セキュリティもメンテナンスもアウトソース beatで楽々インターネットVPN

　昨今のビジネスにおいてインターネットの活用は当たり前のことになっている。自社ドメインを利用したメールアドレスを全社員に配布したり、Webサイトを公開して自社のPRに努めたりと利用方法はさまざまだ。

　特に注目されているのがVPN（Virtual Private Network）だ。これは、文字通り“仮想的（Virtual）”な“専用回線（Private Network）”を導入するものである。VPNを構築すると、本社と支社のそれぞれの社内LANを1つの大きなLANのように接続したり、ノートPCを持った営業スタッフが営業先から社内ネットワークにアクセスし在庫のチェックをリアルタイムで行ったりと、業務効率を上げられるのだ。

　このようなIT化を推進するときにネックとなるのがコストの問題だ。コストといっても金銭面だけではなく導入コスト、運用コストも視野に入れるべきだ。まず機器の選定や購入から始まり、購入した機器を実際に組み合わせてネットワークを構築しなくてはならない。無事にネットワークが構築できたとしても、業務を滞らせないためには24時間365日の安定運用が求められる。ウイルスや不正アクセスといったセキュリティ面での対策も必須だ。当然、ネットワーク管理者もしくはセキュリティ管理者と呼ばれる専門のスタッフを雇う必要もあるだろう。

　そのような問題を一気に解決するのが、富士ゼロックスが展開するブロードバンド対応ネットワークアウトソーシングサービス「beat」だ。beatでは、インターネット（ISP）と社内ネットワークとの入り口にbeat-boxという専用サーバを設置する。サーバといっても、設置や設定、運用さえも富士ゼロックスがまかなってくれるので専門的な知識は不要だ。当然、専任の管理者も必要ない。

	インターネットVPNとは何か

　VPNと呼ばれる仮想専用線ネットワークは、暗号化されたセキュアなネットワークだ。例えば、拠点間のLAN同士を接続し1つのネットワークのような感覚で業務が遂行できたり、社外から社内LANへのリモートアクセスで接続するという利点を持つ。また、仮想専用線という名前が示す通り、通信コストの高い専用線に替わるものであり導入も簡単だ。

　ちなみに、専用線の月額利用料金は約3万円以上、通信速度は64kbpsから6Mbps程度である。昨今のADSL回線の月額利用料金は数千円程度であり、通信速度は8Mbps以上だ。beatはインターネット回線を利用するVPNなので、回線利用料を大幅に引き下げることができるのがご理解いただけるだろう。

　VPNには暗号化の方法や利用するネットワークにより、いくつかの種類が存在する。beatはインターネットVPNと呼ばれるものに分類される。＠ITが2004年5月に実施した調査によれば、回答者の33％がインターネットVPNを導入しており、17％が2004年度中に導入する予定だと答えている。

富士ゼロックス オフィスサービス事業本部ブロードバンド事業開発部の榎木勝美氏

　インターネット上にデータを生のまま流すと盗聴される危険があるため、IPSecやPPTP、L2PTと呼ばれる技術を使い通信を暗号化する。beatの場合は、富士ゼロックスが独自に開発した暗号を用いている。富士ゼロックス オフィスサービス事業本部ブロードバンド事業開発部の榎木勝美氏によれば「暗号の強度は3DES（IBMが開発した暗号方式）と同等か、それ以上のものです」という。ちなみに3DESとは、1977年に米国政府標準技術局（NIST）連邦情報処理基準に採用されたDESという暗号方式を3重に適用して強度を高めたものだ。

　インターネットVPNの場合、企業ネットワークの入り口にあたるゲートウェイに専用の機器を設置する。beatの場合、beat-boxがそれにあたる。これで、社内・社外を問わずどこからでもイントラネットの閲覧や業務アプリケーションを利用できる。技術的にはネットワーク層レベルで仮想的なネットワークを構築する汎用性の高いVPN方式だ。

　VPNのセッションを張る場合には、ハブとなる拠点（通常は本社）のbeat-boxだけがグローバルIPアドレスを持っていればよい。また、グローバルアドレスは固定である必要は無い。「セッションが切れている時が一番セキュリティ的に危険です。beat/connectの場合、独自の非公開鍵を用いて、beat-noc（ネットワークオペレーションセンター）が許可した接続要求のみをハブ拠点につなぐ形になるので、成りすましなどの不正な接続はありえません」（榎木氏）。

　各拠点からの最大接続数は250人、VPN全体では1000人まで対応する。接続可能な拠点数はハブ拠点を含めて100カ所で、スポーク拠点間の接続はハブ拠点を経由して行われる。

beat/connectを使った拠点間接続

	リモートアクセスの活用でさらに業務をスムーズに

　VPN導入の利点に、社外からのリモートアクセスが挙げられる。いまや社員一人一人がノートPCなどのモバイル端末を持つことは当たり前のこととなっており、取引先や自宅から社内ネットワークに接続してメールを閲覧したり、ビジネスデータを確認したりと業務の効率を格段に向上させている。これを実現するオプションサービスがbeat/accessだ。

　beat/accessでは、富士ゼロックス独自開発の認証技術を使いbeat接続仲介サーバが認めた利用者と端末だけが、社内ネットワークに接続可能となる。インターネット上を流れるデータは128ビット鍵を利用し盗聴などによる情報漏えいを防ぐ。固定グローバルIPや専用線は不要で、最大利用者数は250名（同時接続50名）となっている。

　社外からメールを確認するだけならば、beatモバイルメールサービスがお勧めだ。これは、ネットビレッジ社が提供するリモートメールサービスと、beatが持つ強固なセキュリティ機能を組み合わせたサービス。着信通知機能によりリアルタイムに会社のメールを携帯電話で確認可能で重要なメールを見逃さない。

　また、このサービスは携帯電話へメールを転送するのではなく、Webメールでメールサーバを閲覧する方式となっている。そのため、データの外部への漏えいリスクを最小限に抑えられる。現在、beatモバイルメールサービス無料キャンペーンが実施中だ（2005年3月31日まで）。

	強いセキュリティと管理者いらずの理想的な環境を実現

　beatはオールインワンのアウトソーシングサービスだ。インターネット回線の契約から機器の導入、ネットワークの構築といったインフラ周りの手配から、24時間365日のネットワーク監視といった本来専任のネットワーク管理者が行う業務も代行してくれる。

　何のセキュリティ対策もしないでインターネットに接続することは非常に危険だ。あるウイルス対策ベンダの調査では、生身のままインターネットに接続したPCは15分程度でウイルスに感染してしまうという。警察庁が毎月報告しているインターネット治安情勢の2004年12月分によれば、侵入検知システムから上がったアラート数は約4万3500件にも達する。アラートの中身はさまざまだが、ポートスキャンと呼ばれる攻撃準備行為は日常的に行われている。

　＠ITが2004年11月に調査したアウトソーシングサービスの利用意向では、セキュリティ業務への期待が高い。その内訳には、ウイルス対策管理（53％）、不正侵入検知／防止（47％）、ファイアウォール管理（43％）などが挙げられている。beatならば、これらすべてに対応している。

beat-boxはLinuxをベースに富士ゼロックスの独自技術が詰まったオールインワンサーバ

　beat-boxには、独自技術を採用したファイアウォールが搭載されている。beatの場合、外部から内部へのアクセスを一切許可しない完全遮断方式を採用している。不正アクセスを許さないだけでなく、Blasterのようなネットワークに接続しているだけで感染するようなウイルスに対しても高い防御力を持つ。

　また、beat-boxへのPingが行われても返答しない。このため、beat-boxの存在は外部から分からないようになっている。つまり、悪意のあるユーザーが何らかの方法でbeat-boxに振られたIPアドレスを入手したとしても攻撃する余地がないのだ。

　通常、ファイアウォールの運用や不正侵入への対応を行う専任のネットワーク管理者（セキュリティ管理者）が必要だ。管理者には専門的な知識が求められるが、多くの中小企業においては一般社員が兼業していることが多い。そのため、問題が発生した場合に迅速な対応をすることが難しいのが実情だ。

　beatでは、インターネット上に設置されたbeat-nocがbeat-boxの状態やネットワークの状況を24時間365日監視してくれる。新手の不正アクセス方法が発見された場合の対策や、最新のウイルス定義ファイルへのアップデートなども自動的に行ってくれるためユーザーが管理者を用意する必要がない。

　ウイルス対策には法人向けのウイルス対策エンジンとして定評のあるSophos社の製品をbeat専用にカスタマイズしたものが導入されている。榎木氏によれば、「去年の実績では、ウイルス定義ファイルの更新は1日に2回程度、自動的に行われました。また、最新のファイルがリリースされてから5分以内にアップデートは完了しました」という。

　ウイルス対策でネックになっているのが、このウイルス定義ファイルのアップデートだ。ウイルス対策ソフトは、ウイルス定義ファイルが最新のものになっていなければ役に立たない。管理者も人間であり「つい、うっかり」定義ファイルのアップデートを怠ってしまったことからウイルスに感染してしまうことが多いのだ。それは管理するPCの台数が多ければなおさらだ。beatでは、自動的に最新のものにアップデートされているので非常に安心だ。

　もちろん、クライアント側にもウイルス対策ソフトを導入し2重のウイルス対策を施すことでより安全になる。この場合には、オプションサービスとしてコンピュータ・アソシエイツ社の「eTrust InoculateIT」が用意されている（月額200円／1アカウント）ので利用したい。

　万が一、トラブルが発生した場合には、beat-nocがトラブルを検知しbeatコンタクトセンターに通知される。そして、トラブルの原因がネットワークにあるのか、それともbeat-boxにあるのかなどを診断し、必要に応じてエンジニアの派遣を行う。もちろんユーザー側で分からないことや困ったことが発生した場合の問い合わせにも応じる。

beat/basic導入イメージ

	高い拡張性で、beatに何でもお任せ

　beat-boxはISPと社内ネットワークをつなぐ機器だ。では、ISP選びはどうしたらいいのか？ 結論からいえば、NTT東西が提供しているフレッツADSLやBフレッツといった一般的なブロードバンド回線を利用できる。beatでは固定のグローバルIPアドレスを必要としない。基本オプションサービスのbeat/ispを利用すれば、煩雑な電話回線の申し込みやプロバイダーとの契約も代行してもらえる。

　社内からのWebの閲覧やメールのやり取りなどは、すべてbeat-boxを通じて行われる。すでに述べたように、beat-boxにはウイルス対策エンジンが搭載されているため、外部からウイルスが入り込むことはない。万が一、持ち込んだノートPCやUSBメモリーなどのメディアの中にウイルスが潜んでいたとしても、ウイルスメールを外部（取引先など）に送信してしまい会社の信用を失うこともない。

　標準サービスに含まれているbeat/idcを利用すれば、メールサーバを自社内で運用することなく、社員に自社ドメインのメールアドレスを割り振ることができる（最大250個）。また、Webサーバもbeat/idcで運用してくれるため、簡単に自社のWebサイトを公開することも可能だ。「ホームページ作成ツール」も提供されるため、HTMLの知識がなくともWebサイトを更新できる。それぞれのサーバの運用はbeat/idcが担当し、24時間監視を行っている。ちなみに、自社ドメインの取得代行サービスもオプションで提供されている。

◆　◇　◆

　以上、駆け足でbeatの特徴を紹介した。ポイントとしては非常に強固なセキュリティ、専門の管理者いらず、VPNやリモートアクセスによる業務効率アップなどが挙げられる。また、導入に関しても事前の準備から設置に至るまで富士ゼロックスのbeat専任スタッフが全てサポートしてくれるので、専門知識や手間を必要としない。

　ウイルスは日常的な脅威として理解され始めてきたが、不正アクセスも日々行われている。「まさか、うちの会社は狙われないだろう」というのは油断であり、万が一問題が発生したら大損害をこうむる（金銭的な損害だけでなく、社会的な信用を失う）。企業ネットワークを常にセキュアに保つことは非常に難しい。それゆえ、大企業では専任の管理者を用意するのだ。それをbeatが代わりに管理してくれるのだから、安全なうえ、人件費や教育コストを下げられる。

　インターネットの導入と一言でいっても、さまざまなハードウェア、ソフトウェアを準備しなくてはならない。また、昨今ではセキュリティポリシーが重要とされている。複数のポイントソリューションそれぞれにポリシーを反映させる作業は、専門の管理者にとっても骨の折れる作業だ。複数のポイントソリューションを購入し、組み合わせて使うための総コストを考えると、beatのようなオールインワンのソリューションは安上がりといえよう。

　beatの基本サービスであるbasicは、月額1万8800円だ。この価格設定自体、意欲的な低価格であるが、すでに述べたような人的コスト、機器の導入コスト、セキュアな運用コストを考えると価格以上のメリットが得られるだろう。