自宅でもオフィスでも、ネットワークはもはや主流です。かつては、コンピュータはアプリケーションを実行するスタンドアロンマシンとして価値がありましたが、その時代は過ぎ去りました。インターネットにアクセスしたり、メールを受け取ったり、インスタントメッセージでチャットしたり、ファイル共有やソフトウェアに接続したりできないコンピュータは、高価な文鎮に過ぎません。
リモートコンピューティングとモバイルコンピューティングがトレンドになっていることは明らかであり、オペレーティングシステムは、どこからでも接続を維持し、生産性を維持するために必要なツールを提供することが重要です。マイクロソフトは、Windows 7に様々な新しいネットワーク機能を組み込んでおり、接続を簡素化し、ユーザーがどこから接続してもネットワークリソースにアクセスできるようにしています。ここでは、Windows 7に搭載されている革新的なネットワーク機能のいくつかを詳しく見ていきます(少し技術的な内容になる場合があります)。
ホームグループ
まず、主にホームユーザーとホームビジネス向けの機能強化から始めましょう。Windows 7では、Microsoftはホームグループの概念を導入しました。ホームグループ機能には、主に2つの目的があります。(1) ホームネットワーク上のコンピュータ間でファイルやリソースを容易に共有できるようにする、(2) 共有ファイルやリソースをゲストやワイヤレスネットワークの侵入者から保護する、というものです。
多くの家庭では複数のパソコンがあり、ユーザーは音楽や画像を共有したり、すべてのパソコンをネットワークに接続して1台のプリンターで印刷したりしたいと考えています。このようなローカルエリアネットワークはWindowsでは長年実現可能でしたが、言うは易く行うは難しで、ユーザーのフラストレーションを長時間招いてきました。
コントロールパネルからホームグループを開きます。「ホームグループの作成」をクリックしてプロセスを開始します。適切なチェックボックスをオンまたはオフにすることで、ホームグループで共有するファイルやコンテンツの種類を指定できます。
「次へ」をクリックしてホームグループを作成すると、Windows 7は他のユーザーがホームグループに参加してリソースを共有するために必要なパスワードを自動的に生成します。Windows 7 StarterおよびWindows 7 Home Basicバージョンではホームグループを作成できませんが、Windows 7のどのバージョンでもホームグループに参加できます。ホームグループという概念の大きな欠点の一つは、Windows 7でしか動作しないため、家庭内のWindows XPまたはWindows Vistaシステムは参加できないことです。
ホームグループを使用すると、ホームネットワーク上の信頼できるコンピューターとファイル、フォルダー、その他のネットワークリソースを共有するプロセスが簡素化されます。同時に、共有コンテンツやリソースへのアクセスを許可することなく、訪問者がワイヤレスネットワークに接続してインターネットにアクセスできるようにすることも可能です。また、不正なワイヤレス接続による共有リソースへのアクセスも防止できます。
VPN再接続
ローミングユーザーは、VPN(仮想プライベートネットワーク)を利用して、自分のコンピュータと社内ネットワーク間の安全な接続を確保しています。ユーザーがホテルの部屋や顧客先の会議室でVPN接続を確立した場合、接続を中断させるようなネットワークの問題がない限り、通常はPCは接続されたままになります。
しかし、移動中にワイヤレス ブロードバンド接続を利用して VPN 接続を確立するユーザーは、頻繁に接続が切断され、そのたびに VPN 接続を再認証して再確立するという面倒なプロセスに直面します。
VPN再接続機能により、Windows 7はインターネット接続が中断された際に、アクティブなVPN接続を自動的に再確立できます。Windows 7はインターネットに再接続するとすぐにVPNにも再接続します。インターネット接続が切断されている間はVPNは利用できません。再接続にはインターネットアクセスが再開されてから数秒かかりますが、VPN再接続により、ユーザーは必要なネットワークリソースへの接続を維持できます。
VPN再接続は、基本的にIKEv2(インターネット鍵交換)プロトコルを使用して鍵のネゴシエーションとESP(カプセル化セキュリティペイロード)パケットの伝送を行うIPSecトンネルです。ESPは、機密性、データ送信元の認証、そしてコネクションレス型の整合性を実現するIPSecセキュリティアーキテクチャの一部です。
通勤電車でVPN接続を介してストリーミングビデオを視聴しているような状況では、接続が切れるたびにバッファリングされたデータがすべて失われ、最初から最初からビデオを視聴し直す必要があります。IKEv2 IPSecトンネルとESPの機能により、再接続中にIPアドレスが変更された場合でも接続が維持され、VPN接続が切れた時点からストリーミングビデオを再開できます。
ダイレクトアクセス
自動的に再接続し、接続状態を維持するVPNよりも優れたものは何でしょうか?そもそもVPNが不要になったらどうでしょうか?DirectAccessは、リモートワークやローミングワークに直面するユーザーと管理者の両方にとって、Windows 7の最も魅力的で画期的な機能の1つです。
VPN接続を維持しながら社内ネットワークリソースにアクセスしようとするユーザーにとって、前述の問題に加え、ローミングユーザーも管理者にとって問題となります。ネットワークに接続されていないモバイルコンピューターは、セキュリティアップデート、ソフトウェアパッチ、グループポリシーアップデートの適用を受けられません。最終的に接続すればアップデートは適用されますが、リモートシステムでは重要なアップデートが数日または数週間も適用されない可能性があります。
DirectAccess は、Windows 7 システムがインターネットに接続できる限り、社内ネットワークと Windows 7 システム間の永続的でシームレスな双方向接続を提供します。DirectAccess を使用すると、リモート ユーザーやローミング ユーザーは、オフィスで直接ネットワークに接続している場合と同じように、社内共有、イントラネット サイト、社内アプリケーションにアクセスできます。
DirectAccessは双方向に機能します。コンピューターはインターネット接続を介してシームレスにネットワークにアクセスできるだけでなく、IT管理者はユーザーがログオンしていない場合でもDirectAccessクライアントコンピューターに接続できます。DirectAccessを使用すると、IT管理者はDirectAccessクライアントコンピューターがインターネットに接続されている限り、監視、管理、および更新プログラムの展開を行うことができます。
DirectAccess は認証と暗号化に IPsec を使用します。また、DirectAccess はネットワーク アクセス保護 (NAP) と統合することで、DirectAccess クライアントがネットワークへの接続を許可する前に、システム正常性要件に準拠していることを要求できます。IT 管理者は、DirectAccess を介したアクセスを制限したり、ユーザーや個々のアプリケーションがアクセスできるサーバーを構成したりできます。
IPv6上に構築
DirectAccess には IPv6 が必要です。DirectAccess 接続は、IPv6 が提供するグローバルにルーティング可能な IP アドレスを基盤として構築されています。IPv6 は以前から存在しており、ほとんどのシステムとネットワーク デバイスは IPv6 に対応していますが、IPv4 ネットワークの代替として IPv6 が実際に導入されるまでには長い時間がかかりました。
Microsoftは、IPv6がどこでも利用できるわけではないことを認識し、6to4、Teredo、ISATAPなどのIPv6移行ツールを活用できるようにDirectAccessを設計しました。ネットワーク内では、DirectAccessはNAT-PT(ネットワークアドレス変換-プロトコル変換)を利用して、DirectAccessとIPv4リソース間の接続を提供します。
DirectAccessは、スプリットトンネルルーティングを使用して、ネットワークトラフィックを宛先に基づいてインテリジェントにルーティングします。企業ネットワーク宛てのトラフィックのみがDirectAccessサーバーを経由してルーティングされ、パブリックインターネット上のリソース宛てのトラフィックは宛先に直接ルーティングされます。スプリットトンネルにより、不要なネットワークトラフィックによってDirectAccessサーバーのリソースが消費されることがなくなります。
Windows Server 2008 R2 が必要
DirectAccessはWindows 7システム上では単独では機能しません。DirectAccessはDirectAccessサーバーへの接続を必要とし、DirectAccessサーバーとはWindows Server 2008 R2を指します。DirectAccessサーバーには2つのネットワークインターフェイスカードが必要です。1つはパブリックインターネットに接続し、もう1つは社内イントラネットリソースへのアクセスを提供します。また、DirectAccessでは、インターネットに接続されたネットワークインターフェイスカードに、少なくとも2つの連続したIPv4アドレスが必要です。
前述のIPv6変換技術(6to4、Teredo、ISATAP)は、DirectAccessサーバーに実装する必要があります。認証とセキュリティに必要な証明書を発行できるのはPKI(公開キー基盤)環境のみであり、Windows Server 2008またはWindows Server 2008 R2上で稼働するDNSサーバーも必要です。
DirectAccessへの接続で問題が発生した場合は、適切なトラブルシューティングウィザードを使用して問題を特定し、解決することができます。「ネットワークと共有センター」を開き、 「問題のトラブルシューティング」をクリックします。次に、「DirectAccessを使用した職場への接続」ウィザードを選択してトラブルシューティングを開始します。
URLベースのQoS
組織がどれだけのネットワーク帯域幅を持っていたとしても、それが無制限ではないと考えるのは当然です。ネットワークにアクセスするユーザーが増えたり、ストリーミングオーディオやビデオなどの帯域幅を大量に消費するデータに接続するユーザーが増えると、ネットワーク帯域幅は徐々に消費され、最終的には使い果たされてしまいます。その結果、ルーターはデータをキューイングする必要があり、ネットワーク通信の速度が低下します。
内部ネットワークの容量が最大限に利用されていない場合でも、内部ネットワークと外部ネットワークが接続する箇所では、このようなキューイングが頻繁に発生します。内部ネットワークの速度が1Gbpsであっても、パブリックインターネットへの接続速度が10Mbpsである場合があります。内部ネットワークからのネットワークパケットはルーターによってキューイングされ、外部接続で帯域幅が利用可能になった時点で、先着順で送信されます。
しかし、すべてのネットワークの宛先が同じように作られているわけではなく、また同じように扱われるわけでもありません。注文処理に使用されるアプリケーションサーバーへのリクエストや、ミッションクリティカルなデータベースに送信されるデータは、例えばGoogleやFacebook宛のトラフィックよりも優先されるべきです。
管理者は、トラフィックの優先順位付けを行い、高優先度トラフィックが優先的に処理されるように、サービス品質(QoS)を設定できます。Windowsは送信パケットにDSCP(Differentiated Services Code Point)番号を割り当て、ルーターはこの番号を使用してパケットの優先度を判断します。ネットワークが混雑し、パケットがキューに滞留すると、デフォルトの先入先出(FIFO)機能がオーバーライドされ、高優先度パケットが最初に送信されます。
QoS機能は以前のバージョンのWindowsにも搭載されていましたが、特定のIPアドレスとポート番号に基づいて優先順位を割り当てる必要がありました。しかし、複数のWebサイトで同じIPアドレスが使用されている場合や、1つのWebサイトに複数のIPアドレスがある場合など、QoSの利用が困難な状況もありました。
Windows 7では、URLに基づいてQoSを設定できる機能が追加されました。管理者は、宛先サイトのIPアドレスとポート番号を正確に設定することなく、イントラネットアプリケーションや重要なWebサイトへのトラフィックを、優先度の低いトラフィックよりも優先して処理することができます(上記の最後の図を参照)。
URLベースのQoSは、ESPNやFacebookといったビジネスに関連しないサイトの優先度を意図的に下げるためにも使用できます。これらのURLに低い優先度を割り当てることで、これらのパケットは通常のトラフィックよりもさらに緊急性が低い状態で処理されるようになります。
注: Windows 7に関する詳しい情報については、PC WorldのWindows News and Tipsニュースレターにご登録ください。また、新しいオペレーティングシステムを最大限に活用するための包括的で分かりやすいアドバイスやヒントについては、PC WorldのWindows 7スーパーガイド(CD-ROMまたはダウンロード可能なPDFファイル)をご注文ください。
トニー・ブラッドリーは、10年以上のエンタープライズIT経験を持つ情報セキュリティとユニファイド・コミュニケーションのエキスパートです。 @PCSecurityNewsとしてツイートし、自身のサイトtonybradley.comでは、情報セキュリティとユニファイド・コミュニケーション技術に関するヒント、アドバイス、レビューを提供しています。
