拠点とクライアント、サーバーとクライアントを結ぶのが、リモートアクセスVPNである。管理されたネットワーク同士をつなぐ拠点間VPNとは違い、セキュリティ面で不安が残る。例えば、リモートアクセスをするクライアントが踏み台になってセキュリティ事故が起こる危険性がある。

 筆者もかつてリモートアクセスVPNをきっかけに、別のネットワークでまん延していたウイルスの侵入を許してしまった経験がある。発生源を調査したところ、まったく別のネットワークからリモートアクセスにより侵入したとわかり、大変なショックを受けた。

 この経験から、VPNに接続するクライアントは必ずウイルス対策ソフトを導入し、企業が管理している端末に限定すべきだと考える。またアクセスを受け付けるVPN装置でも、不正な接続要求や、怪しいアクセスを監視する必要がある。

使い勝手がよいSSH

 リモートアクセスVPNを実現する技術にはいくつかある。そのうちの1つは、拠点間VPNでも言及したSSL-VPNである。

 SSL-VPNと似た仕組みとして、SSHを利用するリモートアクセスVPNがある。SSHにはポートフォワードという機能が備わっており、これを利用してSSHサーバーを経由し、社内ネットワークに接続できるようにする(図3-1)。

図3-1●SSHを使ったリモートアクセスVPN
図3-1●SSHを使ったリモートアクセスVPN
SSHのポートフォワードを利用したSSHトンネルを利用する。アプリケーションをSSHクライアントが生成したポートに接続させることで、SSHサーバーとのトンネルを経由してサーバー背後のネットワークにアクセスさせる。SSL-VPNに似たVPNを専用の機材を使わずに構築できる。半面、SSHの接続やローカルプロキシーといった設定が必要になる。
[画像のクリックで拡大表示]

 クライアントでは、SSHのクライアントソフトがローカルプロキシーとして動作する。ローカルプロキシーの通信ポートを経由して、SSHサーバーまでトンネリングする仕組みになっている。使いたいアプリケーションの接続先をローカルプロキシーのポートにすると、ポートフォワード機能により、SSHサーバーへの経路が確保される。

 このSSHは、複数の用途のVPNに利用できるので便利だ。例えば、システム開発のために設置したSSHサーバーを、設備追加なしでリモートアクセス用のVPNゲートウエイとしても利用できる。

 またSSHによるVPNで通信できるのは、そのポートを使用するアプリケーションのみである。このため、前述したようなウイルスなどの不正プログラムが伝播する心配は少なくなるだろう。

 応用ワザとして、インターネットの通信規制が厳しい地域でのWebアクセスに利用するのも有効だ。通常のWebブラウザーの通信が止められてしまう場合でも、SSHトンネルを使えば回避できる。

▼SSH
Secure Shellの略。遠隔地にあるコンピュータと通信するためのプロトコル。通信データは暗号化する。
▼ポートフォワード
ローカルコンピュータの特定の通信ポートに送られたデータを、別のコンピュータの通信ポートに転送する仕組みのこと。
▼通信規制が厳しい地域
具体的には中国など。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。