIS signatures オンライン サービス 3
安全な Web アクセス 業務に不要なサイト 掲示板 URL フィルタリング により登録されたサイト への接続を遮断 購買サイト SSL 通信 庁内ネットワーク ウイルス配布サイト HTTPS インスペクション機能 により SSL 通信を復号化して検査 アンチ マルウェア機能 によりマルウェアに感染 した Web ページを遮断 セキュリティゲートウェイとしての機能を強化することで 安全なWebアクセスをエッジで実現 4
電子メールのセキュリティ エッジでの Eメール セキュリティの実現 Forefront Protection for Exchange Server との統合 マルウェア対策 スパム対策 フィッシング対策 FPE と Exchange Server をエッジトランスポート サーバーのロールでインストール 最大5つのマルチエンジンに対応 他社製の SMTP サーバーの保護も可能 Exchange サーバー 外部SMTPサーバー Exchange以外の SMTPゲートウェイ DMZ マルウェア 対策などを 実施 ドメイン コントローラー 庁内ネット ワーク その他のサーバー 5
安全なサーバーの公開 許可している プロトコルだが 有害な通信 トラフィック内の 攻撃コードを検出し 攻撃を遮断 庁内ネットワーク 許可していない プロトコル Webサーバー 庁内リソースに アクセス 職員 リバースプロキシにより 庁内サーバーを保護 Exchange サーバー SharePoint サーバー 公開ウィザードにより 簡単にルールを作成できる 攻撃を遮断し 簡単にかつ安全にサーバーの公開を実現 6
Forefront Unified Access Gateway とは SSL VPN で安全なリモートアクセス環境を提供 エンドポイント(端末)でのセキュリティ保護を提供 さまざまなデバイス 場所から庁内のリソースに SSL ベースで安全 にアクセス リモートアクセス の提供 庁内のアプリケーショ ン データに対して さまざまなデバイス 場所からのアクセスを 提供 庁内リソース の保護 悪意のあるトラフィック 攻撃から庁内のリソース を保護 情報の保護 機密情報などへのアク セスをコントロールし リスク管理やコンプラ イアンスに寄与 7
Forefront Unified Access Gateway 2010 の概要 さまざまな場所からインターネット経由で庁内ネットワークにアクセス さまざまなディレクトリに対して認証が可能 クライアントに特別なアプリケーションのインストールは不要 アプリケーション公開用ポータルを提供 アクセス時にセキュリティ状態の検査(検疫)が可能 Active Directory, LDAP 庁内ネットワーク Exchange Server Dynamics CRM SharePoint Server IIS IBM, SAP, Oracle 自宅や公共の場所にある PCからは Webブラウザ を通じてアクセス Windows OS Remote Desktop Services HTTPS (443) Direct Access ファイルサーバー MAC OS Linux OS 管理されたWindows 7 PCは DirectAccess で 直接接続 管理された(ドメイン 参加の) Windows 7 AD, ADFS, RADIUS, LDAP. 8
DirectAccess の機能を拡張 DirectAccess は Windows Server 2008 R2 と Windows 7の組み 合わせにより VPN を使用せずに庁内リソースにアクセスできる機能 UAG を追加することにより DirectAccess の機能を拡張 IPv6 IPv6 DirectAccessで接続 DirectAccess の制限事項 Windows Server 2008 / Windows 7の組み合わせのみ IPv6 で構成されたコンピュータのみ接続可能 Direct Access Server は冗長化構成できない + IPv4/ IPv6 Windows Vista 冗長化構成 IPv4/ IPv6 Windows Server 2003 Windows Server 2000 DirectAccessで接続 Linux PDA UAG との連携により DirectAccess の機能を拡張 Windows / 非Windows コンピュータのサポート IPv4 で構成されたコンピュータのサポート UAG 側で冗長化構成ができる アレイ 非 Windows サーバー 9
NAP との連携による PC の検疫 UAG 接続時に リモート接続しているクライアント PC の検疫が可能 Windows Server 2008 の ネットワークアクセス保護 (NAP) の機能 により ポリシーに適合しない PC の自動修復が可能 修復が完了すれば 再接続することなく 利用制限を解除 ① UAG 接続時 にシステムの 状態を確認 ⑤チェック結果 に応じてアプ リケーション の利用を制限 ⑥自動修復が 可能 ③ポリシー を確認 ② 問合せ ④ NG ネットワーク ポリシー サーバー 修復サーバー (WSUS Web サイト等) 10
本ご案内に関するご相談 お問い合わせはこちら mspsmktg@microsoft.com 2011 Microsoft Corporation. All rights reserved. Microsoft Microsoft ロゴ Active Directory Forefront Office ロゴ SharePoint Windows Windows Server Windows Vista は Microsoft Corporation の米国およびその他の国における登録商標または商標です その他 記載されている会社名および製品名は 各社の登録商標または商標です 記載の内容は 2011 年 9 月現在のものです 内容については予告なく変更される場合があります 予めご了承ください 日本マイクロソフト株式会社パブリックセクター統括本部 108-0075 東京都港区港南 2-16-3 品川グランドセントラルタワー