クラウド時代のニーズにマッチしたICT特許技術開発のグローバルな最先端企業



クラウド・ゲートウェイ仮想サーバー

クラウド・ゲートウェイ仮想サーバー特許
(特許第5102898号)

クラウド・ゲートウェイ仮想サーバー特許は、分離した二つのネットワークの間の安全で簡便なアクセスを実現するシステムの構成に関する特許です。この特許を使用することで、分離型の製品において、分離したネットワーク間の安全なアクセスを実現することができます。

下図のように二つの分離されたLAN A, LAN Bがある場合、LAN-Aにある端末から、仮想サーバ上にあるシンクライアントOSを経由して、端末から分離されたLAN-Bにあるアプリケーションサーバにアクセスして操作するシステムの構成が特許となっています。

(図1)

特許の範囲について

特許の対象となるシステムは、図2に示すように、端末、シンクライアントOSを仮想的に複数起動するクラウド・ゲートウェイ仮想サーバー、ユーザがアクセスするアプリケーションサーバで構成されています。

端末のユーザはサーバで動作するシンクライアントOSを中継してアプリケーションサーバにアクセスします。クラウド・ゲートウェイ仮想サーバーは、ユーザによるアプリケーションサーバの操作、アプリケーションサーバの画面表示をユーザに転送します。ユーザはクラウド・ゲートウェイ仮想サーバーを介してあたかもアプリケーションサーバに直接アクセスしているような感覚で操作できます。

クラウド・ゲートウェイ仮想サーバーにシンクライアントOSを使用すること、端末からクラウド・ゲートウェイ仮想サーバーを経由してアプリケーションサーバを使用するシステムの構成が特許になっています。

(図2)

このシステム構成の利点

このような構成にすることで、次のような様々な利点があります。

1)端末のOSの種類に依存することなくアプリケーションサーバにアクセスできるため、アプリケーションサーバの種類を固定することができ、アプリケーションの構築やメンテナンスが容易になります。

2)クラウド・ゲートウェイ仮想サーバーを介してアプリケーションサーバにアクセスするため、ユーザの認証や使用するアプリケーションの認可を一括して管理しやすくなります。

3)クラウド・ゲートウェイ仮想サーバーから端末へは画面表示で転送されるため、端末とアプリケーションサーバ間相互のデータのやり取りがなくなり、相互にマルウェア感染を防ぐことができる、セキュリティ面の利点もあります。

特許適用例1:業務系LANから情報系LANへリモートアクセス

業務系LANにある端末PCから、情報系LANクラウド・ゲートウェイ仮想サーバーにある仮想デスクトップ(シンクライアントOS)を経由してインターネット上にあるウェブサーバにアクセスし、クラウド・ゲートウェイ仮想サーバーから端末PCへリモートデスクトッププロトコル(RDP)で画像情報を転送するシステムを構成した場合の適用例が図3です。業務系LANにいるユーザはインターネット上にあるWebサーバからウィルス等の感染を避けながら、Webサーバにアクセスし、操作することができます。

(図3)

特許適用例2:アプリケーション利用のための代理認証

端末から様々なSaaSを利用する場合、それぞれのSaaSにアクセスするための認証を行います。このときに本特許を適用することで、端末からクラウド・ゲートウェイ仮想サーバーにアクセスしてユーザ認証や使用できるSaaSサービスの種類の認可を行い、認証・認可が成功したユーザがSaaSにアクセスするシステムを構成することができます。(図4)

このようにすることで、SaaSを利用するユーザの管理を一括して行ったり、毎回パスワードが不要なSSO(シングルサインオン)を実現したりすることができます。また、クラウド・ゲートウェイ仮想サーバーが端末とSaaS間の画像情報を転送するため、相互のマルウェアによる感染を防ぐこともできます。

(図4)

背景

2015年の日本年金機構事件では標的型メール攻撃により125万件の個人情報が流出し、事故調査報告から標的型攻撃の手法の巧妙さが広く知られるようになりました。

セキュリティ脅威の広がりに伴い、現在ウィルス対策ソフト、Firewall, 侵入検知・防止, Web Gateway, Network Sandbox等の多くのセキュリティ製品が開発・販売されています。これらはいずれもマルウェアを検出して警告・排除し、侵入を防ぐ、シグネチャマッチ型の製品に分類されます。

シグネチャマッチ型製品のベンダーは、攻撃者が生み出す新たな攻撃方法に合わせて検出できるシグネチャのパターンを継続して更新する必要がありますが、近年、その更新が十分に追いついてないといわれています。たとえば、2014年5月に大手セキュリティソフトベンダー、シマンテック社の情報セキュリティ担当上級副社長ブライアン・ダイ氏はウィルスソフトの50%がセキュリティソフトを潜り抜けており、「アンチウィルスソフトは死んだ」と発言しています[1][2]。

そのため、従来のシグネチャマッチ型とは視点を変えた新たなウィルス対策が必要といわれています。
日本国内では、2016年のマイナンバー制導入に伴い総務省は自治体セキュリティ対策の強化を目的とした検討チームの中間報告を発表しました[3]。報告書では自治体間のWANにつながる業務系LANと外部ネットワークにつながる情報系LANを分離し、“両システム間で通信する場合には、ウィルスの感染のない無害化通信を図ること(LGWAN接続系とインターネット接続系の分割)“[3]を提言しています。

この総務省の提言をうけ、自治体、民間ともに、内部業務LANと外部情報LANの分離と無害化をする分離型の製品が新たなセキュリティ対策として注目を集めています。

参考資料

[1] “「ウイルス対策は命が尽きた」 Symantecが重点シフト”, 2014年5月, ITmeida, http://www.itmedia.co.jp/enterprise/articles/1405/07/news037.html
[2] “「ウイルス対策ソフトは死んだ」発言の真意は?”, 2014年5月, ITmedia, http://www.itmedia.co.jp/enterprise/articles/1405/14/news157.html
[3] “新たな自治体情報セキュリティ対策の抜本的強化に向けて”, 総務省地域力創造グループ, 2015年11月24日, http://www.soumu.go.jp/main_content/000387560.pdf

特許についてのお問い合わせはこちら