第1回 リモート・アクセスVPNの概要在宅勤務を実現するリモート・アクセスVPN構築術(1/4 ページ)

電力不足のため、これからは在宅勤務が流行か。リモート・アクセスVPN環境があれば、自宅でもどこでもすぐにオフィスに。

» 2011年07月28日 00時00分 公開
[打越浩幸デジタルアドバンテージ]
[運用] 在宅勤務を実現するリモート・アクセスVPN構築術 ―― 節電対策としてのテレワーク環境をWindowsで実現するための知識&ノウハウ ―― 
Windows Server Insider

 

「[運用] 在宅勤務を実現するリモート・アクセスVPN構築術 ―― 節電対策としてのテレワーク環境をWindowsで実現するための知識&ノウハウ ―― 」のインデックス

連載目次

 東日本大震災やそれに伴う発電所の運転停止などにより、今年の夏は日本全国で電力消費の抑制が求められている。企業によっては、夏季休暇を長くしたり、勤務時間の大幅なシフトや在宅勤務制度の導入などによって、オフィスのピーク消費電力の削減を計画しているところも少なくない。在宅勤務にすることにより、例えばオフィスの照明や必要な空調電力などを削減でき、最終的にはトータルでもいくらかは消費電力の削減に寄与できるとの報告もある。

 在宅勤務を行う場合、必要な仕事の資料などを自宅に持ち帰る必要があるが、量が多いと簡単ではないし、途中で紛失したり盗難にあったりする可能性も否定できない。それよりも、自宅にいながらにして、会社でいつも使っているコンピュータやサーバ、アプリケーションなどにアクセスできる方が便利だろう。これを実現するには、いわゆる「リモート・アクセスVPN」環境があればいい。自宅で高速なインターネット接続環境が利用できるなら、会社のPCにリモート・デスクトップ接続すればよい。あまり速くないインターネット回線なら、ファイル・サーバやアプリケーション・サーバなどへアクセスして必要なデータを取り出し、実際の作業は自宅のPCで行ったり、インターネット上のサービスを使って共同作業するという方法もある。ほかの人との打ち合わせや会議が必要ならSkypeのような会議システムを使えばよいだろう。

 今回は小中規模の企業を対象に、主にWindows OS環境で利用可能なリモート・アクセスVPN技術について、その概要と代表的なVPNサーバ製品(VPNアプライアンス)についてまとめる。次回はWindows Server OSなどを使って実際にVPN接続環境を作ったり、そこで利用できるアプリケーションなどについて解説する予定である。

VPNサービスを使って在宅勤務を実現する

 会社に置かれているコンピュータやファイル・サーバ、アプリケーション・サーバなどをインターネット経由で自宅や外出先などから利用するには、「VPN(仮想プライベート・ネットワーク)」を利用するのが現在では一般的だろう。VPNは、手元にあるPCと別の場所にあるコンピュータ(会社のサーバや自分のPC)に対して直接通信できるような仮想的な通信路(トンネル)を作成し、それを使って通信する技術の総称である。トンネル化してその内部(通信)を暗号化することにより、インターネット上でも安全に通信を行うことが可能になる。

リモート・アクセスVPNを使った在宅勤務
リモート・アクセスVPNを使うと、会社にあるサーバやPCへインターネットを経由してアクセスできる。社外からのファイル・アクセスやリモート・デスクトップ・アクセスができれば、そのまま自宅や出先でも仕事ができるだろう。ただし、情報漏えいやウイルス感染などがあってはいけないので、例えばVPN接続するためにはウイルス対策ソフトウェアのインストールが必須などの条件を付けて、それをVPN接続のポリシーとして管理できるのが望ましい。システムによってはこのようなセキュリティ対策や接続条件の事前チェックなどが行えるようになっている。「UTM(Unified Threat Management)」とは、ファイアウォールやルータ、VPNサーバだけでなく、ウイルス対策や侵入検知/保護、コンテンツ・フィルタリングなど、セキュリティ対策機能も集約した総合的なアプライアンス/システムのこと。

 VPNで会社に接続したコンピュータは、ネットワーク的に見ると、会社のネットワークに直接接続されているのとほぼ同じ状態になる。そのため、多少遅いことを除けば、ほとんどのアプリケーションを制約なく利用できるようになるはずである。ただしセキュリティ的にはこれは望ましくない場合もあるだろうから、通常の運用では、利用できる機能(プロトコル)を制限したり、ウイルス対策ソフトウェアがインストールされていない場合はVPN接続を拒否するなどのポリシー設定を行ったりする。より進んだ使い方をするなら、例えばログオン時間管理と勤怠管理システムを結びつけるといった運用もできるだろう。ただし、そのあたりの運用方法は組織にもよるので本連載では特に触れない。

VPN技術の概要

 それでは現在利用可能なリモート・アクセスVPN技術について見てみよう。

 ひと言でVPNといっても実際には多くの技術(プロトコル)があり、目的や環境などに応じて使い分けられている。現在一般的なリモート・アクセスVPN技術としては、次のようなものがある。

VPN技術 概要
トランスポート層/ネットワーク層の仮想化
PPTP ・Microsoftが開発したVPNプロトコル
・古いWindows OSでも利用できる
・現在となってはセキュリティ的に脆弱
IPsec ・IPパケットをカプセル化するVPNプロトコル
L2TP/IPsec ・PPTPとL2Fを統合したプロトコル
・トンネル化はL2TPで、暗号化などはIPsecで行う
IP in IP ・IPパケットをトンネル化するプロトコル
・非常にシンプルだがセキュリティ機能などはない
・セキュアなLAN内でのみ利用するべき
セッション層/アプリケーション層の仮想化
SSL ・セッション層レベルで動作する暗号化プロトコル
・VPN機能は特に持たない。リバースProxyのように動作する
・通常は特定の上位アプリケーションに結び付けて使われる(telnet over SSL、ftp over SSLなど)
HTTP over SSL/TLS(HTTPS) ・Webブラウザの暗号化アクセス機能として有名
・プロトコル変換(例:CIFS→HTTP)してユーザーに見せるようなサービスも考えられる
SSTP ・HTTPSポート経由で利用できるVPNプロトコル
・Windows Vista/Windows Server 2008以降で利用可能
Socks over SSL ・汎用のSocket Proxyサービス(Socks)をSSL上で動作させるもの
DirectAccess ・インターネットから直接社内LANへ接続する機能
・Windows 7+Windows Server 2008 R2で実現できる機能。Windows Server 2008 R2がゲートウェイの役目を果たす。
・IPsecとIPv6を利用
リモートデスクトップ・ゲートウェイ ・インターネットから直接社内のリモートデスクトップ環境へ接続する機能
・Windows Server 2008 R2の独自機能
データリンク層の仮想化
PacketiX ・任意のイーサネットのフレームをトンネル化する
・トンネル化はSSL/HTTP over SSLで実現
主なVPN技術
現在使われている主なVPNプロトコル。これ以外にもアプリケーション層の仮想化技術は多くある。ただしDirectAccessやリモートデスクトップ・ゲートウェイはVPNというよりは、VPN接続時と同様のことをするWindows OS独自のサービスである。

 VPN技術は、ネットワーク・プロトコル階層のどこで仮想化するか(トンネルを作るか)によって大きく分類できる。上の表では「トランスポート層/ネットワーク層」「セッション層/アプリケーション層」「データリンク層」という3種類に分けてみた。それぞれの階層と、TCP/IPやアプリケーション・プロトコルを対比させると次のようになる。

階層
アプリケーション層 HTTP/FTP/POP/SMTP
セッション層 SSL/(暗号化なし)
トランスポート層 TCP/UDP
ネットワーク層 IP
データリンク層 イーサネット
ネットワークの階層
階層名はTCP/IPにおける呼び方などに基づいている。

 下の階層で仮想化するほど自由度は高くなるし、多くの上位プロトコル(アプリケーション)を利用できるようになるが、アプリケーションの制御(特定のアプリケーションからの通信は実行禁止にするなど)は難しくなる。暗号化されたトンネルを使うと、どのアプリケーションがどのポートを利用しているか、などが分かりづらくなるからだ。

       1|2|3|4 次のページへ

Copyright© Digital Advantage Corp. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。