IPネットワーク上に仮想的なLAN環境を作り出し,外出先から社内のLANに手軽に接続できるソフト「SoftEther」。筑波大学の学生である登大遊氏(ソフトイーサ会長)が2003年末に公開して話題を集めたが,ユーザー企業の反応は批判的なものが目立った。セキュリティ・ホールができるとの理由から,社員の利用を禁じる事例が相次いだ。

 SoftEtherを開発した登氏はその後,認証機能やスループットを強化した後継版として「PacketiX VPN」を開発。また,フリービットも類似の機能を備えた「Emotion Link」を販売している。本稿ではこれらを総称して「SoftEther型のソフト」と呼ばせていただく。

 しかし筆者は最近,「企業がSoftEther型のソフトを再評価する動きが出てくるのではないか」と思うようになっている。単にソフトの機能強化が進んだからだけではない。企業のLANのセキュリティ水準が高まってきたことを取材を通じて実感しており,実はこのことが,SoftEther型のソフトのセキュリティを高めることにもつながっているからだ。

LANの認証システムでSoftEther搭載端末を識別

 当初,SoftEtherが問題視された最大の理由は,ネットワーク管理者がその無断利用を検知できなかったことだ。HTTPS(HTTP over SSL)を使ってファイアウォールを越えるため,Webブラウザなどによる通信と同じように見える。不正な端末に接続されたとしても,ほとんど防ぎようがなかった。

 しかし最近は少し状況が変わってきた。企業の方では認証VLANを応用した検疫ネットワークを導入するケースが増えている。信頼できない端末を接続させないことで,ウイルスなどが社内ネットワークにまん延するのを防ぐ仕組みだ。

 この仕組み,SoftEther型のソフトで外部から接続してくる端末にもそのまま適用できる。仮想的なイーサネットで社内ネットワークとつながるため,認証システムからはLAN上の端末と同じように見えるのだ。

 このように,「SoftEther型のソフトの利用を禁止する」だけでなく,「LANのセキュリティを高め,信頼できる端末に限ってSoftEther型のソフトの利用を認める」という,より積極的なセキュリティ対策を企業が打てるようになったのだ。

NECが管理を強化した新方式の製品を9月に投入

 こうした企業のLAN環境の変化を捉え,大手ベンダーからもSoftEther型のリモート・アクセス・システムを発売する動きが出てきた。NECが9月に発売を予定する「SecureBranch」がそれだ。

 SecureBranchの開発コンセプトは,「社内ネットワークを正しく管理している企業が,そのポリシーをリモート環境にも広げられるようにすること」(丸山巌・第二コンピューターソフトウェア事業部統括マネージャー)と明快だ。

 特徴は,ソフトを組み込んだ端末の通信経路を企業の拠点経由だけに限定すること。端末に導入するソフトが「カーネル・ファイアウォール」と呼ぶ機能を搭載。DHCP(dynamic host configuration protocol)など,リモート・アクセスに必要な一部プロトコルを除いてすべて遮断する。ユーザーの不用意なアクセスや端末に対する外部からの攻撃を防ぐ。

 こうすることでSecureBranchでは,端末と社内ネットワークとの間にVPNを確立してからは,すべて社内を経由した通信となる。インターネット上の外部サーバーにアクセスする際も社内経由だ。インターネットに直接アクセスできてしまう他のシステムよりも,セキュリティ・レベルが高い。

 SoftEther型のソフトは,「どこからでも自席に居るようにLANのアプリケーションを利用できる」という,業務の生産性向上につながる利便性を提供する。「適切な管理さえできれば,大ヒットしてもおかしくない」と筆者は思っていた。管理を強化したNECのSecureBranchなどに企業の注目が集まれば,ヒットの可能性は一段と高まる。