FSS®VPNパッケージ - FSS®SmartVPN EXP
特長
内部からの情報流出をパケットレベルで防御する
情報漏洩の多くは、従業員の不注意によるデータ紛失やウイルス感染による流出です。ネットワークの利用による業務効率の向上は、その反面、様々なセキュリティリスクを伴い甚大な被害を引き起こす可能性をも含んでいます。通信内容を保護することでセキュリティリスクの多くを回避できることに注目し、企業内LAN環境をよりセキュアに、より信頼できる環境へFSS®Smart VPNが実現します。
LAN内VPNという考え方
FSS®SmartVPNは、組織内のLAN/WAN環境をターゲットとするVPN装置です。内部からの情報漏洩は、ネットワーク環境にも大きく依存します。悪意を持ったユーザーは、脆弱なネットワーク環境において自由にネットワーク間を移動し、自由に情報を搾取・盗聴・改竄してしまいます。悪意を持ったユーザーから情報を保護するためには、通信内容から「何」が行われているのかを解釈させない仕組みが必要です。FSS®SmartVPNは、ICカードによる認証とアクセス制御機能に加え、強力な暗号化アルゴリズムを実装することにより、通信内容を永続的に保護しています。
組織内部のネットワーク上では、部外秘/マル秘/極秘とされる多くの情報、人事/給与に関する情報、知的財産に関する情報、個人に関する情報、その他機密性と秘匿性が重要視される多くの情報が何の保護も無く流れています。今、ネットワークレベルでのセキュリティ対策が注目されています。
純国産VPNシステム
FSS®SmartVPNは、国内でも数少ない国産VPNシステムです。システム環境は、日本語オペレーションシステムを基準として開発されていますので、導入に際し、日本語環境での動作確認などを行う必要がありません。また、FSS®SmartVPN専用管理ソフトなども日本語のGUIで提供していますので、簡単操作で利用できます。
利用者の追跡
FSS®で利用するICカードには、個人に割当てられたHome IPと呼ばれるIPアドレスが埋め込まれています。モバイルIPの技術を応用し、利用者はFSS®が利用可能な端末からであれば、どこからでもシステムにアクセスすることができます。この場合利用者がシステムに対して位置透過であるため、通常では利用者の追跡が困難となってしまいます。
FSS®SmartVPNでは、Home IPと利用者を関係付けて、利用者がシステムをどこから利用した場合でも、「誰」がアクセスしたかを正確に追跡することが可能です。
※モバイルIP技術を応用したVPN装置としては国内初
機能
認証機能
クライアントの認証処理には、ICカード情報とパスワード入力のダブル認証を実施します。SmartVPNの認証は、Windows® ログオンの際に処理されるため、認証ゲートに許可されるまでWindows® へログオンすることができません。そのため、認証ゲートに守られた重要サーバへアクセスできるユーザーは、常に許可されたユーザーとなります。
暗号機能
暗号化通信方式は、IPsec標準規格を採用し、鍵交換方式もIKE(ISAKMP/Oakley)を実装しています。通信パケットの暗号アルゴリズムには、SXAL/MBALを採用しています。
- 重要サーバの手前に「FSS®SmartVPN EXPサーバ(認証ゲート)」を設置し、暗号通信を行う
- クライアントPCからアクセス先のサーバの手前まで、盗聴などの危険性が及ぶ範囲を保護
系統別アクセス制御
LAN内VPN(暗号化・トンネリング)で安全確保・系統分離
- 系統ごとにICカードを配布し、1台のパソコンから複数系統に接続可能
- ICカード1枚ごとの専用回線
自治体の例
「住基ネット接続系統/LGWAN接続系統/外部接続系統」別にFSS®SmartVPN EXPサーバ(認証ゲート)を設置し、通信とアクセス制御を行います。
Mobile IP技術を応用したHome IP機能によるトラッキング
ICカードごとに、利用者を一意に識別可能なIPアドレスを割り当てます。クライアント端末から出た暗号化パケットは、FSS®SmartVPNサーバ(認証ゲート)で復号されて、このホームIPを利用して該当サーバと通信を行います。
ユーザー(vpn1)が、まったく別の端末からファイルサーバへアクセスしたとしても、同じHome IPでファイルサーバに対してアクセスするため、誰がアクセスしてきたのかをネットワークレベルでも検知することが可能となります。
仕様
構成例
| FSS®SmartVPN EXP | 認証ゲートサーバ(ソフトウェアライセンス含む)、クライアントソフト |
|---|---|
| FSS®IC Card | 無地・接触型ICカード(国際標準ISO7816準拠/JICSAP・EMV仕様)、 ICカードリーダー/ライター(USB・PCMCIA・RS-232C接続) |
| その他 |
FSS®基本パッケージ ICカード発行管理パッケージ |
システム要件
| 認証ゲート | OS | Red Hat® Enterprise Linux® 3.0、Red Hat® 9 |
|---|---|---|
| Kernel | バージョン 2.4.x | |
| CPU | 32bit | |
| RAM | 512MB以上 | |
| HDD | 80GB以上 | |
| その他 |
SCSI RAID推奨
|
|
| SmartVPN クライアント |
OS | Microsoft® Windows® 2000 Professional SP4、Windows® XP Professional SP2、Windows® Home Edition SP2 |
| その他 | NIC(ネットワークインターフェースカード)に実装されている「オフローディング機能」には対応しておりませんので、利用に際しては、無効化の処理を行ってください。 |
制限事項
- FSS®SmartVPN EXPは、(Network Address Translation)対応機能はありません。組織内でのみ適用するIPアドレス(ローカルアドレス)と、インターネット上のアドレス(グローバルアドレス)を透過的に相互変換するNAT機能を使用している場合はインターネットを経由してLAN外部からのVPN通信はできません。FSS®SmartVPN EXPは、LAN内部でのVPN通信を目的としたものです。
- クライアントのサポートOSは、Windows®2000 Professional(SP4以降)、Windows®XP(SP1/SP2)になります。
- FSS®SmartVPN EXPサーバ(認証ゲート)は、Red Hat® 9、Red Hat® Enterprise Linux® 3.0のKernel 2.4.x上で動作します。導入後、Kernelのアップデート等を行った場合は、サポート対象外になりますのでご注意ください。
- VPNクライアントソフトとFSS®SmartVPN EXPサーバ(認証ゲート)間は、UDPの500番(ISAKMP)UDPの434番(MobileIP)、IPSecが通信できる必要があります。
- FSS®SmartVPN EXPサーバ(認証ゲート)のTrust側/Untrust側のIPアドレスは、異なったセグメントでなければなりません。
- クライアントPCの実際のIPアドレスと使用するICカード内のホームIPアドレスは、異なったセグメントでなければなりません。
- ICカード内のホームIPアドレスとFSS®SmartVPN EXPサーバ(認証ゲート)のTrust側IPアドレスは、異なったセグメントでなければなりません。
- クライアントPCでは、VPNで使用可能なネットワークインターフェースは一つのみです。複数のインターフェースが存在する場合は、使用するインターフェース以外は「取り外し」または「無効」に設定してください。
- Trust側の各サーバ等からホームIPアドレス宛の通信がFSS®SmartVPN EXPサーバ(認証ゲート)のTrust側に到達できる必要があります。
- クライアントPCとFSS®SmartVPN EXPサーバ(認証ゲート)間には、ルーティングのため、ルータまたはL3スイッチが必要です。
- ※製品の仕様および機能は、改良のため予告なく変更させていただく場合があります。
- ※詳しい仕様・機能・制約条件等については、販売先までお問い合わせください。
- ※動作環境は、想定した一般的使用環境での当社における動作確認の結果であり、必ずしもお客様のご利用環境下での動作を保証するものではありません。推奨動作環境を満たしている場合でも、個々のご使用環境下における各種機器、ネットワーク、ソフトウェア等の相互の影響、差異などにより動作しない場合があります。
- ※Microsoft、Windows、Windows 2000、Windows XPは、米国 Microsoft Corporation の米国およびその他の国における登録商標です。
- ※Red Hatは、米国およびその他の国における Red Hat, Inc. の登録商標です。
- ※Linuxは、Linus Torvaldsの登録商標です。
- ※FSS、SXAL、MBALは、株式会社ローレルインテリジェントシステムズの登録商標です。
- ※この他、記載の社名および製品名は、各社の商標または登録商標です。