ほとんどの企業では、状況により、1人または複数のユーザーがフルタイムまたはパートタイムで在宅勤務をせざるを得なくなる時が来ます。また、経営者や従業員にとって、自宅や(残念ながら)休暇中から会社のリソースを利用できる方が単に便利な場合もあります。
このようなリモートアクセスを実現する最適な方法は、VPN(仮想プライベートネットワーク)です。VPNを使用すると、企業ネットワークの外部にあるコンピューターを、あたかも社内にいるかのようにネットワークに接続し、ファイル共有、アプリケーション、プリンターなどの社内リソースにアクセスできるようになります。VPNの種類によっては、外部のPCがネットワークにアクセスするためにクライアントを必要とするものもあれば、SSL(Secure Sockets Layer)を使用し、クライアントをインストールせずに機能するものもあります。また、一部のVPN設定では、これらの接続方法の両方が利用可能です。
非常に小規模な運用、例えば自宅から会社のコンピュータ1台に1人だけが接続するようなオフィスでは、完全なVPNは必ずしも必要ではありません。代わりに、https://www.pcworld.com/downloads/file/fid,8177-order,1-page,1/description.html や https://www.pcworld.com/downloads/file/fid,24507-order,1-page,1/description.html のようなリモートデスクトップアクセスアプリを使用すれば、オフサイトユーザーは会社のコンピュータ1台に接続できます。ただし、業務上複数のリモート接続が必要な場合は、完全なVPNを使用する方が適している場合があります。
IPSec VPN
IPSec VPNは、リモートシステム上のクライアントアプリケーションと企業ネットワーク上に配置されたVPNターミネータを介して、安全なリモートアクセスを提供します。多くの場合、VPNターミネータは企業ネットワークをインターネットから保護するファイアウォールを兼ねていますが、スタンドアロンデバイスとして使用される場合もあります。このデバイスは、グループ名やパスワード(「共有シークレット」とも呼ばれます)など、特定のセキュリティ基準を満たすVPN接続を許可するように構成されています。クライアントがVPNデバイスの設定と完全に一致するように構成されていない場合、接続できません。
クライアントがVPNデバイスで指定された設定に一致する場合、クライアントは初期接続に成功しますが、アクセスする前にネットワークへの認証を受ける必要があります。これは通常、VPNデバイス自体、またはMicrosoft Active Directoryが設定されているネットワーク上で設定されたユーザー名とパスワードです。いずれの場合も、IPSec VPNでは、リモートシステムが企業ネットワークへのアクセスを許可される前に、2種類の認証が必要です。また、ほとんどの場合、リモートクライアントのVPN設定は、クライアントにインポート可能な特定のファイルを通じて配布されます。その後、ユーザーはVPNに接続し、ユーザー名とパスワードを入力してアクセスできるようになります。
一部のオペレーティングシステムには、IPSec VPNクライアントが既にインストールされています。例えば、Mac OS Xは、Ciscoなどの既存のIPSec VPNデバイスに接続できます。Windowsシステムでは、このサービスを提供するためにサードパーティ製のVPNソフトウェアを利用するのが一般的です。多くのモバイルデバイスも、汎用的なIPSec接続をサポートしています。
PPTP VPN
PPTP(ポイントツーポイントトンネリングプロトコル)VPNは、MicrosoftがWindows 95で初めてこのプロトコルを実装して以来、存在してきました。しかし、プロトコル自体のセキュリティ上の問題により、近年では利用されなくなっています。一部のVPNデバイスは、Windows 95以降のすべてのWindowsバージョンと同様に、現在もPPTP接続をサポートしています。Mac OS Xと一部のスマートフォンもPPTP接続をサポートしています。
PPTP がまだ存在し、VPN 終端デバイスがこのプロトコルをサポートしている可能性はありますが、より安全な IPSec または SSL VPN (下記参照) を検討することをお勧めします。
SSL VPN
SSL(Secure Sockets Layer)VPNは、一般的に「クライアントレス」VPNとして知られているため、人気が高まりました。つまり、リモートコンピュータに企業ネットワークに接続するためにクライアントを事前にインストールする必要はありません。多くの場合、リモートユーザーがWebブラウザを開き、https://vpn.mycompany.comなどの事前定義されたURLに接続すると、SSL VPNトンネルが作成されます。プロバイダーからDNSサービスを受けていない場合は、このURLが単なるIPアドレスになる可能性があることに注意してください。
リモートユーザーはユーザー名とパスワードの入力を求められます。認証されると、VPNに接続するためのアイコンがあるWebページが表示されます。アイコンをクリックすると、SSL VPNデバイスから小さなアプレットがダウンロードされます。このアプレットはユーザーのコンピュータ上で実行され、VPNクライアントとして機能します。つまり、IPSec VPNのようにクライアントを事前にインストールする必要がなく、将来SSL VPNにアクセスする際にアプレットを再度ダウンロードする必要もありません。
場合によっては、このクライアントは永続的であり、SSL VPN URL に接続せずに実行できますが、他の実装ではブラウザが機能する必要がある場合もあります。
この形式のVPNは、IPSecと同様に完全なネットワーク接続を許可しますが、「ファット」IPSecクライアントやIPSec接続情報を必要としないため、リモートユーザーへの導入が容易になる可能性があります。一方で、IPSecにある二次認証がないため、懸念事項となる可能性があります。
VPNオプションの比較
VPN製品を購入する際、1つのデバイスで複数のVPN接続オプションを提供している製品があることに気づくかもしれません。また、QuickVPNのように、他のVPN規格と互換性のない独自のVPNタイプを提供しているベンダーもあります。これらのソリューションは確かに機能するかもしれませんが、後々のメンテナンスが困難になる可能性があり、PCやモバイルOSのバージョンが異なるなど、多くのクライアントデバイスとの互換性が劣る場合が多くあります。こうした独自のVPNソリューションの使用を検討している場合は、使用する予定のすべてのオペレーティングシステムをサポートしていることを確認してください。
デバイスによっては、IPSecとSSL VPNの両方のオプションを提供するものもあれば、SSLのみ、またはIPSecのみのものもあります。予算に余裕があれば、両方のオプションを備えたデバイスを購入する方が賢明です。そうすることで、より多様なリモートデバイスがネットワークに接続できるようになります。PCとMacだけを心配しているのであれば、ベンダーが使用しているすべてのオペレーティングシステムのバージョンをサポートしている限り、SSLのみ、またはIPSecのみを選択しても問題ありません。
場合によっては、この VPN デバイスは 200 ドル以下で入手できることもありますが、もう少し費用をかけてより高性能なソリューションを購入すると、長期的にはメリットが得られ、将来的にネットワークを停止させる可能性のある機器の故障の可能性も軽減される可能性があります。
実装
VPN を設定する上で最も重要な点の 1 つは、インターネット接続に静的 IP アドレスが割り当てられていることを確認することです。多くのビジネスクラスのケーブルおよび DSL 接続では動的アドレス割り当てが採用されており、インターネット接続の IP アドレスは定期的に変更されます。IP アドレスが変更されると、リモート ユーザーは新しいアドレスが分からず、接続できなくなります。ほとんどのビジネスクラスのケーブルおよび DSL プロバイダーは、静的 IP アドレスのオプションを提供しています。これにより、リモート ユーザーは常にネットワークに接続できるようになります。VPN プランを進める前に、プロバイダーにこのオプションをリクエストしてください。同時に、リモート ユーザーをサポートするための十分なアップストリーム帯域幅があることを確認してください。アップロード速度が遅いと、リモート ユーザーが感じるネットワーク速度に大きな影響を与えます。
選択したデバイスがファイアウォールとしても機能する場合もあります。既にファイアウォールをご利用の場合は、そのデバイスを引き続きご利用いただけますが、いくつか追加の問題が発生する可能性があります。例えば、ビジネスクラスのインターネット接続で固定IPアドレスを1つしか使用していない場合、VPNデバイスを既存のファイアウォールの背後に接続する必要があり、設定が非常に複雑になります。ただし、選択したVPNデバイスのファイアウォールが十分な性能を備えている場合は、そのファイアウォールを使用する方が適切かもしれません。そうすれば、既存のファイアウォールの背後にVPNを接続する手間が省けます。
VPN の設定自体はベンダーによって異なりますが、ほとんどのデバイスにはファイアウォールと VPN 機能の両方を設定できる Web ベースのユーザー インターフェイスがあり、ウィザード形式の簡単な設定方法が用意されている場合もあります。
VPN が稼働すると、リモート ユーザーは何千マイルも離れた場所にいても、社内ネットワークに安全に接続し、オフィスにいるかのように利用可能なすべてのリソースを使用できるようになります。
