2005年9月7日(水)
ソフトイーサ株式会社 (茨城県つくば市)
代表取締役 社長 登 大遊
レイヤ 3
スイッチを仮想化する技術を新たに搭載
スマートカードによるセキュアなユーザー認証に対応
"SoftEther VPN 2.0 ベータ 4" を公開
筑波大学発ベンチャー企業である ソフトイーサ株式会社 (代表取締役 登 大遊/本店所在地 茨城県つくば市) は、SoftEther VPN ソフトウェアの
次期バージョンである「SoftEther VPN 2.0」の新しいベータ版である Beta 4 を開発いたしました。
SoftEther VPN 2.0 Beta 4
は、下記の URL にてダウンロード配布を開始いたしました。
下記では、Beta 4
における主要機能拡張のうち、『仮想レイヤ 3 スイッチ』と『スマートカード認証対応』についてご説明いたします。
なお、Beta 4
におけるすべての機能拡張・改良点に関する詳細な解説は、以下の URL に掲載されています:
https://www2.softether.jp/jp/vpn2/beta4.aspx
また、同時に『SoftEther VPN 2.0
に関するよくあるご質問への回答』ページ (https://www2.softether.jp/jp/vpn2/faq/)を作成し、今後の
SoftEther VPN 2.0 の開発方針などについて発表いたしました。
新機能『仮想レイヤ 3 スイッチ』について
SoftEther VPN Server 2.0 の Beta
4 では、『仮想レイヤ 3 スイッチ』機能を追加いたしました。これまでのバージョンの SoftEther VPN 2.0 や SoftEther
1.0 は、仮想的なレイヤ 2 での VPN セッション同士の Ethernet パケット交換をサポートする『仮想
HUB』が搭載されていましたが、Beta 4 では複数の仮想 HUB 間でレイヤ 3 (IP 層)
のルーティングを行うことができるモジュールとして、一般的に市販されているハードウェアのレイヤ 3 スイッチや IP
ルータなどをソフトウェアとして仮想的に実装した仮想レイヤ 3 スイッチ機能を使用して、異なる IP
ネットワーク間のルーティングを行うことができるようになりました。
この機能を活用すると、拠点間 VPN を
SoftEther VPN 2.0 を使用して構築する際に、各拠点の端末の台数が多いため 1 つの L2
ネットワークに収容できない場合やその他の理由により拠点ごとの IP ネットワークは分離して管理したい場合などで、拠点間の IP
ネットワークは分けたまま、その間の通信を仮想 HUB と仮想 L3 スイッチを適切に設定してルーティングを行うことができます。
(仮想 L3 スイッチの位置付け。仮想 L3 スイッチは、2 つ以上の仮想 HUB に接続した
状態で作成され、それぞれの仮想 HUB の側に IP アドレスを持ち、両者の IP ネットワーク間で
IP パケットをルーティングすることができる他、追加でルーティング テーブルの設定も可能です。)
仮想レイヤ 3 スイッチ機能は、IP
ネットワークに関する詳しい知識をお持ちの方やネットワーク管理者向けの機能であり、一般的な規模で SoftEther VPN 2.0
を使用する場合には必要はありません。しかし、特殊なネットワーク形態を採用したい場合や、すでに各拠点の LAN が構成されていて、IP
アドレスを変更せずに運用したいが、拠点間の VPN 通信は SoftEther VPN 2.0
を経由して行いたいようなユーザーに最適な機能です。
たとえば、上のネットワーク図では、本社、拠点A、拠点B
の 3 箇所に既存の LAN があり、それぞれ IP ネットワークが異なっています。このような環境で、本社側の VPN Server 2.0 に
3 つの仮想 HUB を作成し、それらの間を仮想 L3 スイッチで IP ルーティングすることができます。そして、本社 LAN と一番上の仮想
HUB をローカル ブリッジ接続し、その他の本社の 2 つの仮想 HUB は、それぞれ拠点 A と拠点 B の仮想 HUB に接続します。拠点
A と拠点 B の仮想 HUB を、それぞれの拠点の既存の LAN にローカル ブリッジ接続します。最後に、各拠点の既存のルータのルーティング
テーブルにスタティック ルーティング項目を追加し、それぞれのネットワークへのルートを、本社側に作成した仮想 L3
スイッチの直近のインターフェイスの IP アドレスを指定すれば、各拠点に存在する端末は、L3 ルーティングを用いて各拠点の IP
ネットワーク上の端末と自由に通信することができるようになります。
仮想レイヤ 3
スイッチの設定は、複雑なコマンドを使用することなく、Server Manager から GUI にて簡単に行うことができます。また、VPN
Server の動作中に仮想レイヤ 3
スイッチをいつでも追加・削除したり、仮想インターフェイスやルーティングテーブルを変更することができるようになっています。
新機能『スマートカード認証対応』について
SoftEther VPN 2.0 Beta 4
では、VPN Client が VPN Server に接続する際にユーザー認証の方法として「証明書認証」を使用する場合に、スマート カード
(IC カード) やセキュリティ トークンを使用した認証を行なうことができるようになりました。
これまでのバージョンの SoftEther VPN
Client 2.0 でも、VPN Server
に接続する際の認証方式として、証明書認証を使用することができました。しかし、従来方式では証明書の秘密鍵データもコンピュータのハードディスク上に保存されるため、コンピュータ本体ごと盗難に遭った場合などは、秘密鍵が悪意のある第三者に盗まれてしまう危険性がありました。
そこで、SoftEther VPN 2.0 Beta
4 の VPN Client 2.0 では、PKCS#11 という規格に対応した、様々なメーカーのスマート カード (IC カード)
やハードウェア セキュリティ トークンに対応しました。これらのセキュリティ デバイスを使用してユーザー認証を行うことがでくきるようになりました。
これにより、スマートカード内に証明書と秘密鍵を格納することにより、一度書き込んだ秘密鍵は読み出すことができない為、非常に安全に VPN
接続時のユーザー認証を行うことができます。また、ユーザーがスマート カードを落としたり、盗まれたりした場合でも、カードの PIN
コードを数回間違えるとロックがかかり使用不能になるため、成り済ましによって VPN 接続が行われる危険性が減少します。
(VPN Client の接続設定でスマートカード内のオブジェクトを使用する設定)
現在、SoftEther VPN Client 2.0
Beta 4 が対応しているスマート カードやハードウェア セキュリティ トークン (USB キー) などのデバイス一覧は、下記の通りです。
ハードウェア メーカー |
製品名 |
種類 |
対応状況 |
大日本印刷株式会社 |
Standard-9 IC Card |
IC カード |
SoftEther Compatible |
飛天ジャパン有限会社 |
ePass 1000 |
USB トークン |
SoftEther Compatible |
大日本印刷株式会社 |
DNP Felica Card |
IC カード |
使用可能と思われます (未検証) |
株式会社アラジンジャパン |
eToken |
USB トークン |
使用可能と思われます (未検証) |
富士通株式会社 |
Standard-9 IC Card |
IC カード |
使用可能と思われます (未検証) |
株式会社アテナ
スマートカード ソリューションズ |
ASECard |
IC カード |
使用可能と思われます (未検証) |
日本ジェムプラス株式会社 |
Gemplus IC Card |
IC カード |
使用可能と思われます (未検証) |
Maxim Integrated Products |
1-Wire & iButton |
IC カード |
使用可能と思われます (未検証) |
Rainbow Technologies |
iKey 1000 |
USB トークン |
使用可能と思われます (未検証) |
※ SoftEther Compatible
と表記されている製品は、ソフトイーサ株式会社が動作検証を実施、または動作したという報告が多くあることによって、SoftEther VPN 2.0
と組み合わせて使用することが可能であると認定した製品です。その他の製品については、ハードウェアの実物を入手していないなどの理由で動作確認は行っていませんが、仕様が適合している為、動作する可能性が非常に高いと思われる製品です。
上記の表で「未検証」と表記されている製品や、また上記の表に掲載されていない製品などがありましたら、ソフトイーサ株式会社にサンプル品を送付していただくことにより、弊社内で動作検証を行い、動作確認が行われたものを「SoftEther
Compatible」として認定させていただくプログラムを実施したいと考えております
(動作検証および認定表への記載などは無償で実施いたします)。ご興味のあるハードウェア ベンダー様は、弊社のお問い合わせ先メールアドレス
までご連絡ください。
スマートカード (IC カード) やハードウェア
セキュリティ トークンなどを使用されている際に、その IC
チップ内に格納された証明書、秘密鍵、その他のデータなどのオブジェクトの一覧を取得したり、新しいオブジェクトをカードに書き込んだり、既存のオブジェクトを読み込んだり、また削除したりすることができる「スマートカード
マネージャ」を搭載しております。また、スマートカード マネージャを使用すると、スマート カードの PIN
コードの変更も自由に行うことが可能です。
その他の新機能および修正点
-
VPN Server Manager
もスマートカードに対応しました。ユーザーの固有証明書を指定する場合などに、VPN Server Manager
を使用してスマートカードから証明書 (公開鍵) を読み出し、ユーザーごとに登録するといった操作も簡単に行えます。また、VPN
Server Manager
で新しい証明書と秘密鍵を生成して、それをスマートカードに書き込むと同時に新規ユーザーとして登録を行うことも可能です。これにより、大量の社員ユーザーに社員証や専用の
IC カードなどを配布して VPN 接続のために使用させるというソリューションの初期登録作業も簡単に行うことができるようになりました。
-
非常に多くのユーザーの皆様からご要望いただいていた機能として、VPN Client 接続マネージャを Windows
のタスクバーのタスクトレイ (通知領域) に格納し、そのアイコンをクリックして表示されるメニューを使用して、VPN Server
への接続設定の作成や、既存の接続設定を使用した接続の開始および切断操作などを、素早く行うことができるようになりました。
-
従来、コマンド プロンプトを開いて
ipconfig コマンドなどで表示していたような、LAN カードや TCP/IP に関する情報を、VPN Client
接続マネージャのメニューやタスクトレイのアイコンのメニューから簡単に表示することができるようになりました。
-
VPN Server の仮想 HUB
ごとに、クライアントの IP アドレス (物理的な IP アドレス)
によって接続を許可または拒否することができるルールを定義する機能を搭載しました。
-
VPN Server の仮想 HUB
に対して、クライアント
コンピュータが接続してくる際に証明書認証を使用している場合、特定の証明書を無効として登録することが可能になりました。
-
VPN Server Manager を使用して
VPN Server のログファイルの一覧を表示し、必要なものだけを指定して VPN Server Manager
を動作させている管理用コンピュータにダウンロードすることができるようになりました。
-
SoftEther VPN Server 2.0
または SoftEther VPN Bridge 2.0 を使用して仮想 HUB と物理的な Ethernet との間でローカル
ブリッジを行う際、WinPcap のインストール作業が不要になりました。
(Windows 2000 / XP / Server 2003)
-
SecureNAT 機能を使用している場合、仮想
NAT 機能のパフォーマンスが大幅に向上しました。これは、SoftEther VPN Server 2.0 内の独自の TCP/IP
ユーザーモード・プロトコルスタックの性能を最適化したことによるものです。
-
Windows 98、Windows 98
SE、および Windows Me を使用している環境で SoftEther VPN Bridge 2.0
をインストールすると途中でエラーが発生してインストールが完了しない場合がありましたが、この不具合を修正いたしました。
Beta 4
における機能拡張・改良点に関する詳細な解説は、以下の URL に掲載されています:
https://www2.softether.jp/jp/vpn2/beta4.aspx
今後の SoftEther VPN 2.0
開発スケジュールについて
ソフトイーサ株式会社では、次のベータ版ビルドとして、Release Candidate 1 (RC1)
のリリースを、9月30日を目標として計画しております。
RC1 では SoftEther VPN 2.0
シリーズの搭載予定機能がすべて搭載され、また、Linux 版、FreeBSD 版、MacOS X
版のコードも含まれる予定です。また、さらに画期的な新機能が搭載される予定です。
RC1
に関する詳細情報につきましては、9月16日に公開する予定です。
本件に関するお問い合わせ先は下記までお願いいたします。
|