【問題】
 あなたの組織では,データとアプリケーションはWindows Serverのターミナル・サービスによって集中管理されている。また,ターミナル・サービス以外のネットワーク利用は禁止されている。

 社員から,自宅や出張先のホテルからも社内システムを利用したいという要望があった。セキュリティ・レベルをなるべく下げずに,社員の自宅から社内システムを利用させるにはどの方法が適切か。

A. PPTPまたはL2TPベースのVPNを構成し,自宅から社内ネットワークへの接続を許可する。
B. SSLベースのVPNであるSSTPを構成し,自宅から社内ネットワークへの接続を許可する。
C. Windows Server 2008ベースのターミナル・サービス・ゲートウエイを構成し,自宅から会社のターミナル・サービスに対して,リモート・デスクトップの利用を許可する。
D. Windows Server 2008ベースのターミナル・サービスを構成し,ファイアウオールで RDP の利用を許可する。

正解:C

【解説】
 ターミナル・サービスは,アプリケーションとデータを集中管理するための優れたソリューションである。しかし,ターミナル・サービスは通常ファイアウオールを越えられない。これは,ターミナル・サービスのプロトコル(RDP)で使用するTCPポート3389番が,ファイアウオールで遮断されるためである。

 単に,ファイアウオールの設定を変更し,RDPを通過させる設定では,要件を満たさないだけでなく,問題が解決しない場合がある。

 インターネット経由でRDPを使う場合,一般的なターミナル・サービスよりも厳密な接続ルールを設定し,適切な制御と監視が必要である。標準的な接続規則では不十分である。また,ホテルなどのブロードバンド環境は利用可能なプロトコルが限定されている場合が多い。RDPは一切使えない場合もある。従って,選択肢Dは適切ではない。

 ターミナル・サービスへのアクセスは,VPNを経由することが多い。ただし,ホテルなどではVPNプロトコルを通さない場合もある。従ってPPTPやL2TPは必ずしも適切な選択肢ではない。従って選択肢Aも適切ではない。

 Windows Server 2008(およびWindows Vista)で追加されたVPNプロトコルSSTP(Secure Socket Tunneling Protocol)は,HTTPSで使用するポートのみを使うため,ファイアウオールの問題は解決する。しかし,VPN接続は,社内ネットワークとの仮想的な接続のため,ターミナル・サービス以外のサーバーにもアクセスできてしまうという欠点がある。VPNサーバーで特定のサーバーにしかアクセスできないようにすることは可能だが,設定は面倒である。SSTPの利用は可能ではあるが,最適な選択肢とは言えない。

 正解は選択肢Cである。Windows Server 2008ベースのターミナル・サービスゲートウエイ(TSゲートウエイ)を利用すると,SSLを使って安全にターミナル・サービスにアクセスできるからだ。

●TSゲートウエイの動作と構成の概要

 TSゲートウエイは,TSクライアントからTSゲートウエイまでをHTTPSで接続し,TSゲートウエイからターミナル・サービスまでをRDPで接続する(図1)。つまり,一種のプロキシである。

図1●TSゲートウエイの動作
図1●TSゲートウエイの動作

 TSゲートウエイにはSSLを構成するためのデジタル証明書が必要である。Windows Server 2008のActive Directory証明書サービスを使って発行するのが最も簡単だが,SSL用の証明書であれば何でも構わない。

 実際にTSゲートウエイを使用するには以下の手順で構成する。これらの設定は,TSゲートウエイの役割を設定するウィザードで指定できるほか,あとから追加・変更も可能である。

1:ターミナル・サービスの役割を追加

2:TSゲートウエイの機能を追加

3:SSL証明書の設定
 既にサーバーにSSL証明書がインストールされている場合はそれを利用できる。試験運用のため,独自の証明書を自動生成することも可能。

4:[接続承認ポリシー]で,TSゲートウエイに対する接続要件を指定(図2)
 ユーザーのグループや,クライアントコンピュータのグループ指定を行うことで,接続可能なクライアントを制限

図2●[接続承認ポリシー] の設定画面
図2●[接続承認ポリシー] の設定画面

5:[リソース承認ポリシー]で,ターミナルサーバーに対する接続要件を指定(図3)
 ターミナルサーバーに接続可能なユーザーや,ターミナルサーバーのコンピュータアカウントを含むグループを指定することで,利用可能なターミナルサーバーを制限

図3●リソース承認ポリシーの設定画面
図3●リソース承認ポリシーの設定画面

●TSゲートウエイで実現できるセキュリティ強化機能

 TSゲートウエイを使うと,あらゆるリソースはターミナル・サービス経由でのみ利用できる。そのため,ターミナル・サービスにログオンしたユーザーにグループ・ポリシーを適用することで,簡単に操作を制限できる。そのため,VPNのようなネットワーク接続に比べ,柔軟な構成が可能である。

 例えば,VPNサーバーは利用しているアプリケーションを識別できないため,アプリケーションの制限はできない。しかし,ターミナル・サービスであれば,利用可能なアプリケーションを簡単に制限できる。

 また,TSゲートウエイはネットワークアクセス保護(NAP)の検疫対象として構成できる。VPNのように自動修復機能はないが,不正なクライアントを簡単の検出と検疫は可能である。

●TSゲートウエイの利用

 TSゲートウエイは,Windows Vista以降のリモート・デスクトップから利用できる(図4)。TSゲートウエイを利用している場合は,画面上部にTSゲートウエイの利用を示すアイコンが表示される(図5)。このアイコンをクリックすると,使用中のTSゲートウエイや認証プロトコルを表示できる(図6)。

図4●TSゲートウエイの利用
図4●TSゲートウエイの利用

図5●TSゲートウエイを使ったリモート・デスクトップ接続
図5●TSゲートウエイを使ったリモート・デスクトップ接続

図6●TSゲートウエイの設定確認
図6●TSゲートウエイの設定確認