伝送セキュリティー・オプション

データがインターネットなどの非トラステッド・ネットワーク上を流れるときにそのデータを保護するには、 適切なセキュリティー措置を実施する必要があります。 これらの措置には、Secure Sockets Layer (SSL)、IBM® i Access for Windows、仮想プライベート・ネットワーク (VPN) 接続などが含まれます。

JKL Toy Company のシナリオには、2 つの基本システムがあったことを思い出してください。 1 つは開発用、もう 1 つは本番用アプリケーション用でした。 これらのシステムはいずれもが、主幹業務のデータとアプリケーションを扱っています。したがって、 周辺ネットワーク上に、イントラネットおよびインターネット・アプリケーションを処理するための新規システムを追加することを決定しました。

周辺ネットワークを確立することにより、内部ネットワークとインターネットの間を、 物理的に分離できることが保証されます。 このように分離することにより、内部システムがさらされるインターネット・リスクを減少させることができます。 また、 新規システムを専用のインターネット・サーバーとして指定することで、 ネットワーク・セキュリティー管理の簡易化も実現されます。

インターネット環境では広範囲にわたってセキュリティーが必要になるため、IBM では、 インターネット上で e-business を行うためのセキュア・ネットワーク環境を保証するセキュリティー・オファリングの開発を続けてきました。 インターネット環境では、システム固有のセキュリティーと アプリケーション固有のセキュリティーの両方が行われているようにしなければなりません。 しかし、社内イントラネットまたはインターネット接続によって機密情報を転送することにより、 より強力なセキュリティー・ソリューションを実装する必要性が増大します。 このようなリスクと闘うには、インターネットを流れている間にデータの伝送を保護する セキュリティー措置を講じる必要があります。

信頼性に欠けるシステムを介して情報を転送することに伴うリスクを最小限にするため、 i5/OS™ オペレーティング・システムでは 2 種類の伝送レベルによるセキュリティー・オファリングを利用することができます。 すなわち、SSL によるセキュア通信と VPN 接続です。

SSL プロトコルは、クライアントとサーバー間の通信を保護するための業界標準です。 SSL は本来、Web ブラウザー・アプリケーションのために開発されたものですが、 現在では他のアプリケーションにも SSL を使用できるものが増加しています。 i5/OS オペレーティング・システムの場合は、次のものが含まれます。

• IBM HTTP Server for i5/OS (オリジナル版および powered by Apache 版)
• FTP サーバー
• Telnet サーバー
• 分散リレーショナル・データベース体系 (DRDA®) と分散データ管理 (DDM) サーバー
• System i® ナビゲーター のマネージメント・セントラル
• Directory Services Server (LDAP)
• System i ナビゲーター を含む、 IBM i Access for Windows アプリケーション、および IBM i Access for Windows のアプリケーション・プログラミング・インターフェース (API) セットに対して作成されたアプリケーション
• Developer Kit for Java™ を使用して開発されたプログラムと IBM Toolkit for Java を使用するクライアント・アプリケーション
• アプリケーションで SSL を使用可能にするために 使用できる、Secure Sockets Layer (SSL) アプリケーション・プログラミング・インターフェース (API) を 使用して開発したプログラム。 SSL を使用するプログラムの書き方についての詳細は、 「Secure Sockets Layer API」を参照してください。

これらのアプリケーションのいくつかは、 クライアント認証のためのディジタル証明書の使用もサポートします。 SSL では、ディジタル証明書によって、 通信相手の認証や、セキュア接続の確立を行っています。

仮想プライベート・ネットワーク

VPN 接続を使用して、エンドポイント間でセキュアな通信チャネルを確立することができます。 SSL 接続と同様に、エンドポイント間で転送されるデータを暗号化することで、 データ機密性とデータ保全性の両方が保証されます。 しかし、VPN 接続では、指定したエンドポイントへのトラフィックの流れを限定し、 その接続を使用可能なトラフィックの種類を制限することができます。 そのため、VPN 接続では、無許可アクセスからネットワーク・リソースを保護する手助けをすることで、 ネットワーク・レベルでのセキュリティーを実現します。

使用すべき方式について

SSL および VPN のどちらも、セキュア認証、データ機密性、およびデータ保全性のニーズに対応します。 どちらの方式を使用するかについては、いくつかの要素によって決定します。 通信先、通信に使用するアプリケーション、通信に必要なセキュリティー・レベル、 この通信を保護する場合にかかるコストと期待されるパフォーマンスのトレードオフなどを検討する必要があります。

さらに、SSL と共に特定のアプリケーションを使用する場合は、 そのアプリケーションで SSL を使用できるようにセットアップする必要があります。 SSL を利用できないアプリケーションはまだたくさんありますが、 Telnet や IBM i Access for Windows など、SSL 機能を備えているアプリケーションも数多くあります。 一方、VPN では、特定の接続のエンドポイント間を流れるすべての IP トラフィックを保護することが可能です。

例えば、HTTP over SSL を使用して、 ビジネス・パートナーに内部ネットワーク上の Web サーバーへの接続を許可することができます。 Web サーバーが、ビジネス・パートナーとの間で必要となる唯一のセキュア・アプリケーションである場合は、 あえて VPN 接続に切り替える必要はありません。 ただし、通信を拡張する場合は、VPN 接続の使用を検討する必要があるかもしれません。 また、ネットワークの一部でトラフィックを保護する必要はあっても、SSL を使用するように各クライアントとサーバーを個別に構成したくない状況もあります。 このようなネットワークの一部に対しては、ゲートウェイ間 VPN 接続を確立することができます。 これにより、トラフィックは保護されますが、 接続は、その両側における個々のサーバーとクライアントにとって透過的なものとなります。