大島 耕二氏 ネットマークス ネットワークセキュリティ事業部 セキュリティ技術室長
|
|
図3 B社が検討したインターネットVPNの営業拠点側の機器構成 ADSLを利用する拠点側では,VPN専用装置を使うかどうかに加えて,PPPoE(point-to-point protocol over Ethernet)の終端方法で構成のパターンがいくつかあった。B社は,拠点から直接インターネットへアクセスすることを想定しているため,VPN機能付きのファイアウォールを導入した。 |
拠点側は運用管理のしやすさを重視
次に拠点側での構成と機器を選定した。拠点側のネットワークは,ファイアウォールを利用していなかった。このため,(1)VPN機能付きルーター,(2)VPN機能付きファイアウォール,(3)VPN専用機――の3種類のいずれかを使う構成が想定できた(図3[拡大表示])。(1)のルーターは安価であるものの,ソフトウエアで暗号化/復号化を処理するため低速な製品が多いという難点があった。(2)のファイアウォールは,VPNだけでなくアクセス・コントロールが容易でログ収集機能も優れているが,比較的高価。(3)のVPN専用機は,ハードウエアで暗号化/復号化処理をするため高速で,専用の管理ソフトが用意されている場合も多く集中管理が容易,といった特徴がある。
B社は将来,拠点から直接インターネットにアクセスすることを予定している。この場合,各拠点にファイアウォールが必要になる。また,拠点側に詳しい技術者がいないことを考慮して,VPN機能付きのファイアウォール装置を利用することにした。
B社が選んだ製品は,すべての機能が1台の機器に統合されたアプライアンス型で,安価ながら暗号化/復号化をハードウエア処理している。しかも,PPPoE機能も標準装備されており,別途PPPoE機能を持つルーターを用意する必要もなかった。
