加納 隼人氏 ヒューコム 技術本部 セキュリティプロダクト部

CATVやホットスポットからはダメ

 A社では,社員の自宅からのアクセスに関しては,ほぼ問題を解決した。しかし,一部の社員から,ホテルが提供するインターネット接続サービスや,ホットスポットでの無線アクセス・サービスからもリモート・アクセスしたいという要望が寄せられるようになった。

 これらのほとんどは,サービス提供者がNAPT機能付きのルーターを設置している。つまり,エンドユーザーは勝手にルーターの設定を変更できない。このため,会社にはリモート・アクセスできなかった。

 ごく一部だが,自宅の常時接続環境でインターネットVPNが使えないケースも残った。ルーターが1対1NATに対応していない場合や,NAPT機能付きのルーターをプロバイダ自らが設置して,エンドユーザーにプライベート・アドレスを割り当てるCATVインターネットのユーザーである。

 これらのケースでは,別にダイヤルアップ接続でインターネットにアクセスせざるを得なかった。

図2 ホットスポットなどで利用するためにA社はNATトラバーサルを導入
ホットスポットや一部のCATVインターネットは,サービス提供者がNAPT機能内蔵ルーターを設置するため,エンドユーザーが設定を変えられない。A社はVPNソフトにNATトラバーサル機能を追加して,どこからでもリモート・アクセスできるようにした。

NATトラバーサルですべて解決

 導入から半年ほどたったある日,VPN製品を購入したベンダーからA社に,ソフトウエアのバージョンアップの知らせが入った。説明によると,NAPTルーターを設定変更なしで通過する「NATトラバーサル」が新たにサポートされたという。

 NATトラバーサルは,IPsecパケットがNAPTを通過できるようにする技術。ESPパケットをUDPパケットでカプセル化する。ルーターはUDPパケットとして処理するため,NAPTを使っても通過に支障はない。ESPパケットはルーターが書き換えるUDPヘッダーの内側にあるため,VPNゲートウエイやVPNクライアントでのIPsec処理も問題ない(図2[拡大表示])。

 A社は,今度は様々な環境で試験を繰り返し,問題なく通信できることを確かめた。その上でVPNゲートウエイ,VPNクライアントのソフトを一斉にバージョンアップしてNATトラバーサルを導入した。NAPTの制限が無くなったA社では,自宅からだけでなく,SOHO(small office,home office)やホテル,ホットスポットなどからもアクセスできるようになった。

 たまたまA社は,購入したIPsec製品が新バージョンでNATトラバーサルに対応したため,問題を全面解決できた。現実にはNATトラバーサルを実装している製品は,今のところ限られている。現状では,ユーザーは製品を選択する際にNATトラバーサルの有無を確認する必要がある。ただ2001年にIETFのIPsecワーキング・グループが草案を作成しており,今後は標準準拠のNATトラバーサルを搭載した製品が一般化しそうだ。