プロキシ・サーバーで解決
このような状況で,浮かんできた別の案が「リバース・プロキシ」を利用する方法だ。ここで言うリバース・プロキシとは,既存システムに対するアクセスを一度受け取り,正しいアクセスと判断した場合にのみ,通信を中継することを意味している。ムラテック情報システムの谷口正直氏(システム技術部 課長代理)は,たまたまファルコンシステムコンサルティングの認証ソフト「WisePoint」の説明を受けた際に,「この製品を利用すれば,すべての要件を満たせるのではないか」と思いついた。
WisePointは,シングル・サインオンを実現する認証ソフト。リバース・プロキシとして動作するので,WisePointを村田機械内にあるTMTマシナリーのLAN上に置けば,IP-VPNのパスの定義変更は不要になる。WisePointがユーザーのアクセスを一度受け取り,そこから村田機械のLAN上にある既存システムにアクセスする形態になるためである(図2[拡大表示])。
WisePointのアクセス制御機能を利用すれば,セキュリティの問題も同時に解決できる。ユーザーごとにアクセス可能なURLを制限できるほか,ユーザー認証に複数のパスワード方式を利用できる。TMTマシナリーでは,半角英数字のパスワードと,Jパスワードと呼ぶ日本語のパスワードの2つを併用することにした。
既存システムに接続できない
WisePointを使った2つのWebシステムは2003年9月にカットオーバーできたが,導入時には若干のトラブルも発生した。既存のWebシステムにうまく接続できないのだ。コンテンツに含まれるハイパーリンクを絶対パスで記述していたのが原因だった。
絶対パスになっているため,ユーザーがリンクをクリックすると村田機械のLAN上にある既存Webシステムに直接接続しようとしてアクセスに失敗する。リンクを相対パスで記述していれば,常にリバース・プロキシ経由でアクセスすることになるので,こうした問題は起こらない。この件に関しては,リンクに含まれるURLをリバース・プロキシあてのURLに自動変換する機能をWisePointに追加して解決した。
ページが文字化けする問題も発生した。原因をいろいろ調査してみると,HTMLフォームのSubmitをGETリクエストで送信した場合にのみ文字化けが発生することが分かった。正確な原因は不明だが,POSTリクエストで送信した場合は文字化けが起きないため,POSTリクエストで送信するようにWebアプリケーションを変更して対処した。
IPsec関連のトラブル対応に苦労
このほか,「出張先や自宅からもメールを読めるようにしたい」という要望が多く,社外からインターネットを介してIPsecでリモート・アクセスできる環境を2003年3月に用意した。しかし,実際に導入・運用してみると,接続できないトラブルが多発し,対応に苦労した。
原因の例としては,(1)VPN装置がプールしているIPアドレスが枯渇した,(2)Windows XPのファイアウォール機能やQoS(Quality of Service)機能が有効になっていた,(3)IPsecクライアントをインストールしてからPHSカードのドライバなどをインストールした――などがある(図3[拡大表示])。
(1)のトラブルは導入当初に発生した。VPN装置がプールしているIPアドレスの数がもともと少なかった上に,VPN装置の障害でIPアドレスがすぐに解放されなかったのが原因である。VPN装置の障害を直すと同時に,プールするIPアドレスを増やすことで対処した。当初は200人の利用者を想定して20個のIPアドレスを設定していたが,利用者が300人程度に増えたため,30個に増やした。
(2)では,IPsecクライアントをインストールしたWindows XPでファイアウォール機能やQoS機能が有効になっていると接続できなくなる。これらの機能を無効にすれば解決できるわけだが,原因が分かるまでに苦労した。
(3)は,IPsecクライアントのインストール後に他のドライバを追加すると接続できなくなることがある問題。PHSカードのドライバなどをインストールした場合は,IPsecクライアントを再インストールする必要がある。
当初はこうしたトラブルの原因調査や解決に時間がかかったが,徐々に問題となりやすいポイントが分かってきた。今ではスムーズに対処できるようになっている。