ホーム > ニュース2015 > Webアプリケーションプロキシを利用した社内リソースの活用

Webアプリケーションプロキシを利用した社内リソースの活用

2015年02月09日

  • 外出先からの社内ネットワークへのアクセスの現状

  ビジネスにおけるITニーズとして、いつでも、どこでも、必要な情報にアクセス可能な環境が当たり前となった昨今においても、外出先から社内の重要データを閲覧する場合には、セキュリティ上の理由から、一旦社内に戻らないとファイルにアクセスできないといった状況が依然存在しています。そこでこういった問題を解消すべく、最近では「Office 365」のように、ブラウザ上からログインし、メールやOfficeアプリケーション、Web会議といったシステムを利用可能なクラウドサービスが次々と登場しています。更に、社用のモバイルPCだけでなく、私物のタブレット端末などを業務利用する「BYOD(Bring Your Own Device)」を行う動きも広まりつつあり、ますます時間と場所、媒体を選ばず必要な情報にアクセスできるようになりました。
しかしながら、利便性が向上する半面、セキュリティレベルの低い私物端末などからのウイルス感染や、パスワード、ユーザアカウントの不正利用などにより社内の重要データが外部に漏えいするかもしれない大きなリスクも同時に抱えるようになりました。


リスク


  • Webアプリケーションプロキシ概要

  こうした現状を踏まえ、Windows Server 2012 R2では、ユーザのアクセス先が社内でも、社外でも、それを意識することなく利用できるような仕組みが提供されるようになりました。その代表的な機能が「Webアプリケーションプロキシ」です。Webアプリケーションプロキシとは、簡単に言えば、リバースプロキシの機能です。リバースプロキシの機能自体は以前から利用されている技術ですが、Windows Server 2012 R2 からは、ADフェデレーションサービス(Active Directory Federation Services、以下、ADFS)と連携することで、従来のリバースプロキシでは行えなかったセキュリティ強化と利便性の向上が実現できるようになっています。下図はWebアプリケーションプロキシ機能の概要図です。

概要図

事前認可
   外部ネットワーク利用するユーザが、社内のWebアプリケーションにアクセスするためには、まず「Active Directory(以下、AD)」と連携して認証処理を行う必要があります。社内へのアクセスに先立って行われるため「事前認可」と呼ばれます。 この機能により、ユーザが外部ネットワークから社内リソースアクセスする前に「ユーザ認証」するだけでなく、下記のように、ADFS から様々な「認可」を与えることができます。

ユーザー利便性

デバイス認証

  昨今は様々な方法でユーザ名とパスワードが盗み取られ、不正アクセスに利用されるケースが多くなっています。一度不正に利用されてしまうと、社内ネットワークに簡単にアクセスすることが可能であるため、セキュリティの観点からは非常に脆弱であると言えます。 これに対し、Webアプリケーションプロキシでは「DRS:Device Registration Service(デバイス登録サービス)」を利用して、ユーザの持つ各デバイスをADドメイン側に事前登録することで、不正アクセス時にデバイスが認可されなければ、社内ネットワークにアクセスすることができない仕組みになっています。

高いセキュリティ

事前認証

「事前認可」と「デバイス認証」の機能を連携することで、高いセキュリティの安全性と利便性を可能とします。 ユーザは一度認証を行うだけで、他のWebアプリケーションにアクセスする時の認証を省略することが可能となります。

  従来、これらと同じ機能を持たせるためには、サードパーティ製品を導入する必要がありました。さらに個人デバイスは社内アクセスに必要なADに登録されていないため、別途管理DBを用意してメンテナンスしなければなりませんでした。WebアプリケーションプロキシではOS標準機能でこれらの機能を実現できるようになっています。以下、Webアプリケーションプロキシに必要なリソースです。

リソース

  • 導入までの流れ

  社員が現在の居場所や、使用するリソースに縛られることなく、安全かつ、効率的に会社のアプリケーションとデータにアクセスできることは、今後企業にとっては必須環境となりつつあります。そういった条件のもと、情報漏えいなど起こすことなく、安全にデバイスを管理できる体制を整える必要性が求められています。これらの体制構築の一般的な流れについては下図のようになります。


フロー図


  今回ご紹介しましたWindows Server 2012 R2を効率的に運用するためには、サーバ運用とクライアント運用間の密なコミュニケーションが不可欠です。弊社ではこの両方に豊富な運用実績を有しており、IT側の調整のオーバーヘッドを最小にして、顧客側の課題解決に注力したプロジェクトを推進し、付加価値のあるトータルなサービスをご提供させていただきます。



本件に関するお問い合わせ先

 

株式会社ディーシステム

 東京本社  TEL:03-5462-7251 (平日10:00 ~ 17:00)

 大阪支社  TEL:06-6940-2180 (平日10:00 ~ 17:00)

 名古屋支社 TEL:052-201-7760 (平日10:00 ~ 17:00)

pageTop