VPN管理のOSS〜Firezone〜
OSS研究室 森 彰吾
今回は、VPN管理のオープンソースソフトウェアであるFirezoneについて紹介します。
Firezoneとは、Linux Kernelに搭載されたVPN機能「WireGuard」を管理するためのオープンソースソフトウェアです。
WireGuardと問題点
WireGuardとは、Jason A. Donenfeldによって開発されオープンソースで公開されている、次世代のVPNソフトウェアです。SSHのようにシンプルで簡単に使えることをコンセプトに開発されています。シンプルでありながらも、最新の暗号技術を利用し、通信の安全性・信頼性も高くなっています。また、SSL VPNやL2TP/IPsecなどのVPN通信よりも、高速に動作するという特徴があります。
ただ、WireGuardには、いくつか利用上の問題があります。
- コマンドラインでの管理が必須で、一般利用が難しい
- クライアント認証の仕組みがない(設定情報があれば誰でも接続可能)
Firezoneは、このようなWireGuardの欠点を補うソフトウェアです。
Firezoneの機能とメリット
Firezoneには次のような機能とメリットがあります。
GUIでの管理
Firezoneは、VPNを利用するユーザやVPNの設定をGUIから管理できます。また、WireGuard単体では、管理者がVPN利用時に払い出すIPアドレスまで管理する必要がありましたが、Firezoneはそれも全て代行してくれます。
認証を必須とするセキュリティ機能
Firezoneでは、VPN接続の有効期間を1時間や1日などのスパンで決めることができます。この機能を使ってWireGuardサーバの接続設定を上手く制御することで、VPN接続時の認証をある程度強制することができます。
設定した有効期間を過ぎた場合、VPN接続を行うことはできません。再度接続を行うためには、一度FirezoneのポータルWEBサイトで認証を行う必要があります。つまり、認証できない人が設定情報を奪ったとしても、一定時間を過ぎると接続が拒否される動きになります。
ユーザ単位のファイアウォール機能
Firezoneは、ユーザがVPN接続時にどのホストに接続できるかを、ユーザ単位で制御できます。つまり、VPN接続を行った場合に、ネットワーク全体へのアクセスを許可するのではなく、ユーザ毎に使わせるシステムを制限できるということです。
この機能は、一般ユーザのアクセス制限として使えるだけでなく、攻撃者が接続に成功してしまった場合の被害を最小限に抑える役割も果たします。
SSO認証基盤との連携
Firezoneは、SAML/OIDCのシングルサインオン(SSO)のプロトコルにも対応しています。そのため、Identity Provider(IdP)を利用することで、ユーザ認証を認証基盤に任せることができます。
SSOに対応していることによるメリットは、一度のID・パスワード入力で認証を行うことができるという点だけではありません。例えば、KeycloakのようなIdPでは、認証時のパスワードポリシーを変更したり、ユーザに2要素認証を強制するなどの設定が可能です。IdPと連携することで、Firezoneもよりセキュリティを強固にした状態でユーザに利用させることができます。
Firezoneの用途
Firezoneは、一般的なVPN環境としての利用はもちろん、次のような目的で利用することも可能です。
クラウド環境のVPN装置
昨今では、クラウド上に閉鎖された環境を作ることも珍しくありません。その際、アクセスにVPNが利用されるケースがあります。クラウド環境であるため、当然、物理的なVPN機器を置くことはできません。
このような場合、ソフトウェアのVPNを利用することになります。しかし、料金や速度、管理性など、どれも一長一短なソフトウェアが多いのが現状です。Firezoneを使うことで、OSSでありながら高速に動作するWireGuradを、セキュアな環境で利用できるようになります。
リモートワークのVPN環境
VPNは、リモートワークの手段として一般的に広まっています。ただ通常のVPNでは、以下のようなセキュリティ上の不安が存在します。
- ID・パスワードが漏れた場合に誰でも接続できてしまう
- リモートからネットワーク全体にアクセスできるのは危険
一方で、利用している機器に多要素認証などの機能が無かったり、設定が非常に難しかったりするため、セキュリティ対策が進みづらいという問題もあります。また、アクセス制限をユーザ毎に行えないケースも多く、現実的にアクセス範囲を広げざるをえないという事情もあります。
Firezoneは、多要素認証でセキュリティレベルを上げつつ、特定のリモートワーカーが接続する端末へのRDP接続だけを許可するなど、柔軟なアクセス制御が可能です。
さらに、コストの観点でもメリットがあります。リモートワーカーが増えたことで、VPNの利用ユーザが増えた企業も珍しくありません。ユーザ数によるライセンス形態の場合、利用コストがかかるため、コストを増やさないために利用者を制限するという運用を行う必要があります。一方で、FirezoneとWireGuardはオープンソースであるため、そのような制限はありません。
デージーネットでは
Firezoneは、セキュアなVPN環境をOSSで整えることができるツールです。ただし、Firezone単体では不足している機能もあります。そのためデージーネットでは、KeycloakなどのIdPとの連携や、付属ツールの開発など、より便利にFirezoneを利用できる方法を今後検討していく予定です。
関連ページ
Firezone〜ソフトウェアVPNのWireGuard管理ソフト〜
Firezoneとは、WireGuardの課題を解決するソフトウェアです。Firezoneを使うことで、一般ユーザには使用しにくいというWireGuardの課題を解決することができます。
デージーネットからのお知らせ
企業のメールセキュリティは、何を利用すればいい?今さら聞けないメールセキュリティを開催します。
今回は、企業で安全・安心なメールサーバを利用するためは、どのようなセキュリティ対策をすればいいのか、ポイントを紹介します。
- 日程:2023年3月24日(金)
- 時間:15:00〜16:00
詳細↓↓
https://www.designet.co.jp/seminar/seminar.php?seminar_id=80
2023/4/5(水)〜 4/7(金)東京ビックサイトで行われる第32回 Japan IT Week 春 にデージーネットが出展します。
https://www.designet.co.jp/info/?id=599
『PPAP対策の導入状況』アンケートのプレスリリースが、Asciiに取り上げられました!
https://www.designet.co.jp/info/?id=598
『PPAP対策の導入状況』アンケートのプレスリリースが、ScanNetSecurityに取り上げられました!
https://www.designet.co.jp/info/?id=597
メールサーバの安全性を無料でチェックできるサイトを公開しています。
メールセキュリティへの関心が高まる中、メールセキュリティのチェック項目を整理して、誰でも簡単にチェックできるツールはありませんでした。本サイトでは、メールアドレスを入力するだけで、メールサーバのセキュリティを無料でチェックできます。
