Pulse Secure ぱるすせきゅあ
簡単に言うとこんな感じ!
Pulse Secure(パルスセキュア)は、会社の外から社内ネットワークに安全につなぐための「VPN装置」だよ。いわば「鍵付きの専用トンネル」を作って、自宅や出張先からでも会社のシステムにアクセスできるようにする仕組みなんだ!
Pulse Secureとは
Pulse Secureは、企業向けのSSL VPN(Secure Sockets Layer Virtual Private Network)製品の代表的なブランドで、もともとはJuniper Networksの「Junos Pulse」として提供されていたものが、2014年に独立した会社「Pulse Secure, LLC」として分社化されました。その後、2021年にITセキュリティ企業のIvantiに買収され、現在は「Ivanti Connect Secure」という名称で提供されています。
SSL VPNとは、WebブラウザでHTTPSサイトを見るときと同じ暗号化技術(SSL/TLS)を使って、外部から社内ネットワークへの安全な通信トンネルを作る仕組みです。専用のクライアントソフト(Pulse Secureクライアント)をPCやスマートフォンにインストールするだけで接続でき、特別なネットワーク機器を手元に用意しなくて済むのが大きな特徴です。
特に2020年以降のコロナ禍でテレワークが急拡大した際、多くの日本企業でも採用が進みました。一方で、重大なセキュリティ脆弱性が相次いで発覚し、サイバー攻撃の標的になったことでも広く知られる製品です。
Pulse Secureの主な機能と構成
| 機能カテゴリ | 内容 |
|---|---|
| SSL VPN接続 | 暗号化トンネルで社外から社内リソースへ安全アクセス |
| NAC(Network Access Control) | 接続端末のセキュリティ状態(OSパッチ・ウイルス対策ソフト等)を確認してから接続許可 |
| 多要素認証(MFA) | パスワード+ワンタイムパスワードなど、複数の認証を組み合わせ |
| アプリケーション制御 | ユーザーやグループごとにアクセスできるシステムを制限 |
| モバイル対応 | iOS・Androidからもアクセス可能 |
| ゼロトラスト連携 | 端末の状態・ユーザー属性に応じた動的なアクセス制御 |
製品ラインナップの覚え方
Pulse Secureの主要製品は2種類。「PCS(Pulse Connect Secure)」が社外からのリモートアクセス用、「PPS(Pulse Policy Secure)」が社内ネットワーク内の端末管理(NAC)用、と覚えると整理しやすいです。
- PCS → 外から中へつなぐ(Connect = 接続)
- PPS → 中に入ったあとのルール(Policy = 方針)
導入規模の目安
| 規模 | 同時接続ユーザー数 | 主な形態 |
|---|---|---|
| 小規模 | ~100ユーザー | 物理アプライアンス(小型機) |
| 中規模 | 100~1,000ユーザー | 物理アプライアンス(中型機)・仮想アプライアンス |
| 大規模 | 1,000ユーザー~ | クラスタ構成・クラウド展開 |
歴史と背景
- 2001年頃 ― Juniper Networksが「NetScreen-SA」シリーズとしてSSL VPN製品を展開開始
- 2006年頃 ― Juniper Networksが「Secure Access(SA)シリーズ」としてブランドを整理・拡張
- 2013年 ― Juniper Networksが製品を「Junos Pulse」に統合。SSL VPNだけでなくNACやモバイル管理も含むスイートへ進化
- 2014年 ― Juniper NetworksがVPN・NAC部門を「Pulse Secure, LLC」として分社化・独立
- 2019年 ― 重大な脆弱性「CVE-2019-11510」が公開。認証なしで任意のファイルを読み出せる深刻な欠陥で、世界中の企業・政府機関が攻撃を受ける
- 2021年 ― Ivanti(旧MobileIron・LANDesk系)がPulse Secureを買収。製品は「Ivanti Connect Secure」に改称
- 2024年 ― Ivanti Connect Secure/Policy Secureに複数のゼロデイ脆弱性(CVE-2023-46805など)が発覚。日本の官公庁・大企業でも被害が相次ぐ
SSL VPNの仕組みと競合製品との比較
Pulse Secureが属する「SSL VPN」カテゴリは、同じVPNでも「IPsec VPN」とは仕組みが異なります。
主要SSL VPN製品の比較
| 製品名 | ベンダー | 特徴 |
|---|---|---|
| Pulse Secure(Ivanti Connect Secure) | Ivanti | 大企業・官公庁での採用多数。脆弱性対応が課題 |
| Cisco AnyConnect(Cisco Secure Client) | Cisco | Ciscoルーターとの親和性が高い。シェア最大級 |
| Palo Alto GlobalProtect | Palo Alto Networks | 次世代ファイアウォールとの統合が強み |
| Fortinet FortiClient | Fortinet | FortiGateと組み合わせて利用。コスパ重視 |
| Check Point Remote Access VPN | Check Point | エンタープライズ向けセキュリティ統合 |
セキュリティ上の注意点(発注・選定担当者向け)
Pulse Secure(Ivanti Connect Secure)は、過去に複数の重大な脆弱性が発覚しており、国家レベルのサイバー攻撃グループに悪用されました。システム発注・選定の担当者として以下の点を押さえておくことが重要です。
主な脆弱性と影響
| CVE番号 | 発覚年 | 深刻度 | 概要 |
|---|---|---|---|
| CVE-2019-11510 | 2019年 | 緊急(CVSS 10.0) | 認証なしで任意ファイルの読み出しが可能。パスワード・秘密鍵が漏洩 |
| CVE-2021-22893 | 2021年 | 緊急(CVSS 10.0) | 認証バイパスによるリモートコード実行 |
| CVE-2023-46805 | 2024年 | 緊急(CVSS 9.1) | 認証バイパス(ゼロデイ) |
| CVE-2024-21887 | 2024年 | 緊急(CVSS 9.1) | コマンドインジェクション(ゼロデイ) |
⚠️ 発注担当者へのポイント: VPN機器は「インターネットに常時さらされている」という性質上、脆弱性が発覚した際のパッチ適用の速さが命綱です。ベンダーのサポート契約内容(パッチ提供期間・緊急対応の有無)を必ず確認しましょう。
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 8446 | TLS 1.3 — SSL VPNが使用する暗号化プロトコルの最新版 |
| RFC 6101 | SSL 3.0の仕様(歴史的参照。現在は非推奨) |
| RFC 4301 | IPsec アーキテクチャ(比較対象となるVPN方式) |
| RFC 7519 | JWT(JSON Web Token)— 認証トークン方式として連携される場合あり |
関連用語
- SSL VPN — TLSを使ったリモートアクセスVPNの方式
- IPsec — ネットワーク層で通信を暗号化するVPNプロトコル
- VPN(Virtual Private Network) — 仮想的な専用線で安全な通信トンネルを作る技術
- ゼロトラストネットワーク — 「社内でも信頼しない」を前提にしたセキュリティモデル
- NAC(Network Access Control) — 接続端末の安全性を確認してからネットワーク接続を許可する仕組み
- 多要素認証(MFA) — パスワード以外の認証要素を組み合わせて本人確認する方式
- Ivanti — Pulse Secureを買収したITセキュリティ・管理ソフトウェアベンダー
- 脆弱性(CVE) — ソフトウェアやハードウェアのセキュリティ上の欠陥の識別番号管理制度