− 第2回 −
リモートネットワーキング
分散拠点からのセキュアで高効率なリモートネットワークを構築
業務の効率化や競争力の強化に向けて全社的な情報活用が企業の命題になる中、本社・支社などの主要拠点のみならず、遠隔地の小規模拠点や社外の営業担当者なども社内システムへ安全・快適にアクセスできるリモートネットワークの整備が不可欠になっています。これを実現するためには、リモートアクセス時のセキュリティの確保をはじめ、トラフィック管理、サーバの安定稼働などのさまざまな要件が求められます。そこで、VPN(Virtual Private Network)や負荷分散、帯域制御、効率的な運用管理などのネットワーク技術を中心にリモートネットワーキングの動向を解説します。
ブロードバンドやWebシステムの導入でリモートアクセスを再検討
昨今のe-ビジネスやブロードバンドの急拡大は、企業のビジネス活動を変貌させる一方、企業ネットワークにも大きな影響を与えています。各地に分散するリモート拠点や取引先などからブロードバンドを介して社内システムへ大容量データの送受信が可能になり、WANのトラフィックが増える傾向にあるのです。従来、主要拠点を中心にネットワークを運用管理していればよかったIT管理者も、リモートネットワークの再検討が求められています。
例えば、Webベースの統合業務システムを導入してリモート拠点を含めた業務の効率化を図ったり、あるいは営業担当者が訪問先からノートPCやPDAを用いて商品の在庫を照会したり、見積もりを提示するといった営業支援システムを構築する企業も少なくありません。さらに基幹システムやメール、グループウェアなどの情報系アプリケーションに加え、音声をIPネットワーク上で送受信できるVoIPなどのミッションクリティカルなアプリケーションがWAN上に統合されるようになるなど、リモートネットワークの利用形態も高度化、複雑化しています。
そして、ネットワーク拡大とともに肥大化する通信コストの削減や、基幹系、情報系を問わず大容量化するWebアプリケーションへの対応、リモートアクセス時のセキュリティの確保、モバイルなど多様なアクセス手段の対応、業務環境の変化に応じたネットワークの拡張など、さまざまな課題を解決していく必要があります。
本社・支社などの主要拠点ではIP-VPNや広域イーサネットなどの通信サービスを用いて高速・広帯域のWANを構築している企業でも、通信コストを考慮して狭帯域のISDNなどを従来のとおり利用するケースが珍しくありません。実際に、これだけブロードバンドネットワークが普及している今日でも、地方の小規模拠点はISDN接続という企業がまだまだ多いのです。しかし、今までデータ量が比較的少ない基幹データのバッチ処理やメールの送受信などで利用しているときにはそれほど問題にならなかった狭帯域の回線が、今後は大容量のWebアプリケーションなどの利用拡大がボトルネックになり、リモートユーザーの生産性を低下させることにもなりかねません。
図1 IPsec-VPN
セキュアで高速なリモートアクセスを支援するIPsec-VPN
こうしたリモートネットワークの課題を解決する手段のひとつとなるのがブロードバンドアクセスを活用したVPNです。インターネット上に仮想的にパケットを通すトンネルを設けてデータを暗号化することで、あたかも専用線のようにセキュアなIP通信が行えます。通信事業者などが提供するサービスを利用せずに企業がVPNを構築する場合、IPsec(IP security protocol)を用いるIPsec-VPNのほか、近年は通信データを暗号化することができるSSL(Secure Socket Layer)を利用するSSL-VPNも使われだしています。
IPsecは、鍵管理手順など複数のプロトコルを総称したもので、インターネット技術の標準化組織IEFT(Internet Engineering Task Force)が策定。IPパケットを暗号化、カプセル化する手順を規定したESP(Encapsulation Secure Payload)、IPパケットの認証を規定するAH(Authentication Header)、認証方式や暗号方式のデータ構造を示すSA(Security Association)などのプロトコルで構成されます。
IPsecは、VPN専用装置やVPN対応ルーター、ファイアウォールなどに実装され、主要拠点とリモート拠点との間のサイト間接続のほか、VPNクライアントソフトをインストールしたPCからのセキュアなリモートアクセスを実現。上位アプリケーションを変更することなく認証と暗号化が行える利点があり、多くの企業に導入されています。
固定IPアドレスを用いるIPsec-VPNは、ブロードバンドルーターに搭載されたプライベートアドレスとグローバルアドレスを変換するNAPT(Network Address Port Translation)機能により、通信が遮断されてしまうという問題も指摘されていました。そこで、IPsecの暗号化パケットをNATPを通さずに指定のプライベートアドレスに転送するVPNパススルーや、IPsecのパケットをNAPTが対応するUDP (User Datagram Protocol)にカプセル化するNATトラバーサル技術に対応するブロードバンドルーターが各種提供され、IPsecのNAT越えを可能にしています。
