第1回 インターネットVPN環境を構築する:VPN実践導入講座(2/4 ページ)
企業のWAN接続は専用線から安価なブロードバンド・インターネットVPNへ。VPN環境におけるActive Directoryの構築とその検証。
今回は具体的に次のようなシナリオを考える。
まず、下図はVPN導入前のネットワーク構成の例である。東京にある本社と、日本各地にある支社や営業所を64kbpsや128kbpsのデジタル専用線で結んでいた。通信回線の帯域幅は非常に小さいので、ネットワーク同士を接続し、1つのWANとして透過的なネットワークを構成するというよりも、必要なデータを必要なときに転送するという、どちらかといえばポイント to ポイントの接続に近い構成だったとする。そしてこの会社には、神戸以外にも全国に支社があり、それぞれが同様の構成で専用線接続されているものとする。各拠点にはWindows NTドメイン、もしくはWindows 2000のActive Directoryドメインはあるものの、それらは連携しておらず、独立したドメインとして存在していた。
低速な64kbpsや128kbpsのデジタル専用線とはいえ、このネットワークを維持するコストは莫大である。そこで同社は、WAN接続を高速化しながら、同時に通信コストも劇的に削減できるVPN接続の検討に入った。基本的には、Windows 2000 ServerのVPN機能を利用して、専用線接続の部分をインターネット・インフラで置き換える。
また全社的なActive Directoryドメインを導入して、ユーザー・アカウントや各種のリソースを統合し、メールなどでもActive Directoryの機能を積極的に使っていこうとしているものとする。さらに社内ポータル・サイトなども立ち上げ、全社的な情報を本社に置かれたWebサイトで提供するようにする。そのためには、各拠点からも本社へのアクセスができるようになることが望まれる。
このような目的のために、次のような形態のVPNを導入することにする。
VPN導入後のネットワーク構成
Windows 2000 ServerのVPN機能を利用して、専用線の部分をインターネット・インフラで置き換える。これにより、大幅な通信コスト削減とWANの機能性向上を目指す。各拠点から本社や、必要ならばほかの支社へもシームレスにアクセスできるようにする。
インターネットVPNとIP-VPN
VPN導入の最大のメリットは、通信コストの削減である。インターネットが普及したおかげで、インターネット常時接続のために必要なコストは大幅に低下した。VPNでは、接続回線としてこのインターネット・インフラをそのまま使えるのが魅力である。
例えば、FTTH(光ファイバ)を利用した最大帯域100Mbpsの常時接続でも、現在では月額数万円程度で利用できる(複数の固定IPが利用できるビジネス向けの場合。個人用ならば1万円以下でも可)。1.5Mbps〜12MbpsのADSL接続でよければ、月額1万円以下で利用することも可能である。
しかしいいことばかりではない。周知のとおりインターネット・インフラは、ネットワークの混雑具合に応じて転送速度が変化するベスト・エフォート型(最善努力型)のネットワークである。従ってネットワークが混雑していると、通信が非常に遅くなったり、場合によっては一定時間内に通信を完了できずにタイムアウト・エラーになってしまったりする可能性もある。
また企業のWANでは、財務情報や顧客情報など、企業機密に属する情報がやりとりされるのも一般的であるが、VPNでは、多くの個人ユーザーなども使うインターネット・インフラにこれらの情報を流すことになる。VPNでやりとりされる情報は暗号化されるので、情報を簡単に盗み見ることはできないはずだが、この暗号化機能をどこまで信頼するかは、業種や用途によって意見が分かれるところだろう。
このような背景から、最近では、一般的なインターネットのアクセス回線とは別に、通信事業者の内部で閉じたIPネットワークを構築して、より安心できるVPN接続環境を提供するISPが増えている。このような特別な回線を利用したVPN接続は「IP-VPN」と呼ばれる(一方、一般的なインターネットのアクセス回線を利用するVPN接続は「インターネットVPN」として区別される)。IP-VPNとインターネットVPNの違いをまとめると次のようになる(これら以外にも、IP以外のネットワーク・プロトコルも利用可能な広域イーサネットなどのサービスもある)。
接続方法 | IP-VPN | インターネットVPN |
---|---|---|
ネットワークの構成 | 通信事業者が提供する閉じたIPネットワークを利用 | 広く一般に利用されるインターネット接続網を利用 |
ネットワークへの期待 | 多少はコストアップになっても、ある程度の信頼性を要求 | 信頼性よりも、コスト・ダウン優先 |
通信コスト | 高い | 安い |
トラフィック | 混雑時も一定の帯域が確保されるなどの配慮がある(最低帯域保証などを選択可能な場合もある) | インターネット・アクセスによるトラフィックの影響をまともに受ける |
セキュリティ | 通信事業者のクローズなネットワークを利用するため、比較的安全性が高い | 一般に使われるインターネット接続網を使うため、セキュリティの確保では、VPNの暗号化機能などに依存する |
回線の信頼性 | 比較的高い。メンテナンスなどによるネットワーク停止は少ない | メンテナンスによるサービス停止などがままある |
IP-VPNとインターネットVPNの比較 |
ひとことでいってしまえば、IP-VPNは多少のコスト増よりも安全性や信頼性を重視する用途を想定したもの、一方のインターネットVPNは安全性や信頼性よりも低コスト性を重視する用途を想定したものだといえる。IP-VPNでは、利用料金が高い代わり、ネットワークが混雑している場合でも一定の帯域が確保されるようにバックボーンが設計されたり、メンテナンスなどによるネットワーク停止もなるべく少なく、停止しても短時間で復帰するように配慮されたりする。通信事業者内部の閉じたネットワークなので、通信途中でデータが盗聴されたり、改ざんされたりする危険性も小さい。
一方のインターネットVPNは、ネットワークが混雑すると通信が遅くなったり、メンテナンスなどによるサービスの停止が比較的多かったりする。またほかの多くのユーザーも利用するネットワークにデータを流すので、盗聴や改ざんの危険はIP-VPNよりは大きい。しかしその代わり、通信コストは非常に安い(個人ユーザー・レベルの契約でも利用は可能)。
どちらを選ぶかは、信頼性および安全性と通信コストをトレード・オフして決定する必要がある。企業での利用では、信頼性を無視できるような用途は少ないだろうが、一時的な通信速度の低下や、万一の回線停止などが発生したら、代替手段としてダイヤルアップ接続を利用するなど、障害時の回避策を準備しておき、ある程度の割り切りができるなら、インターネットVPNを選択できるケースはある。あるいは、IP-VPNなど信頼性の高い通信手段のバックアップとして、安価なインターネットVPNを利用するという発想もあるだろう。
以下本稿では、安価なインターネットVPNを使用するという過程で話を進め、単にVPNと表記する。IP-VPNとの区別が必要な場合は、両者を明示的に表記し分けることにする。
Copyright© Digital Advantage Corp. All Rights Reserved.