電力不足のため、これからは在宅勤務が流行か。リモート・アクセスVPN環境があれば、自宅でもどこでもすぐにオフィスに。
東日本大震災やそれに伴う発電所の運転停止などにより、今年の夏は日本全国で電力消費の抑制が求められている。企業によっては、夏季休暇を長くしたり、勤務時間の大幅なシフトや在宅勤務制度の導入などによって、オフィスのピーク消費電力の削減を計画しているところも少なくない。在宅勤務にすることにより、例えばオフィスの照明や必要な空調電力などを削減でき、最終的にはトータルでもいくらかは消費電力の削減に寄与できるとの報告もある。
在宅勤務を行う場合、必要な仕事の資料などを自宅に持ち帰る必要があるが、量が多いと簡単ではないし、途中で紛失したり盗難にあったりする可能性も否定できない。それよりも、自宅にいながらにして、会社でいつも使っているコンピュータやサーバ、アプリケーションなどにアクセスできる方が便利だろう。これを実現するには、いわゆる「リモート・アクセスVPN」環境があればいい。自宅で高速なインターネット接続環境が利用できるなら、会社のPCにリモート・デスクトップ接続すればよい。あまり速くないインターネット回線なら、ファイル・サーバやアプリケーション・サーバなどへアクセスして必要なデータを取り出し、実際の作業は自宅のPCで行ったり、インターネット上のサービスを使って共同作業するという方法もある。ほかの人との打ち合わせや会議が必要ならSkypeのような会議システムを使えばよいだろう。
今回は小中規模の企業を対象に、主にWindows OS環境で利用可能なリモート・アクセスVPN技術について、その概要と代表的なVPNサーバ製品(VPNアプライアンス)についてまとめる。次回はWindows Server OSなどを使って実際にVPN接続環境を作ったり、そこで利用できるアプリケーションなどについて解説する予定である。
会社に置かれているコンピュータやファイル・サーバ、アプリケーション・サーバなどをインターネット経由で自宅や外出先などから利用するには、「VPN(仮想プライベート・ネットワーク)」を利用するのが現在では一般的だろう。VPNは、手元にあるPCと別の場所にあるコンピュータ(会社のサーバや自分のPC)に対して直接通信できるような仮想的な通信路(トンネル)を作成し、それを使って通信する技術の総称である。トンネル化してその内部(通信)を暗号化することにより、インターネット上でも安全に通信を行うことが可能になる。
VPNで会社に接続したコンピュータは、ネットワーク的に見ると、会社のネットワークに直接接続されているのとほぼ同じ状態になる。そのため、多少遅いことを除けば、ほとんどのアプリケーションを制約なく利用できるようになるはずである。ただしセキュリティ的にはこれは望ましくない場合もあるだろうから、通常の運用では、利用できる機能(プロトコル)を制限したり、ウイルス対策ソフトウェアがインストールされていない場合はVPN接続を拒否するなどのポリシー設定を行ったりする。より進んだ使い方をするなら、例えばログオン時間管理と勤怠管理システムを結びつけるといった運用もできるだろう。ただし、そのあたりの運用方法は組織にもよるので本連載では特に触れない。
それでは現在利用可能なリモート・アクセスVPN技術について見てみよう。
ひと言でVPNといっても実際には多くの技術(プロトコル)があり、目的や環境などに応じて使い分けられている。現在一般的なリモート・アクセスVPN技術としては、次のようなものがある。
VPN技術 | 概要 | |
---|---|---|
トランスポート層/ネットワーク層の仮想化 | ||
PPTP | ・Microsoftが開発したVPNプロトコル ・古いWindows OSでも利用できる ・現在となってはセキュリティ的に脆弱 |
|
IPsec | ・IPパケットをカプセル化するVPNプロトコル | |
L2TP/IPsec | ・PPTPとL2Fを統合したプロトコル ・トンネル化はL2TPで、暗号化などはIPsecで行う |
|
IP in IP | ・IPパケットをトンネル化するプロトコル ・非常にシンプルだがセキュリティ機能などはない ・セキュアなLAN内でのみ利用するべき |
|
セッション層/アプリケーション層の仮想化 | ||
SSL | ・セッション層レベルで動作する暗号化プロトコル ・VPN機能は特に持たない。リバースProxyのように動作する ・通常は特定の上位アプリケーションに結び付けて使われる(telnet over SSL、ftp over SSLなど) |
|
HTTP over SSL/TLS(HTTPS) | ・Webブラウザの暗号化アクセス機能として有名 ・プロトコル変換(例:CIFS→HTTP)してユーザーに見せるようなサービスも考えられる |
|
SSTP | ・HTTPSポート経由で利用できるVPNプロトコル ・Windows Vista/Windows Server 2008以降で利用可能 |
|
Socks over SSL | ・汎用のSocket Proxyサービス(Socks)をSSL上で動作させるもの | |
DirectAccess | ・インターネットから直接社内LANへ接続する機能 ・Windows 7+Windows Server 2008 R2で実現できる機能。Windows Server 2008 R2がゲートウェイの役目を果たす。 ・IPsecとIPv6を利用 |
|
リモートデスクトップ・ゲートウェイ | ・インターネットから直接社内のリモートデスクトップ環境へ接続する機能 ・Windows Server 2008 R2の独自機能 |
|
データリンク層の仮想化 | ||
PacketiX | ・任意のイーサネットのフレームをトンネル化する ・トンネル化はSSL/HTTP over SSLで実現 |
|
主なVPN技術 現在使われている主なVPNプロトコル。これ以外にもアプリケーション層の仮想化技術は多くある。ただしDirectAccessやリモートデスクトップ・ゲートウェイはVPNというよりは、VPN接続時と同様のことをするWindows OS独自のサービスである。 |
VPN技術は、ネットワーク・プロトコル階層のどこで仮想化するか(トンネルを作るか)によって大きく分類できる。上の表では「トランスポート層/ネットワーク層」「セッション層/アプリケーション層」「データリンク層」という3種類に分けてみた。それぞれの階層と、TCP/IPやアプリケーション・プロトコルを対比させると次のようになる。
階層 | 例 |
---|---|
アプリケーション層 | HTTP/FTP/POP/SMTP |
セッション層 | SSL/(暗号化なし) |
トランスポート層 | TCP/UDP |
ネットワーク層 | IP |
データリンク層 | イーサネット |
ネットワークの階層 階層名はTCP/IPにおける呼び方などに基づいている。 |
下の階層で仮想化するほど自由度は高くなるし、多くの上位プロトコル(アプリケーション)を利用できるようになるが、アプリケーションの制御(特定のアプリケーションからの通信は実行禁止にするなど)は難しくなる。暗号化されたトンネルを使うと、どのアプリケーションがどのポートを利用しているか、などが分かりづらくなるからだ。
Copyright© Digital Advantage Corp. All Rights Reserved.