Attachmate is now
a part of Micro Focus

 ホワイトペーパー

 PDFのダウンロード

レガシホストアプリケーションを企業向けの認証技術および承認技術で保護する


多くの組織は、多層防御戦略を採用していますが、ホストシステムを保護対象にしていません。このホワイトペーパーでは、高度なITセキュリティインフラがそれ自体でホストアセットを保護できない理由を検証するとともに、ITセキュリティインフラを拡張し、ホストアセットを保護する非侵入型の手法を明らかにします。




企業は、データプライバシーを保証し、機密情報を保護するというプレッシャーの下で、高度なアクセス制御技術を含む、複数の保護レイヤを使用する多層防御戦略を導入しています。

例えば、国土安全保障に関する大統領指令12 (HSPD-12)に従って、米国連邦政府のIT部門は、公開鍵インフラ(PKI)を確立し、スマートカード技術を使用して、PIV (FIPS 201)などのパーソナルアイデンティティ標準に対応しています。

最新のアクセス制御対策でも、それ自体でホストアセットを保護できません。しかし、最新のセキュリティアーキテクチャの中でレガシホストを保護できるように、アクセス制御対策を拡張できます。



最新のセキュリティアーキテクチャでは、リバースプロキシ、認証、DMZでの承認、セキュリティアプライアンス(コンテンツ検査、侵入検知などを実行)を使って適用するネットワークポリシー、バックエンドサーバ用のセキュアな領域など、さまざまなレイヤに対策を施す多層防御戦略が採用されています。

最新のセキュリティとアクセス制御がもたらすメリット

複数のセキュリティ対策をとることは重要ですが、それらのセキュリティ対策をどのように管理するかも同じく重要な問題です。分散型の企業は、さまざまなアプリケーションやサーバを使用し、それらを基幹業務ごとに制御しています。中央のセキュリティ部門にとって、それぞれのバックエンドサーバノードのセキュリティプラクティスを監視し適用することは、大変な仕事です。

以下で紹介する最新のセキュリティアーキテクチャでは、セキュリティを一元管理できます。クライアントとバックエンドサーバ間でやり取りされるネットワークトラフィックはすべて、中央セキュリティチームが制御するDMZを通過する必要があります。そうすることで、各バックエンドノードに適用されているセキュリティプラクティスの内容に関係なく、企業向けセキュリティポリシーの適用、モニタリング、施行を管理する中央窓口を設置できます。

最新の多層アーキテクチャには、次のような幅広いセキュリティ対策が組み込まれています。

  • アクセスの一元管理。認証ポリシーおよび承認ポリシーは、クライアントとサーバ間のすべてのトラフィックに境界点で適用されます。
  • アイデンティティの一元管理。企業向けのLDAPリポジトリは、堅牢なアイデンティティ管理ソリューションで管理され、すべてのユーザのアイデンティティ情報を保存します。
  • 暗号化。データは、境界外部にあるセキュリティ保護されていないネットワークを通過する際に暗号化されます。
  • 監査の一元化。ネットワークリソースへのアクセスは、アクセス制御ポイントで一元的に監視されます。
  • 脅威モニタリングの一元化。侵入検知、コンテンツ検査、その他のセキュリティデバイスを使用して、境界点で着信および発信のトラフィックをスキャンし、潜在的な攻撃や機密データの漏えいを監視します。

セキュリティ保護されていないレガシホストアプリケーション

これまで、レガシホストアプリケーションへのアクセスには、ポート23上ではTelnetとTCPA、ポート102上ではINT1とTPOなど、セキュリティ保護されていないポートを一般的に使用してきました。しかし、この方法には、セキュリティ上のリスクや課題が存在します。

  • データやパスワードの機密性が守られない。暗号化が適用されないため、データやパスワードが露出しています。
  • 弱い認証。多くのホストは、大文字と小文字の区別がある8文字のパスワードだけを使用しています。
  • 分散型の認証。ホストベースの認証は、企業ディレクトリとの連動が難しく、企業の他の部分で使われているアイデンティティ管理システムと接続していません。
  • アクセスの分散管理。アクセス制御はホストにのみ適用されるため、企業リソースへのアクセスを一元管理していません。
  • 監査の分散管理。ホストへのアクセスは、ホストだけでモニタリングしています。

第一世代のホストセキュリティは、ホストへ直接接続するSSL暗号化を提供しますが、ホストに接続するまで認証がないため、不正侵入者はホストのログイン画面まで通過できます。

SSLアーキテクチャの制約

第一世代のレガシホストセキュリティアーキテクチャは、SSLを使用してクライアントからホストへ直接接続します。これには、データとパスワードが暗号化されるという大きなメリットがあります。

しかし、クライアントからホストを結ぶ暗号化されたトンネルには、ネットワークトラフィックのモニタリングが困難になる、DMZ内のアクセス制御が難しいといった事実によって、他のセキュリティ対策を無効にするデメリットがあります。

ホストへ直接接続するシンプルなSSLアーキテクチャには、次の制約があります。

  • 分散型の弱い認証。大部分のSSL導入では、ホストがすべての認証を処理するため、多くのホストは、大文字と小文字の区別がある8文字のパスワードだけで保護されています。ホスト認証は、企業の他の部分で使われているアイデンティティ管理システムと切り離されています。
  • アクセスの分散管理。アクセス制御はホストにのみ適用されるため、企業リソースへのアクセスを一元管理していません。
  • ホストまでまっすぐ通過する未認証のSSLトラフィック。暗号化されたSSLトンネルでは、DMZ内の接続を監視できないため、不正侵入者はホストのログイン画面まで通過できます。中央セキュリティチームは、トラフィックが暗号化されるため、クライアントやトラフィックの内容を把握できないまま、DMZを通過させています。
  • 監査の分散管理。ホストへのアクセスは、ホストだけでモニタリングしています。
  • 境界点での脅威モニタリングは一元化されていません。コンテンツが暗号化されると、コンテンツ検査やその他のセキュリティデバイスを使用して、着信および発信のトラフィックをスキャンできません。
  • セキュリティの分散管理。認証、アクセス制御、監査は、各ホストにしか適用できないため、中央セキュリティチームは、企業向けセキュリティポリシーのモニタリングや適用をなかなか実行できません。

つまり、ホストへ直接接続するSSLは暗号化を可能にしますが、アクセス制御や他のセキュリティポリシーの一元的な適用を妨げる場合があります。

課題: 企業向けの認証技術および承認技術をレガシホストアプリケーションへ拡張する

多くのITセキュリティ部門は、Kerberos、PKI、スマートカードなどの最新認証技術を導入して、新しい企業アプリケーションを保護しています。しかし、この技術を使用してレガシホストアプリケーションを保護することは、簡単なことではありません。

同様に、最新のアイデンティティ管理インフラも、レガシホストとスムーズに統合できません。

結果として、ホストシステムの保護は不十分なままで、セキュリティの脅威にさらされています。多くの場合、レガシホストアプリケーションは、組織のセキュリティポリシーに準拠していません。セキュリティマネージャは、非侵入型ソリューションを待ち望みつつ、監査を回避したいと考えています。

幸いにも、そうしたソリューションは存在します。


次世代のホストセキュリティでは、ホストの前にアクセス制御ポイントが配置されるため、ユーザは内部ネットワークにアクセスする前に認証を行う必要があります。LDAPなどの企業向けアイデンティティ管理システムと統合することで、この制御ポイントを一元管理できます。

次世代のレガシホストセキュリティ: 多層アーキテクチャ

レガシホストアプリケーションは、最新のITセキュリティアーキテクチャに適合するように設計されていません。しかし、従来のグリーンスクリーンアプリケーションにも、最新の多層セキュリティを適用できます。ホストやホストアプリケーションを変更する必要はありません。

鍵となるのは、Reflection Security Gatewayです。Reflection、Extra!、またはInfoConnect端末エミュレーションソフトウェアと連動して、既存の認証技術や承認技術をレガシホストアプリケーションへ拡張できます。

Reflection Security Gatewayは、次のコンポーネントを統合しています。

  • Reflection管理サーバ。クライアント設定は一元管理され、企業のアイデンティティ一元管理インフラと連動します。
  • Reflectionセキュリティプロキシ。クライアント側からSSLトラフィックを受信し、管理サーバが生成する認証トークンを受信します。
  • Reflectionメータリングサーバ。接続数をトラッキングします。また、ユーザが接続したすべてのホストおよびポートと、合計接続時間を記録するオプションがあります。

Micro Focusの最新の多層セキュリティアーキテクチャには、次のレイヤがあります。

  • アイデンティティの一元管理。ホストにアクセスする前に、Reflection管理サーバの認証を受ける必要があります。Reflection管理サーバは、LDAP、Active Directory、ポータルなど企業向けアイデンティティ管理システムを使用してユーザの資格情報を検証します。
  • アクセスの一元管理。Reflection管理サーバは、セッションを許可する前に、管理者がホストセッションへのユーザのアクセスを許可したことを確認します。アクセス権は、LDAPグループメンバーシップを通して制御できます。
  • 境界点でのアクセス制御の適用。Reflectionセキュリティプロキシは、Reflection固有のセキュアなトークン認証技術を使用して、ユーザがホストへの接続の認証を受けていることを検証してからDMZを通過させます。未認証ユーザは、DMZを通過できません。
  • 暗号化。Reflection端末エミュレーションクライアントは、SSLを使用してReflectionセキュリティプロキシへ接続します。最大256ビットのAES暗号化強度をサポートし、暗号コードはFIPS 140-2検証済みです。
  • 監査の一元化。ユーザは境界点で認証と承認を受けるため、すべてのネットワークリソースへのアクセスは、中央地点となるReflection管理サーバで監視され、ログに記録されます。
  • 境界点での脅威モニタリングの一元化。Reflectionセキュリティプロキシを導入する際に一般的に使用されるオプションは、すべてのトラフィックを復号化して、セキュアなネットワーク領域を経由してプレーンテキストのTelnetとしてそのデータをホストへ受け渡す方法です。このモードでは、ホストへ送受信されるすべてのトラフィックを、侵入検知、コンテンツ検査、その他のセキュリティデバイスを使って監視できます。

セキュリティフレームワークのメリット

Micro Focusの多層セキュリティフレームワークは、次のメリットをもたらします。

セキュリティの一元管理。

Micro Focusのセキュリティアーキテクチャの主なメリットは、クライアントとホスト間のネットワークトラフィックを一元管理できることです。ホスト自体で実行する認証のほかに、Reflection Security Gatewayを使用して、認証層、承認層、DMZ内の監査層を有効にできます。そして、これらの層の制御やモニタリングを一元化できます。各バックエンドホストに単独でセキュリティポリシーを適用する際に生じる実践上および論理上の問題が、大幅に減少します。

既存のアイデンティティ管理システムとの統合

Reflection管理サーバでは、アイデンティティ管理システムにこれまで投入した資金を活用できます。

Reflection Security Gatewayは、一般的なLDAPサーバと連動します。

  • Active Directory
  • Novell / NetIQ
  • Sun Java System Directory
  • IBM Tivoli Directory Server
  • IBM RACF
  • OpenLDAP

Reflection Security Gatewayは非侵入型で、LDAPディレクトリへの読み込み専用アクセスしか必要としません。ホストへのアクセスは、既存のLDAPのユーザやグループ構造を使って簡単に制御できます。

また、次のさまざまな認証ツールとも相互運用できます。

  • PKI
  • PIV、CAC、その他のスマートカード
  • Kerberos
  • WebSphereポータル
  • Oracle WebLogicポータル
  • CA SiteMinder

Reflection Security Gatewayは、一部の競合製品とは異なり、企業ディレクトリですでに定義したユーザやグループとは別に、ホストアクセス製品でユーザやグループを定義する必要がありません。既存のアイデンティティ管理システムとスムーズに統合でき、システムを簡単に使用できます。

セキュアな固有トークン認証によるアクセス制御

競合製品の中には、シンプルなSSLゲートウェイやリダイレクタデバイスを提供するものもあります。ただし、これらの製品には共通する欠点があります。ユーザがホストへの接続を承認されているか検証せずに、SSL対応のクライアントから接続を受け入れることです。

競合製品では、正規ユーザは、セッションを確立する前に認証を受けますが、SSL対応クライアントを使用する不正侵入者は、認証ステップを飛ばして、ゲートウェイやリダイレクタに簡単に接続できます。その際、ホストへの接続が承認されているかは検証されません。代わりに、デバイスが、ホストへの接続を自動的に通過させます。その結果、不正侵入者は、ホストまでの経路を自由に通過できます。

一方、Reflectionセキュリティプロキシは、ホストへのアクセスについて認証および承認を受けているか証明するようにクライアントに要求します。クライアントがReflection管理サーバの認証を受けると、このサーバは、要求されたセッションに対する承認を受けたユーザであるか検証してから、期限を設定したデジタル署名付きのセッション許可トークンをクライアントへ渡します。セキュリティプロキシは、公開鍵暗号化を使用してトークンのデジタル署名を検証後、ホストへ接続します。

ReflectionセキュリティプロキシへSSLを使用して接続しようとする不正侵入者(管理サーバで認証および承認を受けていないユーザ)は、プロキシでアクセスを拒否されます。不正侵入者は、ネットワーク経由でホストに接続できません。

単一ポート経由で複数ホストへアクセス

競合製品の中には、シンプルなSSLゲートウェイや、バックエンドホストへリスニングポートを振り分けるリダイレクタデバイスを提供するものもあります。複数のバックエンドホストを使用する場合、複数のリスニングポート、つまりファイアウォール内の複数ポートを開放する必要があります。

Reflectionセキュリティプロキシを使用すると、クライアントは、1つのリスニングポートから複数のホストへ接続できます。ポート443など、ファイアウォール内の1つのポートを開放することで、すべてのホストにアクセスでき、ファイアウォールの設定を変更しなくても後からホストを追加することもできます。このため、設定が簡素化され、セキュリティチームの管理業務が減少します。

幅広いプラットフォームの互換性

Reflection管理サーバとReflectionメータリングサーバは、主要なWebサーバやアプリケーションサーバとの互換性を備えています。Reflection Security GatewayにはTomcatが統合されていますが、IBM WebSphere、Oracle WebLogic、Microsoft IIS、その他の人気の高いサーバ環境にも導入可能です。Reflectionセキュリティプロキシは、Javaをサポートするすべてのプラットフォームにインストールできます。

Reflection Security Gatewayは、Windows、Linux、Solaris、HP-UX、z/OSなど、あらゆるJava対応プラットフォームにインストールできます。

レガシホストアプリケーションのための非侵入型の多層セキュリティ

Reflection Security Gatewayを導入すると、従来のグリーンスクリーンアプリケーションにも、最新の多層セキュリティを適用できます。Reflectionのセキュリティアーキテクチャは、次のメリットをもたらします。

  • 企業セキュリティポリシーを使用して、レガシシステムのコンプライアンスを維持する。
  • 認証技術やアイデンティティ管理技術にすでに投入した資金を最大限活用できる。
  • 非侵入型のため、業務の中断を最小限に抑え、ITシステム担当者やレガシシステムの所有者の負担を軽減できる。