先日,米Aventailという会社のEvan Kaplan社長兼CEOから同社の製品デモなどを交えて話を聞いた。同社はVPN[用語解説] 関連のソフトウエアやアプライアンス製品を開発しているのだが,そのコンセプトがちょっと面白い。
VPNには,インターネットなどを介して本社と支社をつなぐLAN間接続用途と,会社のLANと個人のパソコンをつなぐリモート・アクセスVPNがある。個人ユーザーもADSLなどで常時インターネットとつながる環境が増えてきたため,最近ではリモート・アクセスVPNを導入,あるいは検討している企業も多い。
このリモート・アクセスVPNに利用されるプロトコルの代表は,LAN間接続でもよく利用されているIPSec[用語解説] だ。通常,クライアントのパソコンにVPNクライアント・ソフトをインストールして使う。
IPSec導入は一筋縄では行かない
ただ,VPNクライアント・ソフトはクライアントOSごとに違うものを用意しなければならない。しかも,動的にIPアドレスが割り当てられるクライアントとつなぐ場合や,ブロードバンド・ルーターが持つアドレス変換機能を使う場合,IPSecでVPNを作ろうとしてもなかなかうまくできないことがある。
最近ではBBルーターやクライアント・ソフトがこうした問題を解決できるように少しずつ改良されつつある。でも,専用ソフトをユーザーのパソコンに入れさせてサポートするのは,システム管理者にとって面倒なことに変わりはない。
そもそも,IPSecでリモート・アクセスVPN環境を整えたとしても,一般ユーザーに社内ネットワークのすべてのリソースにアクセスを許可するような設定はしないはず。管理者にはすべてのアクセスを認めるかもしれないが,一般ユーザーにはメールの読み書きと特定のサーバーへのアクセスだけしか許さないように,フィルタリングするのが一般的だろう。
メールの読み書き程度ならWebで十分
この程度の使い方なら,IPSecでVPNを張るほどでもない。メールの読み書きはWebブラウザから読み書きするWebメールで済ませられる。ファイル・サーバーにアクセスするにしても,ゲートウエイとなるWebサーバーが社内のファイル・サーバーの共有フォルダをマウントしておけば,ファイルの読み出しくらいは簡単にWebサーバーを介してできる。
つまり,Webサーバーをインターネットと社内ネットワークのゲートウエイとして設置し,インターネットから社内へのアクセスはWebサーバーが代行するような使い方である。こうすれば,クライアント・ユーザーは普通のWebブラウザを使って社内ネットワークにアクセスでき,管理者の手間が大幅に減る。これなら,iモードなどに対応した携帯電話機の簡易Webブラウザからでも社内ネットワークにアクセスできる。
その上で,インターネット上の通信をSSL[用語解説] で暗号化しておけば,IPSecを使うVPNとほぼ同等のセキュリティが確保できる。これが,冒頭で紹介した米Aventail社のコンセプトだ。“SSL VPN”と言うそうだが,似たようなコンセプトはファイアウオール・ベンダーの最大手であるイスラエルのCheck Point Software Technologies社もVPNソフトのVPN-1に実装している。
こうした専用のゲートウエイ製品を使わないでも,中小規模のシステムなら自前で何とかなる。メールの読み書き程度ならメール・サーバー・ソフトのオプションとして用意されていることも多い。Exchange Serverやロータス ノーツなどがそう。これに共有フォルダの読み出しを加えれば,多くのケースでSSL VPNはできあがる。
(三輪 芳久=日経NETWORK副編集長)
