拠点とクライアント、サーバーとクライアントを結ぶのが、リモートアクセスVPNである。管理されたネットワーク同士をつなぐ拠点間VPNとは違い、セキュリティ面で不安が残る。例えば、リモートアクセスをするクライアントが踏み台になってセキュリティ事故が起こる危険性がある。
筆者もかつてリモートアクセスVPNをきっかけに、別のネットワークでまん延していたウイルスの侵入を許してしまった経験がある。発生源を調査したところ、まったく別のネットワークからリモートアクセスにより侵入したとわかり、大変なショックを受けた。
この経験から、VPNに接続するクライアントは必ずウイルス対策ソフトを導入し、企業が管理している端末に限定すべきだと考える。またアクセスを受け付けるVPN装置でも、不正な接続要求や、怪しいアクセスを監視する必要がある。
使い勝手がよいSSH
リモートアクセスVPNを実現する技術にはいくつかある。そのうちの1つは、拠点間VPNでも言及したSSL-VPNである。
SSL-VPNと似た仕組みとして、SSH▼を利用するリモートアクセスVPNがある。SSHにはポートフォワード▼という機能が備わっており、これを利用してSSHサーバーを経由し、社内ネットワークに接続できるようにする(図3-1)。
クライアントでは、SSHのクライアントソフトがローカルプロキシーとして動作する。ローカルプロキシーの通信ポートを経由して、SSHサーバーまでトンネリングする仕組みになっている。使いたいアプリケーションの接続先をローカルプロキシーのポートにすると、ポートフォワード機能により、SSHサーバーへの経路が確保される。
このSSHは、複数の用途のVPNに利用できるので便利だ。例えば、システム開発のために設置したSSHサーバーを、設備追加なしでリモートアクセス用のVPNゲートウエイとしても利用できる。
またSSHによるVPNで通信できるのは、そのポートを使用するアプリケーションのみである。このため、前述したようなウイルスなどの不正プログラムが伝播する心配は少なくなるだろう。
応用ワザとして、インターネットの通信規制が厳しい地域▼でのWebアクセスに利用するのも有効だ。通常のWebブラウザーの通信が止められてしまう場合でも、SSHトンネルを使えば回避できる。
Secure Shellの略。遠隔地にあるコンピュータと通信するためのプロトコル。通信データは暗号化する。
▼ポートフォワード
ローカルコンピュータの特定の通信ポートに送られたデータを、別のコンピュータの通信ポートに転送する仕組みのこと。
▼通信規制が厳しい地域
具体的には中国など。