安全性
強固なセキュリティ・チェックにより、情報漏洩をシャットアウト
アクセスポリシーを自在に設定できる「エンドポイント・セキュリティ機能」
社内ネットワークにアクセスするすべての端末に対し、システム管理者の設定したセキュリティポリシーを満たしているかどうかチェックする仕組みが「エンドポイント・セキュリティ機能」です。FirePassでは、ログオン前とログオン後の2段階で別々のポリシーチェックを実行できることから、クライアント証明書を持つデバイスにはフルアクセスを許可、その他のデバイスにはWeb経由での情報アクセスのみを許可するという、キメ細かな制御も可能になります。このポリシーチェックには、クライアントOSの種類やバージョン、IEのバージョン、パッチの適用状況、指定のプロセスの稼働有無だけでなく、ウイルス対策ソフトが最新の状態で稼働しているかのチェックも含まれます※1。また、アクセスしてきたユーザが管理者の定めるセキュリティポリシーに合致していない場合、そのユーザを「自動修復システム」へ誘導する機能を搭載。たとえばクライアントにインストールされているアンチウイルスソフトウェアの定義ファイルが最新でない場合、定義ファイルを強制的にアップデートするシステムへ誘導し、セキュリティレベルを更新させるシステムと連携できます。
※1 現在対応のウイルス対策ソフトは、SymantecやTrendmicroなど国内外の主要な製品18種類以上に及びます(2006年8月現在)。
エンドポイント・セキュリティが簡単にできる「ビジュアルポリシーエディタ」
アクセスポリシーの重要性がわかっていても、その定義や設定方法が簡単にできなくては迅速かつ、適確な対応は望めません。FirePassでは、視覚的にわかりやすいフローチャート形式の設定ツール「ビジュアルポリシーエディタ」を標準搭載。プロファイルの作成やグループの定義などが簡単にできるため、システム管理者の負担が大幅に軽減されます。具体的には、ポリシーチェックの一連の手順となる「シーケンス」を定義。シーケンスは必要に応じていくつでも作成でき、再利用可能なサブシーケンス(例:クライアント証明書の有無など)を組み合わせて、段階的に構成できることから、あらゆる可能性を想定した柔軟で強力なポリシーチェックができます。
必要な人に必要なリソースを提供する「リソース管理」
識別したアクセス元と端末に応じて、アクセスできるリソースを定義づけできるのも、FirePassの大きな特長です。具体的には、アクセスしてくるユーザが所属するグループごとに「マスタグループ」を、またリソースごとに「リソースグループ」を設定。これらを関連づけることにより、特定のユーザを特定のリソースのみにアクセスするように制御できます。たとえばセールススタッフに対しては、Eメール、社内のイントラネット、CRMシステムのみにアクセスさせる、といった設定を簡単に作成できます。
より安全なSSL VPNの運用に不可欠な「認証ソリューション」
エンドポイント・セキュリティでクライアント端末のセキュリティチェックができても、アクセスしてきたユーザが本人かどうかのチェックまではできません。そこでFirePassでは、ワンタイムパスワードやSSLクライアント証明書を使って、ログオン時のユーザ認証を強化する各種認証ソリューションを多数用意しています※2。
※2 代表的な認証ベンダーとの協業により、FirePassと以下の認証製品・サービスの連携がすでに実証されています。 最新の連携情報は、F5社ホームページ情報をご確認ください。
| ソリューション提供各社 | 製品/サービス |
|---|---|
| ワンタイムパスワード | |
| 株式会社シー・エス・イー | SECUREMATRIX® |
| ファルコンシステムコンサルティング株式会社 | WisePoint Authenticator |
| NECソフト株式会社 | UBIQPASS® |
| RSAセキュリティ株式会社 | RSA SecurID®、RSA Keon® |
| エントラストジャパン株式会社 | IdentityGuard™ |
| 日本ベリサイン株式会社 | ベリサイン ユニファイドオーセンティケーション(UA) | デジタル証明書 |
| 日本ベリサイン株式会社 | マネージドPKIサービス |
| 株式会社NTTドコモ | FirstPass® |
| ペンティオ株式会社 | PKIプライベートCA |
| ビートラステッド・ジャパン株式会社 | Cybertrust Shared PKI for SSL VPN |
| デバイス特定認証 | |
| 株式会社エヌ・エス・アイ | RegistGate® |
| フェニックステクノロジーズ株式会社 | Phoenix TrustConnector™ |
| 沖電気ネットワークインテグレーション株式会社 | ROUDTM(RegistGate) |
| 2要素認証 | |
| サードネットワークス株式会社 | Secure Call |
| 生体認証 | |
| 株式会社ディー・ディー・エス | UBF |
| ソニー株式会社 | PUPPY |
| 検疫ネットワーク | |
| NTTデータ先端技術株式会社 | NOSiDE® Inventory Sub System |
【連携サンプルPentio PKI Private CA と FirePassの連携】
「本社及び支社の営業担当100名のノートPCを通じて、顧客先から リアルタイムに本社サーバーへアクセスして、見積もり、営業資料などを セキュアにやり取りしたい。」
アプリケーションの安全性
デバイスや場所を選ばず、さまざまな方法で社内情報にアクセス
※ 最新のサポートブラウザ、OSへの対応につきましては別途お問合せ下さい。
標準WEBブラウザを使ってアプリケーションに接続する「ポータルアクセス」
SSLに対応したWebブラウザさえあれば、どこからでも社内イントラネットやメール、共有ファイルなどへのアクセスが可能です。Windows、Linux、Macintoshといった各種PCはもちろん、PDAや携帯端末、インターネットカフェ、キオスク端末などからでも、会社のネットワークに手軽にアクセスできます。また、ファイルサーバー・アクセス機能を利用することで、SMBで共有されたWindowsファイルのアップロード、ダウンロード、コピー、移動、削除などの作業が行えるほか、モバイルEメール機能を利用することで、メールの送受信もWebブラウザだけで行えます。
アプリケーションごとの柔軟な接続を提供する「アプリケーション・アクセス」
Webベースでアクセスできる「ターミナルサーバー」や「ホストアクセス」のほか、クライアント環境からのアクセスとして、管理者権限の要らない「ダイナミックAppトンネル」機能が追加されました。管理者側でユーザが使えるアプリケーションを限定し、社内リソースへのアクセス方法を柔軟に管理できます。管理者権限が要らない「ダイナミックAppトンネル」企業ネットワーク上の特定のTCPアプリケーションへのリモートアクセスを提供します。いままでの「スタティックAppトンネル」と違い、Windowsクライアント側に管理者権限を必要としないため、大規模エンタープライズのようにクラアントに管理者権限を与えない運用を行っている企業に適しています(パワーユーザ権限が必要)。クライアント端末に会社の情報が残らない「ターミナルサーバー」Webブラウザさえあれば、会社のパソコンにある情報画面を表示できます。外出先のパソコンに情報が残らないことから、万一紛失や盗難にあっても情報漏えい対策は万全です。ホスト系のサーバーにもアクセスできる「ホストアクセス」Webブラウザさえあれば、TelnetやIBM 3270/5250などのホストサービスにもアクセスできます。
すべてのアプリケーションが使える「ネットワークアクセス」
クライアント端末に入っているアプリケーションがすべて使えるアクセス方法です。Outlook、Notesなど、クライアント/サーバー系のアプリケーションから業務アプリケーションまで、ユーザは普段使い慣れたクライアント環境を使って、社内サーバーへアクセスできます。プラットフォームはWindowsのほかMacintoshやLinux、さらにはPocketPCもサポート。クライアントへの専用ソフトウェアのインストールは一切なく、完全なクライアントレスの運用を実現できることから、管理コストが削減します。ネットワークアクセスの形態として、以下のアクセス方法でのご利用も可能になりました。
ユーザは、Windowsにログオン認証さえ行えば、リモートサイトのネットワークと接続できます。そのため、どのようなネットワーク環境(リモートサイト、社内LAN、ワイヤレスLANなど)か意識する必要がありません。またFirePassと連携する上でWindows GINAを置き換えたり、変更を加える必要がないため、Windowsのサポート面での不安もありません。
コマンドライン・インターフェイスを利用することで、外部のシステムとの連携/統合を容易に実現します。たとえば、外部アプリケーションやスクリプトから、この実行プログラムを起動することにより、ユーザはFirePassの存在を意識することなくリモートサイトのネットワークと接続できます。
携帯電話やPDAからでも会社の情報に接続できる「モバイルアクセス」
携帯電話やPDA端末などのモバイルデバイスを使ってリモートアクセスするなら、「モバイルアクセス」が便利です。SSL通信が可能なミニブラウザから メールの送受信/共有ファイルの閲覧/イントラネットへの接続ができます。また、FirePassが携帯電話用にポータル画面の変換を行います。会社で使っているメールアドレスでメールの送受信が可能なうえ、携帯には情報を一切残さないので万一、携帯電話などのデバイスを紛失しても、社内の情報が漏えいする心配はありません。