オンデマンドVPN
簡単メッシュにオンデマンドVPN
IP-Membersサービスは、セキュアコネクタ(SC)によって各拠点間にオンデマンドVPNを確立します。それらの接続は、全てNTTPCコミュニケーションズが管理する認証接続管理サーバによって一元管理されます。オンデマンドVPNは、1台のSCについて200のVPNパスが設定でき、同時に100VPNまではメッシュ状に接続できます。また、LAN内の端末(VPN接続用は13台まで)にエクストラネット用のIPアドレスを予め付与してあるため、どこの拠点や企業とも自由に接続して安全な通信路が形成できます。
IP-sec+IKE方式による安全な通信
IP-Membersは、「医療情報システムの安全管理に関するガイドライン第二版」*1に例示されているIP-secとIKE (Internet Key Exchange Protocol)を利用してインターネットで暗号化やメッセージ認証などのクラッカー対策を行った安全な通信経路を形成できます。
まず、IKEを用いてオンデマンドでVPNを接続する、セッション単位に通信相手とPKIを用いて機器や機器の所有機関を相互認証した上で、そのセッションだけで有効な1024ビットの暗号化鍵の交換を行っています。これにより、どのようなインターネットのどのような経路を通過しても、ハッカーの攻撃や暗号解読作業が困難になっています。この上で、IP-secのESPトンネルモードを用い、現在最も安全な方式の一つであるHMAC- SHA1-96/CBC mode(AES)で暗号化通信します。
*1「医療情報システムの安全管理に関するガイドライン第二版」では、医療機関が守るべき責任の範囲がガイドラインに記載されています。このガイドラインとこれに参照されている「『医療情報システムの安全管理に関するガイドライン』の実装事例に関する報告書」では、インターネットだけでなく、IP-VPNや専用線などのWANにLANも含めたネットワーク全体の脅威を31のリスクに分類し、これらのリスクアセスメントが行われています。この結果として、これらのドキュメントには、医療分野でインターネットをIP-VPNや専用線と同じレベルで使えるIP- secやIKEの最も安全な用法が提示されています。さらに、IP-VPNや専用線でも防ぐことができない、利用者のなりすまし、医療機関に設置されたネットワーク機器のアクセスコントロールや否認防止のログ・アーカイビングなど、医療機関やVPNサービス・プロバイダでないと対処できない事項や対策についてもチェックポイントが提示されています。
万全のなりすまし対策
IP-Membersは、IP-sec+IKE方式の唯一の弱点である「なりすまし」対策として、セキュアチップの信頼モデルに基づいた2階層PKI方式によるVPN技術を利用してネットワークを構築しています。2階層PKI方式は、機器固有のPKI証明書と通信に用いるPKI証明書(機器証明書)を個別に発行管理するクロスチェックできる体系になっており、個人が勝手になりすますことができないようになっています。IP-Membersではさらに、これらの情報をSCに内蔵されたセキュアチップに格納すること(機器の限定)によって安全性を高めています。これによって、お客さまは面倒な鍵や機器の管理を気にすることなく、オンデマンドVPNが利用できるようになります。
IP-Membersは、端末の操作者には本人の個人情報を基づいたPKI 証明書(操作者証明書)をICカードに搭載して発行(操作者の限定)します。この操作者証明書と機器証明書を組合せると、個人やその所属まで正確にトレースできるユーザ認証基盤が提供できます。IP-Membersは、この認証基盤を活かし、「なりすまし」の排斥を行って安全な通信路の確保をサポートしています。
安全に管理されたアクセスコントロール
IP-Membersは、お互いにVPNの接続を認めた相手とだけ、双方の合意形成に沿ってアクセス制御を行うコオペラティブなオンデマンドVPNです。このため、相手とつなぎたくない場合にはお客さまからVPNの接続を拒否する設定ができるなど、お客さまがVPNの経路設定をコントロールできます。
また、従来の静的なネットワーク構成では企業間の通信ポリシー設定に多大なリソースを消費するため、コストを下げるために通信ポリシーを簡易にしてネットワークにセキュリティホールが発生しやすい問題がありました。IP-Membersは、SCを経由したPCとPCの間のVPNを一本一本定義しています。このため、他のVPNの影響を排して排他的に運用できます。さらに、SC-SC間に設定されたインターネットVPNの間で渡りが起きないようにフィルタが設定されています。
経路の安全性を担保するため、SCは配下に接続されたPCのMACアドレスをモニタしており、PCが外されたり、入れ替えられた場合にVPNのパスが張れないように制御します。IP-Membersは、このような最も厳しい通信ポリシーをベースに同じネットワーク内でも厳密なアクセス制御が可能になります。
否認防止を抑止する監査ログ・アーカイビング
IP-Membersは、SCがNTCサーバと定期的に時刻合わせを行っており、PKI証明書に基いた情報から作成したログをセンタサーバにバックアップして3か月分を保管しています。これらのログは、システム監査などの要件に合った監査ログとして使用可能です。また、ICカードにより操作者が特定されているので、ネットワークを利用した操作者のトレースも容易に行えます。このため、問題発生時に「いつ、誰が、どこから、どこへ」アクセスしたといった原因分析が簡単に行えます。
他のサービスとの比較
IP-Membersは、他のVPNサービスと比較すると、安価で、必要に応じてVPNを利用できるオンデマンド、ICカードやセキュアチップによるなりすまし防止、IPsec+PKIによる認証、アクセスコントロール、認証接続管理サーバによるログの管理と優れた特長を備えています。
| IP-Members | インターネットVPN | IP-VPN | 専用回線 | |
|---|---|---|---|---|
| オンデマンドVPN | セッション単位でのオンデマンドVPNが可能 | 暗号鍵が固定 | 常時接続 | 常時接続 |
| 安全な通信 | IPsec+PKI方式による認証 | IP-sec利用 | 専用線の利用 | 専用線の利用 |
| なりすまし対策 |
|
不可 | 不可 | 不可 |
| アクセスコントロール | 双方の合意によってアクセスコントロール | Filter設定に依存 | Filter設定に依存 | Filter設定に依存 |
| ログ・アーカイビング | 精度の高いログを認証接続管理サーバにて3か月保管 | 商品に依存 | 商品に依存 | 商品に依存 |
| 価格 | 安価 (インターネットVPNと同程度) |
安価 | 比較的高価 | 比較的高価 |
お急ぎの方は、
お電話でのお問い合わせも承っております。
・・・リンク先の外部サイトを別ウィンドウで開きます。
