自宅待機,出張の自粛,オフィスへの立ち入り禁止――。新型インフルエンザの流行次第で企業活動は大きな制約を受ける。円滑な事業の継続のためには,こうした制約を乗り越える何らかの対策が必要だ。その一つが社外から企業内のネットワークにアクセスし,どこにいても業務が続行できる環境を実現するリモート・アクセスの整備である。
無論,リモート・アクセスは疫病の流行対策のためだけに導入するものではない。ワークライフバランス(仕事と生活の調和)を考慮した働き方の模索,さらには2005年施行の「次世代育成支援対策推進法」による仕事と子育ての両立支援のための行動策定など,企業にとって多くの検討課題がある。リモート・アクセスは,こうした多様な働き方をサポートする有力な手段の一つでもある。
今回は,リモート・アクセスを実現するための機器の一つである「SSL-VPNゲートウエイ」を解説する。インターネットに接続したユーザーのパソコンから,社内のネットワークに安全にアクセスさせる機能を提供するものだ。
Webアクセスで使うSSLをリモート・アクセスで利用
SSL-VPNゲートウエイは,リモート・アクセスのセンター側に設置する機器である(図1)。通信の暗号化にはその名前の通りSSL(secure sockets layer)を使う。リモート・アクセスで使うVPNの方式にはIPsecもあるが,ユーザー側のパソコンに事前にソフトウエアをインストールしたり,企業側のルーターやファイアウォールの設定を変更しなければならなかったりといった点で,SSL-VPN方式よりも導入のハードルが高い。SSL-VPN方式は,ユーザーのパソコンにインストールされたWebブラウザを使って社内ネットにアクセスするのが基本である。専用ソフトをインストールするなどの手間が不要であり,導入のハードルは低い。
SSL-VPNゲートウエイと一口に言っても,ユーザーが利用するアプリケーションの種類によって,その接続方式は大きく3種類に分けられる。(1)Webアクセス(リバース・プロキシ),(2)ポート・フォワーディング,(3)トンネル接続(L2フォワーディング)――である(図2)。
(1)はWebアクセスを想定したもの。(2)はTelnetやメールなどTCP/UDPアプリケーションを想定したもの,(3)は利用アプリケーションを制限しない方式である。ユーザーがWebブラウザしか使わない場合は,(2)と(3)の機能はオーバー・スペックとなる。逆に社内で使っているクライアント・アプリケーションをリモート・アクセスでも使えるようにしたいとなると(2)や(3)の機能が必要になる。最近は(3)に相当する機能までを実装しているものが多い。一部提供する機能などは異なるが,例えば米ジュニパーネットワークスの「Secure Accessシリーズ」(SAシリーズ)の場合,(1)に相当する接続機能を「Core」,(2)に相当するものを「SAM(Secure Application Manager)」,(3)に相当する機能を「NC(Network Connet)」と呼ぶ。
以下で(1),(2),(3)を順に説明していこう。
(1)のWebアクセス(リバース・プロキシ)とは,SSL-VPNゲートウエイが内蔵するWebサーバー機能によって,ユーザーのパソコンからの接続要求を代理する方式である。まず,ユーザーのパソコン側のWebブラウザがSSL-VPNゲートウエイにアクセスし,そこからSSL-VPNゲートウエイが社内のWebサーバーにアクセスを中継。結果をWebページの形で返す。
ただし,この方式はWebブラウザが扱えるプロトコルだけが対象となる。SMTP/POP3を使ったメールなどは,そのままでは扱えない。そこで,SSL-VPNゲートウエイ側がWeb以外の社内サーバーにアクセスできるようにしているケースが多い。例えばメールの送受信を中継し,その操作画面や結果をWebページに変換する機能(Webメール機能)などが挙げられる。
