クライアントに Web ブラウザを使用することの多い SSL VPN は、Web ブラウザが持つ従来の問題点も受け継いでいます。SSL VPN によるアクセスをどこからでも安全に行えるようにするためには、リモート PC に渡した情報がどのように扱われるのか、およびそれが企業情報の機密保持にどのような影響を与えるのかを把握しなければなりません。幸いな事に、この問題は容易に解決することが可能です。
ブラウザを使用して インターネットの世界を探索するメリットの1つは、(ほとんどの場合で)ただただ非常に高速だということです。技術者として、私たちはユーザの操作ができる限り簡単かつフレンドリーになるように最高の仕事を行ってきました。実際、それは Web が普及したそもそもの理由の1つとなりました。すなわち、われわれ技術者は、サーバとエンド・ユーザとの間でシームレスかつ容易に情報をやり取りする Web ブラウザを開発したのです。Web ブラウザは、ユーザの体感速度をできる限り向上させるために、一度アクセスしたファイルや画像、その他のドキュメントをローカルのハードディスクに保存します。例えば、CNN の Web サイトを閲覧している場合、一度ダウンロードした CNN のロゴ画像は、次に同じ画像を含むページを開いたときには再度ダウンロードすることなく瞬時に表示されます。これは、非常に良くできた仕組みです。同様に、mail.yahoo.com へのログイン時には、その都度受信ボックス・ページがローカルに保存されるので、受信ボックス・ページの再表示は瞬時に行われます。
これが、冒頭で述べた問題点です。つまり、Web ブラウザは、ユーザがどのサイトを閲覧し、何をしたかを示す「パンくず」を常に残していくため、プライバシーとセキュリティが侵害される恐れがあるのです。
Web システムは、情報の共有を可能にする優れたメディアです。しかしながら、企業によるリモート・アクセスを念頭に置いて設計されたわけではありません。企業の機密保持が重要なのは、単に知的財産が失われる可能性があるというだけでなく、特定のデータの扱いについては法律による規制が適用されるためでもあります。SSL VPN を利用した場合、 問題の影響はさらに甚大です。 SSL VPN の利点の1つとして、クライアントに Web ブラウザを使用して、あらゆる場所から社内の情報にアクセスできることが挙げられます。 SSL VPN は、家庭やビジネス・センター、空港のキオスク端末など、どこからでも社内の情報にアクセスすることを可能にしますが、先に述べた問題は、実はこの利点に関係しているのです。セキュアな VPN は、Web ブラウザに搭載された SSL 機能を使用して実現されています。しかし、一度リモート PC に渡されたデータは、どのような扱いを受けるのでしょうか。
インターネット上の Web ページを閲覧すると、その Web ページは、Web ブラウザによって各種ファイルと共にローカルのハードディスクに保存されます。これはつまり、Outlook Web Access にアクセスして作成したメールも、閲覧したページをユーザが後で再表示したくなったときのために、ご丁寧にローカルのハードディスクに保存されてしまうということです。これに関連して、かつてはセキュリティ関係者だけが気付いていた問題が、ある製品の登場によって一般の注目も集めるようになりました。その製品とは、Google デスクトップです。Google デスクトップは、ハードディスク内のファイル(Word や PowerPoint などのファイルを含む)をインデックス化し、それらを検索できるようにする非常に強力なツールです。オンライン版の Google と同様、Google デスクトップも、一度見つけた情報をキャッシュすることで、それらが削除された場合でも後から表示できるようにします。 Google デスクトップは、ほとんどの用途において非常に利用価値のあるツールですが、世界中で SSL VPN が導入されている現在、このインデックス化ツールがもたらす「ある問題」に人々が気付くのにそれほど時間はかかりませんでした。
それは、Google デスクトップがすべてのセッション・データを保存しており、それによって、例えば社内ネットワークへのアクセス時に表示した電子メールやその他の機密情報が、それらを削除した後でも表示できてしまうというものです。こうして、SSL VPN においては、問題はより深刻であるということが誰の目にも明らかとなりました。
Google デスクトップ自体に罪はありませんが、これがきっかけとなり、過去数年間にわたって見過ごされてきた問題に改めて目が向けられるようになりました。ハッカーが、Google デスクトップを使用してビジネス・センターやキオスクなどの公共の場所にあるコンピュータ上の情報を盗み見たり、ブラウザのキャッシュ情報を盗み取る独自のアプリケーションを開発したりするのも時間の問題です。この根本問題を解決するために、何らかの手を打たなければなりません。幸いなことに、この問題を解決する2つのソリューションがすでに存在しています。
1年程前、SSL VPN の業界関係者は、セッション終了時にブラウザ・キャッシュを削除して「パンくず」を一掃するブラウザ・プラグイン、キャッシュ・クリーナの実験を行いました。残念ながら、このプラグインには欠陥があるということがすぐに明らかとなりました。PC の再起動やブラウザのクラッシュによってセッションが途中終了した場合は、キャッシュの削除が行われないのです。他にも、ユーザがキャッシュ・ディレクトリを変更した場合、キャッシュ・クリーナがそれを認識してその場所を参照する保証はありません。しかし、現在では、同じ問題をよりスマートに解決する次の世代の技術が登場しています。それは、セッション・データを暗号化するという方法です。この方法では、先の手法と同様のブラウザ・プラグインを使用して、SSL VPN を介してハードディスクに保存されるすべてのデータを暗号化します。これによって、PC での作業を終えた後も、あるいはセッションの途中終了やキャッシュ・ディレクトリの変更などがあっても、データの安全性が確保されます。PCでの作業を終えた後は、Google デスクトップを使用したとしても、データは暗号化されているので内容を見ることはできません。この技術によってようやく、「パンくず」を後に残すことを憂慮することなく、ビジネス・センターのPCから社内の情報にアクセスできるようになったのです。
チェック・ポイントのソリューション
チェック・ポイントの Connectra™ は、SSL VPN アクセスおよび統合されたエンドポイント/アプリケーション・セキュリティを単一の統合ソリューションとして提供する、包括的な
Web セキュリティ・ゲートウェイです。 SSL によるリモートからの接続性とセキュリティ機能の両方を単一のソリューションとして備えた
Connectra を使用することで、業界で最も信頼されるセキュリティ・ベンダが提供する SSL VPN
機能を、効率的かつセキュアに多様なユーザ環境へと導入することができます。
Connectra は、管理者の目が行き届かない環境においてもセキュアなアクセスを可能にするために、リモート・エンドポイント上のセッション・ファイル(電子メールや添付ファイル、cookie、パスワードなど)を暗号化する統合セキュア・ブラウザを提供します。これにより、セッションが終了してユーザが PC から離れた後に、企業の機密情報を見られたり盗まれたりするのを防止することが可能になります。
電子メールを送信した後でブラウザ・キャッシュを完全に削除しても、Google デスクトップは図のように電子メールのコピーを保持している。このページは、「inbox」をキーワードにして検索した例
詳細については、Connectra の製品ページを参照してください。