インターネットを利用する際、本当に安全を確保したいですか?もしそうなら、仮想プライベートネットワーク(VPN)がおすすめです。
VPNは、あなたとオフィス、VPNプロバイダー、あるいは自宅との間に、インターネット上に安全な「トンネル」を構築します。なぜVPNが必要なのでしょうか?Firesheepのような使いやすいプログラムを使えば、あなたのメールの内容、Facebookページへの投稿、オンラインでの購入内容などを簡単に覗き見されてしまうからです。しかし、VPNを使えば、この仮想トンネルを通してインターネットを閲覧できるので、他人の目に触れることなく、インターネットトラフィックは暗号化されます。
外出先でWi-Fiネットワークにアクセスしたいだけで、自分の行動を他人に知られたくない場合でも、リモートワークのチームがインターネット上で安全に業務を遂行できるようにしたい場合でも、ニーズに合ったVPNが見つかります。このガイドでは、初心者、パワーユーザー、IT部門向けにVPNの基本を解説します。
初心者向けVPN
VPNサービスを受ける最も簡単で費用のかからない方法は、会社、学校、または組織からサービスを受けることです。外出する機会が少ない場合は、IT部門に問い合わせて、全ユーザーにVPNサービスを提供しているかどうかを確認してください。提供されている場合は、問題ありません。企業向けVPNソフトウェアをインストールして設定するだけで、すぐに利用できます。次にPCの電源を入れたら、Webサーフィンを始める前にVPNアプリケーションを起動してください。
IT部門にVPNがない場合、あるいはIT部門自体がない場合はどうでしょうか? 残念ながら、心配はいりません。最近では、https://www.pcworld.com/downloads/file/fid,148877-order,4/description.html、Black Logic、LogMeIn Hamachi、StrongVPNなど、多くのVPNプロバイダーが有料サービスを開始しており、一般的に月額15ドルから20ドルです。詳しくは、3つの個人向けVPNサービスの比較をご覧ください。
どのように選べばいいのでしょうか?サービスにオンラインフォーラムがある場合は、顧客が投稿した内容を確認してください。電話やメールで問い合わせて、担当者が対応してくれるか確認しましょう。一般的に、規模が大きいほど良いです。小さな会社であれば、個人としては問題ないかもしれませんが、中小企業に必要なサポートは提供できない可能性があります。
プライバシー保護だけでも努力する価値があるのでしょうか?はい、そうです。しかし、VPNには他にもメリットがあります。例えば、カナダにいる場合、通常Huluでアメリカのテレビ番組を視聴することはできません。しかし、VPNを使ってアメリカのIP(インターネットプロトコル)アドレスを取得すれば、番組にアクセスできるようになります。
一部のVPNプロバイダーは、匿名でのウェブ閲覧という別のメリットも提供しています。これにより、追跡されることなくインターネットを自由に閲覧できます。ISPがhttps://www.pcworld.com/downloads/file/fid,23523-order,1-page,1/description.htmlなどのVoIP(Voice over Internet Protocol)アプリケーションなどの一部のアプリケーションをブロックしている場合は、VPNを使用することで制限を回避できます。
これらのVPNサービスは、まさにあなたが求めているもののように思えるかもしれません。しかし、すべてのサービスが同じ品質というわけではありません。サービスに十分なVPNサーバー(厳密にはVPNコンセントレーター)がない場合、顧客数に対応できるほどのVPNサーバー(厳密にはVPNコンセントレーター)が不足し、インターネット速度が低下したり、接続が全くできなくなったりする可能性があります。
そのため、VPNサービスに加入する前に、顧客の声をよく確認してください。さらに良いのは、会社が無料トライアル期間を提供している場合、ニーズに合わないサービスにお金を支払う前に、その期間を試してみることです。
次のページ: パワーユーザーのためのVPNの基礎
パワーユーザーのためのVPNの基礎
外出中にインターネット接続を遮断したいですか?もしそうなら、もちろんVPNを使うのが最善の策です。VPNを提供できる企業に勤めているなら、それで問題ありません。しかし、小規模なビジネスや自宅オフィスを経営している場合でも、選択肢はあります。
独自のVPNを安価に構築する方法はいくつかあります。月額15~20ドルのVPNサブスクリプションサービスに支払う以外にも、DD-WRTやOpenWRTといったオープンソースの代替ルーターファームウェアを使って、ルーターにVPNサーバーをインストールできるかもしれません。このファームウェアを使えば、多くのWi-FiルーターやアクセスポイントをVPNエンドポイントとして利用できるようになりますが、すべてではありません。
ルーター上のVPN
Wi-Fiハードウェアに代替ファームウェアをインストールする前に、それがサポートされていることを確認してください。小規模なVPNを設定するためだけに、ワイヤレスデバイスを「文鎮化」させて使えなくしてしまうような事態は避けたいものです。DD-WRT対応デバイスリストまたはOpenWRT対応デバイスリストを必ず参照してください。これらのリストはすべて開発中であるため、新しいルーターやアクセスポイントを購入した場合は、頻繁に確認してください。
ハードウェアの寿命を自分で管理したくない場合は、Buffalo Technology の WZR-HP-G300NH AirStation Nfiniti Wireless-N High Power Router などの一部のルーターには、DD-WRT がすでにインストールされています。
VPNサーバーソフトウェア
Windows(XPからWindows 7まで)やMac OS Xなど、一部のデスクトップOSにはVPNサーバーソフトウェアが付属しています。確かにこれらは非常にシンプルなVPNですが、必要な機能をすべて備えている場合もあります。もちろん、Windows Serverファミリーには、より高度なVPN設定が付属しています。Windows 7クライアントとWindows Server 2008 R2のみを使用している場合は、DirectAccessの使用も検討すると良いでしょう。DirectAccessは、一般的なIPv4ベースのLANやインターネット上でIPv6経由で動作する高度なIPSec VPNです。
DirectAccess を使用せず、Microsoft の従来の VPN テクノロジーを利用する場合、Windows Server 2008 R2 には便利な新機能「VPN 再接続」が搭載されています。その名の通り、インターネット接続の中断によって VPN セッションが中断された場合、自動的に再接続を試みます。この機能は、Wi-Fi 接続が不安定なユーザーにとって便利です。ネットワーク接続が再確立された後、手動で VPN に再接続する必要がなくなるためです。
小規模ネットワークにVPNを追加するもう一つの方法は、VPNサーバーソフトウェアを自分でインストールすることです。最もよく知られているのはオープンソースのOpenVPNです。Linux、Mac OS X、Windowsなど、ほぼすべての一般的なデスクトップオペレーティングシステムに対応したバージョンが利用可能です。
ネイティブのOpenVPNの設定がご自身やスタッフにとって少し技術的すぎると思われる場合は、VMwareまたはWindows Virtual Hard DiskのOpenVPN仮想アプライアンスとして実行できます。この構成であれば、数分で基本的なVPNを構築して運用できます。
しかし、OpenVPNは唯一のVPNソフトウェアではありません。他に検討に値するプログラムとしては、NeoRouterやTincなどがあります。VPNサービスや多機能ネットワークサービスソフトウェアパッケージ以上のものをお探しなら、オープンソースのVyatta(Core 6.1)を強くお勧めします。VyattaにはOpenVPNが含まれています。
VPNアプライアンス
ただし、VPN に同時に 12 人以上のユーザーが接続する予定の場合は、Juniper Networks SA700 SSL VPN アプライアンス、SonicWall Secure Remote Access シリーズ、Vyatta 514 などの安価な VPN ハードウェア アプライアンスを使用することをお勧めします。
どのVPNを使用する場合でも、ファイアウォールでVPNトラフィックを許可する設定をする必要があります。多くのルーターやファイアウォールでは、VPNパススルーを設定してVPNトラフィックを許可するだけで済みます。一般的には、PPTP(ポイントツーポイントトンネリングプロトコル)、L2TP(レイヤー2トンネリングプロトコル)、SSL(セキュアソケットレイヤー)のいずれかを選択できます。使用するVPNプロトコルのみを許可してください。ファイアウォールで不安な場合は、許可するよりも禁止する方が安全です。
VPNのドキュメントを確認し、どのポートを開く必要があるかを確認してください。SSL VPNの場合、通常はSSLで保護されたWebサーバーでよく使用されるポート443が使用されるため、このポートはすでに開いているはずです。
当然のことながら、どのようなVPNを運用していても、ネットワーク設定がどうであっても、中小企業におけるVPNはユーザーの速度を制限する可能性があります。例えば、私の自宅オフィスでは、チャーターケーブルのインターネット接続で下り25Mbps、上り3Mbpsの速度を実現しています。つまり、OpenVPNサーバーに接続する際のリモートネットワーク接続の速度がどれだけ速くても、最大スループットは3Mbpsに制限されてしまいます。
中小企業がVPN接続の遅さに困惑しているのを何度も見てきました。これは通常、ユーザーも社内のITスタッフ(多くの場合、同じ)も、インターネット接続の計算上、VPNルート上の最も遅いリンクがVPNの最高速度を決定することを理解していないために起こります。本当に高速なVPNが欲しいなら、思い切ってISPからハイエンドのインターネット接続を取得する必要があります。
次のページ: IT部門におけるVPNのニーズとVPNプロトコルの基礎
IT部門向けVPNの基礎
本格的な企業VPNを運用しているなら、エンドユーザー向けVPNサービスもソフトウェアベースのVPNサービスも、その役割を果たせないことは既にご存知でしょう。確かに、数十台のOpenVPNやWindows Server 2008 R2マシンを投入して対応することも可能ですが、速度が十分でないだけでなく、管理も非常に面倒です。数百から1万以上のアクティブなVPNトンネルを同時に運用する必要がある場合、最先端のVPNハードウェアか、国内トップクラスのVPNサービスに頼る必要があります。従来、そうしたVPNサービスはCisco、F5 Networks、Juniper Networksといった大手ネットワーク企業に頼ってきました。
この時点で、2つ目の種類のVPN、つまりインターネット経由で複数のオフィスや支社を安全に接続するためにVPNを使用する状況についても懸念されるかもしれません。このVPNでは、MPLS(マルチプロトコルラベルスイッチング)、VPLS(仮想プライベートLANサービス)、L2VPN(レイヤー2仮想プライベートネットワーク)などの技術を用いて、データセンター、本社、支社を1つの仮想的なネットワークに統合します。
もし、そのようなVPNについて考え始める必要があるなら、私の言うことを聞くべきではありません。仮想WAN(広域ネットワーク)を正しく構築するには、一流のネットワークエンジニア、あるいはもっと良いのは資格を持ったネットワークアーキテクトを見つける必要があります。ここでミスをすると、会社に数十万ドルの損害が発生したり、絶対にダウンさせたくない時にWANが台無しになったりする可能性があります。全社的なビデオキャストが天空の巨大なビットバケットに送られた理由をCEOに説明したいですか?私はそうは思いません。
企業向けリモートアクセスVPNは、たとえ大規模なものであっても、小規模なものと同じ技術を使用しています。違いは完全に規模にあります。
企業全体で独自のVPNを管理するには、CiscoやJuniperなどの高価な(5桁から始めて、そこから徐々に価格を上げていく)VPNアプライアンスとサーバーを基盤として構築する必要があります。そうでしょうか?
一般的には、高価なブランドVPNコンセントレータを使うべきだと言われていますが、他のベンダー、特にVyattaはそうではないと主張しています。Vyattaは、Vyatta 3500シリーズ ルータ&ファイアウォール(2009年後半に発表)を皮切りに、10Gbpsのルーティングをシスコの同等製品と比べて大幅に低価格で提供しています。
例えばVPNに関して言えば、Vyatta 3500は最大8000の同時IPSec VPNトンネルを最大900Mbpsで処理でき、価格は約6000ドルです。一方、同等のCisco ASR 1006をセットアップすると10万ドル以上かかります。Vyatta製品は同等の性能なのでしょうか?私自身はテストしていませんが、Vyattaを導入し、満足している企業を知っています。もっと言えば、この価格なら、少なくとも試してみる価値はあるのではないでしょうか。景気は回復の兆しを見せているとはいえ、CFOやCIOが6桁のハードウェア購入を喜んで承認するほど、景気は良くありません。
もちろん、VPNのニーズを満たすためにアウトソーシングを検討してもよいでしょう。かつてはややリスクの高い選択肢でしたが、近年ではAT&TやVerizonなどの大手通信会社が国内および国際VPNサービスを提供し始めています。こうしたサービスの料金は安くありませんが、エンタープライズレベルのVPNを自社で維持するのも同様に高額です。費用対効果を重視するネットワーク設計者は、VPNのアウトソーシングオプションを慎重に検討するでしょう。
VPNプロトコルガイド
VPN は、さまざまなプロトコルを使用して、インターネット経由で安全な「トンネル」を作成します。
PPTP(ポイントツーポイントトンネリングプロトコル):このプロトコルはWindowsで初めて使用されましたが、セキュリティ機能は組み込まれていません。通常、MPPE(Microsoft Point-to-Point Encryption)プロトコルと組み合わせて安全なVPNを構築します。「安全」と言いましたが、PPTP(別名PP2P)は長らくセキュリティ面での評判が悪かったのです。幸いなことに、PPTPは徐々に衰退し、より安全なプロトコルに置き換えられつつあります。
L2TP(レイヤー2トンネリングプロトコル): MicrosoftはCiscoと協力し、2回目の実装ではより優れたセキュリティを実現しました。L2TPはIPSecセキュリティと組み合わせることで安全性が大幅に向上し、Windowsの最新バージョンすべてで採用されています。L2TPはMac OS XやLinuxでもサポートされており、Openswanなどのプログラムが利用可能です。
SSL VPN(Secure Socket Layer VPN):ここ数年、OpenVPNの人気の高まりもあって、SSL VPNはより一般的になってきました。主要なオペレーティングシステムに対応したSSL VPNクライアントが利用可能です。
