フィンランドSSH Communications Securityは、認証と暗号化によって安全なリモートアクセスを実現するミドルウエア製品「SSH」(Secure Shell)を開発/提供するベンダーである。中核製品の「Tectia SSH」は、ファイル転送(SFTP)や遠隔ログイン(ssh)のクライアントおよびサーバーソフトを提供する。
 SSHプロトコルの中核ソフトに加えて、SSH通信で使う公開鍵/秘密鍵のライフサイクルを管理する「Universal SSH Key Manager」や、SSHプロトコルをゲートウエイで仲介して暗号を解くことによってサーバーへの特権アクセスを監視/制御する「CryptoAuditor」などのソフトも用意している(関連記事:SSHは鍵台帳の管理と暗号の検閲が重要に)。
 2015年3月には、CryptoAuditorの新バージョン「1.5」のリリースを予定している(国内ではディアイティが同社製品を販売中。CryptoAuditorの価格は、アクセス対象サーバー10台の最小構成で税別248万円)。これに合わせて来日した同社のCCO(Chief Commercial Officer)に、特権アクセス管理ソフトに求められる機能の動向と、新バージョンの概要について聞いた。

(聞き手は日川 佳三=日経コンピュータ

改めて、CryptoAuditorとは何か

フィンランドSSH Communications Security、Chief Commercial Officer(CCO)のMatthew McKenna(マシュー・マケナ)氏
フィンランドSSH Communications Security、Chief Commercial Officer(CCO)のMatthew McKenna(マシュー・マケナ)氏

 SSHクライアントとSSHサーバーの間のSSH通信をネットワーク経路上でインターセプトすることによって、SSHプロトコルで暗号化されたセッションを検閲するゲートウエイソフトだ。暗号をいったん解除して検閲し、再び暗号化して通信する。SSH(SSH、SFTP)とRDP(Remote Desktop Protocol)による操作内容を検閲できる。

 暗号をいったん解除することによって、SSH通信を用いた特権ユーザーによるサーバー操作を記録できるようになる。端末に入力するコマンド文字列を監視したり、操作画面を画像や動画として記録したりできる。通信内容に応じてサーバーアクセスをせき止めることも可能だ。キャプチャーデータをiCAP連携でDLP(情報漏えい防止)システムやAV(ウイルス対策)ソフトに渡して内容を判定させ、この結果を基に通信を制御する。

どういう仕組みで動くのか

 CryptoAuditorは、「CryptoAuditor Vault」(Vault)と「CryptoAuditor Hound」(Hound)の2種類のソフトウエアで構成する。Vaultは、サーバーのSSH鍵を一元管理/登録しておく機能と、検閲内容を格納して分析できるようにする機能を提供する。一方のHoundは、アクセス経路にインラインで配置するトランスペアレント(アクセス透過型)のゲートウエイであり、実際にSSH通信を仲介する。

 ゲートウエイのHoundは、SSH鍵も管理しないし、検閲結果のデータも自前では記録しない。これらはすべてVaultが管理する。Houndは、SSHクライアントからSSHサーバーへのSSH通信のセッションが発生するたびに、VaultからサーバーのSSH鍵を入手して動作する。

 あらかじめVaultに各サーバーのSSH鍵を登録しておけば、あとはHoundを任意の場所に配置してVaultと通信できるようにするだけで、検閲を始めることができる。つまり、Houndは、どこに配置しても安全に利用できる。また、複数台のHoundを同時に動作させて負荷分散を図ることができる。

2015年3月に出荷する新版(1.5)では何が新しくなるのか

 クラウド対応を強化する。具体的には、パブリッククラウドサービスとして多くのユーザーが使っているAmazon Web Services(AWS)の環境にCryptoAuditorをデプロイ(配備)できるように、AMI(Amazon Machine Image)形式の仮想アプライアンスを用意する。

 CryptoAuditorはこれまで、VMware環境向けの仮想アプライアンスと、Hyper-V環境向けの仮想アプライアンスを用意してきた。今回、こうした汎用のサーバー仮想化ソフトへの対応に加えて、市場でよく使われているIaaS型クラウドサービスへの対応を図った形だ。まずはAWS向けに用意し、今後、対応するクラウドサービスを拡張していく。

 仮想アプライアンスで提供することによって、異なるセグメントに所属している仮想サーバー間のSSH通信を、同一のハイパーバイザー上で仲介できるようになる。これが、仮想アプライアンスの動作プラットフォームを拡充する狙いだ。特に、昨今ではクラウドサービス上にITリソースが置かれるようになっているので、クラウドサービス向けに仮想アプライアンスを用意する需要は大きい。

AWS対応のほかに新機能はあるか

 SSHの検閲に加えて、SSL(HTTPS)の検閲もできるようにした。これまでもCryptoAuditorを使ってHTTPS通信をインターセプトできていたが、通信内容を監視するための機能が乏しかった。ステートレスな個々のHTTPSのログをバラバラに記録するだけで、これをまとめて通信内容を可視化するためには、別途外部のソフトで解析する必要があった。

 今回これを改善し、CryptoAuditorだけでHTTPS通信の内容を把握できるようにした。ただし、今回のバージョン1.5では、HTTPSでやり取りしているテキスト情報に限って可視化が可能だ。2015年6月にリリースを予定しているバージョン2.0において、HTTPSで閲覧したWeb画面のイメージや動画などを画像として記録できるようにする。

 また、2016年第1四半期にリリースを予定しているバージョン2.1では、主にRDPによるシンクライアント接続向けに用意しているOCR(光学文字読み取り)機能を、日本語に対応させる。Windows画面操作のグラフィックスにOCRをかけて、ここから日本語のテキストを抽出して記録する。これにより、例えばリモート操作で機密文書を開いて画面に表示した際に、表示した内容を記録できるようになる。