リモートアクセスのセキュリティ対策インターネットVPNの導入メリット(前編)

» 2002年12月07日 00時00分 公開
[丸山龍一郎@IT]

 本特集では、IPsec技術に基づくVPN(以降、インターネットVPNとする)が何を実現し、導入した場合のメリットは何かについて、技術面よりむしろ管理運用面に重きを置いて記述する。

 前編では、従来のリモートアクセス実現方法であったRAS接続の留意点を考え、インターネットVPNがどのようにその問題点を解決できるのか、さらに、企業導入が進んでいるIP-VPNサービスとの比較を行い、差別化でなく併用について考える。後編では、企業がVPNゲートウェイを導入する場合に検討する必要があるポイントについて解説する。

外部からのアクセスニーズにこたえる「RAS接続」

 外出している社員が自社内のサーバに接続して業務を行いたいというニーズにこたえるため、企業では自社内にアクセスサーバとモデムプール(共用のモデム)を用意してリモートアクセス環境を構築してきた。RAS接続では、利用者はISDNやPIAFS(PHS Internet Access Forum Standard)などの公衆網を使用して組織内に接続する。公衆網は通信キャリアが管理するネットワークであるため、不正アクセスや盗聴などに対しては安全である。

 また、RAS接続では組織の内部にアクセスサーバを設置することにより、利用者端末からアクセスサーバ間はキャリアが提供する公衆網で接続するため、安全に内部のサーバにアクセスすることができる。

図1 企業内アクセスとISPアクセスとの違い 図1 企業内アクセスとISPアクセスとの違い

●欠点は、運用コスト

 RAS接続で一番問題となるのが運用コストである。RAS接続を運用していくためには、利用者の通信料とリモートアクセス環境に対する設備投資のコストを考える必要がある。

 通信コストは利用者端末とアクセスポイントまでの距離が離れるほど高額となる。距離が離れていなくても通信時間に比例して通信料がかかる。管理者の立場で考えた場合、利用者の使用頻度をとらえづらいため、月にどの程度の通信料を見積もればいいのか見当がつかない。

 さらに、リモートアクセス用のポート数をどの程度用意すべきかの設備試算も困難である。利用者の立場でも通信時間を気にしながら利用しなければいけなかったり、ポート数不足でなかなか接続できなかったり、フラストレーションがたまる。また、会社としては、リモートアクセスの費用対効果に疑問を抱く場合もある。

●セキュリティは大丈夫か?

 通信料を削減するため、企業では自社内にアクセスサーバを設置する代わりにISPが提供するアクセスポイントを使用して組織内に接続する方法を許可する場合がある。ISPのアクセスポイントを利用するメリットは、利用者の最寄りのアクセスポイントを利用できる点である。最寄りのアクセスポイントに接続することで、通信料は市内通話料金のみとなり、通信料の節約は可能である。

 しかし、逆にリモートアクセス時のセキュリティを懸念しなければならない。RAS接続の場合、接続時のユーザー認証は、CHAP(Challenge Handshake Authentication Protocol)、RADIUS/TACACS+などを利用して安全に行われるが、認証後のデータ通信に関しては利用するアプリケーションのセキュリティに依存する。つまり、ISPのアクセスポイントに接続した場合、公衆網により保護される部分が、利用者端末とISPのアクセスポイント間のみとなり、ISPから企業ネットワークの間は全く保護されないのである。

※CHAP(Challenge Handshake Authentication Protocol)

PPP(Point to Point Protocol)を使用してネットワーク接続を行う場合のユーザー認証プロトコルの1つ。

※TACACS+

アクセスサーバがリモートユーザーのIDとパスワードを受け取り、認証サーバに問い合わせ、認証の可否をアクセスサーバに伝えるという認証サーバ・プロトコルの1つ。米BBNが開発したTACACSを、米シスコシステムズが強化したもの。


 リモートアクセスで利用頻度が高いメールシステム(POPIMAPなど)では、組織内のメールサーバにログインするためのユーザー名やパスワードがインターネット上を流れることになる。そのため、ワンタイムパスワードなどを利用してパスワードの強化を行う。

 しかし、ワンタイムパスワードで対応できるのはログインプロセスのみであり、実際のメール本文の送受信に関しては平文のままインターネット上を流れてしまう。従って、RAS接続のみではセキュリティ面で企業での利用は困難である。これを解決するために暗号化メールの導入などが考えられるが、利用者個人個人に暗号化メールの利用を促すコストもまた無視できない。

End-to-Endのセキュリティを実現するIPsec

 上述したRAS接続のセキュリティ問題を解決するための技術がインターネットVPNである。インターネットVPNは、利用者端末とVPNゲートウェイ間のエンドポイント間で相互認証と暗号化によるセキュリティを実現する。

 また、IPsecはIP層に実装されている技術であるため、利用者が使用する上位層のアプリケーションには依存しない。IPsecを使用してVPN接続を行うと、エンドポイント間にVPNトンネルが生成され、そのトンネルを通過するすべてのアプリケーションデータに対してIPsecが提供するデータセキュリティが適用される。前述した例では、VPN確立後のメールサーバへのログイン時のユーザー名やパスワード、そしてメール本文も暗号化されて送受信される。

 IPsec技術は企業ですでに導入されているファイアウォール装置に組み込まれている場合が多いため、別に装置を購入しなくても構築できる。追加設備投資費用の削減にもつながる。

図2 エンドポイント間にVPNトンネルが生成され、IPsecが提供するデータセキュリティが適用される 図2 エンドポイント間にVPNトンネルが生成され、IPsecが提供するデータセキュリティが適用される

利用するアクセスインフラに依存しないIPsec

 最近ではDSLの爆発的な普及により利用者のリモートアクセス形態も変化してきている。RAS接続では、利用者は通信料という圧力からは最後まで解放されず、いままでは通信料を意識するため、リモートアクセスで利用するアプリケーションもメールの参照程度に限られていた(通信速度も低速であったこともあるが)。

 しかし、DSLの普及により、定額でつなぎ放題+高速通信という接続形態が可能となった。それにより、リモートアクセスで利用できるアプリケーションの幅が広がり、勤務形態までも変化してきている。

 PHSを使用したデータ通信においても定額制サービスが導入され、多くの企業ユーザーが利用するようになった。さらに、キャリアが提供するホットスポットなどの無線LAN環境も普及してきており、外出先での利用者にとって、利用できる通信方式の多種多様化が進んでいる。

 IPsec技術は、IPネットワークが提供されている環境であれば利用することが可能である。つまり、下位層でどのようなアクセスインフラを使用していてもIPsecは利用できるのである。

※注

この特集の中では詳細な記述はしないが、下位層のアクセスインフラのMTUサイズがIPsec接続に影響する場合がある。


IP-VPN網を使ったVPN環境

 通信キャリアが提供する閉域網を利用したIP-VPNサービスを使用してVPN環境を構築する企業が増加している。IP-VPNサービスを図3に示す。

図3 IP-VPNサービスの概要 図3 IP-VPNサービスの概要

 IP-VPNは通信キャリアによって提供される独立したネットワークを使用して実現されている(インターネットと異なるネットワークである)。利用する企業はキャリアのIP-VPNネットワークまでの接続を、専用線、DSLなどを使用して接続する。IP-VPN網内では、MPLS技術を利用したスイッチングネットワークが実現されており、従来のIPヘッダ情報に基づくIPルーティングより高速にパケットを転送することが可能である。

 IP-VPNサービスが企業に選択される理由として考えられる点は、VPN環境の管理や通信の帯域制御が可能である点である。IP-VPN網の維持管理の設備投資や運用管理はキャリアの責任範囲であり、企業導入で必ず要求されるパフォーマンスやシステムの安定性の実現もサービスとしてキャリアから提供される。また、ベストエフォート型のインターネットを利用したVPNと異なり、トラフィックの帯域制御が可能な点もメリットとして挙げられる。例えば、VoIPをインターネットVPN経由で利用する場合は、インターネットの混雑具合で音声品質や遅延などが発生する。

IP-VPNとインターネットVPNの併用

 現状IP-VPNサービスが企業ユーザーに注目されているが、インターネットVPNが勝っている点も多い。

●コスト

 IP-VPNサービスを利用した場合の運用コストは、IP-VPN網の利用料金と足回りのネットワークの接続料金が必要となる。インターネットVPNでは、通信料としてはISPのアクセスポイントまでの接続料金のみであり、さらにVPNゲートウェイにはすでに企業に導入されているファイアウォールを併用できる。

●セキュリティ

 IP-VPN網では、MPLS技術によるラベルスイッチングによりVPNを実現しているため、送受信されるデータに対するセキュリティは提供されない。従って、上位のアプリケーションにおいてセキュリティ対策を講じる必要がある。前述したようにインターネットVPNは、閉域網の実現方法自体が暗号化によるものであるため、エンドポイント間で送受信されるデータに対するセキュリティが提供される。

●接続性

 IP-VPNでは、VPNに参加する各サイトからIP-VPN網に接続する必要があるが、場所によってはアクセスポイントが存在しない場合もある。そのような場合IP-VPNサービスを利用できないため、ほかのリモートアクセス方法を利用して組織内に接続する必要がある。インターネットVPNではIPネットワークが実現するアクセスインフラが提供されれば利用できるため、場所に関する接続性制限は考えられない。

 しかし、IP-VPNかインターネットVPNのどちらかを選択しなければならないわけではない。併用することが可能である。例えば、サイト間で重要なデータを扱う場合、IP-VPNサービスとインターネットVPNを併用することが可能である。帯域制御を利用した通信品質維持のためにIP-VPNのメリットを利用し、エンドポイント間のデータセキュリティを実現するためにIPsec技術を利用する。さらに、機密情報を扱う場合は、暗号化ツールを利用してもよい。セキュリティの実現は必要に応じてマルチレイヤで実現できるのである。

図4 IP-VPNサービスとインターネットVPNの併用 図4 IP-VPNサービスとインターネットVPNの併用

 今回は、RAS接続とインターネットVPN、IP-VPNサービスをレビューすることで、IPsec技術が何を実現できるのか、その適用の可能性を記述した。最後に、いままでの述べてきたインターネットVPNの優位点と留意点をまとめておく。

●優位点

  • End-to-Endのセキュリティを実現
  • IPネットワークが提供されれば、下位層のアクセスインフラに依存しない
  • 上位のアプリケーションから透過的に利用可能
  • 低コストでの実現可能
  • すでに導入されているファイアウォールを併用できる

●留意点

  • 帯域制御が困難
  • 運用管理が企業自身に任せられる場合が多い

 次回は、企業がVPNゲートウェイを導入する場合に検討すべきポイントについて記述する。


Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。