ビジネス・モビリティを加速する Nokia VPNソリューション

　スタイリッシュな携帯電話で有名なノキアは、ファイアウォール／VPNアプライアンスのマーケットシェアで約25％を持っていると予測されており（富士キメラ総研調べ：2004年7月）、ジュニパーやシスコらと3強の1角を成している。

デモブースでは真剣な表情で情報交換する光景がみられた

　ノキア・ジャパンでは2005年2月より、IPSec VPN「Nokia VPNソリューション」の展開を開始した。＠ITでは以前、ノキアのSSL VPN製品を紹介したことがある（「セキュリティとアクセシビリティを両立するNokia Secure Access System 3.0の実力」）。すでにSSL VPN製品を展開している同社が、改めてIPSec VPN製品も手掛ける意図はどこにあるのだろうか？

　ノキアの目指すVPN戦略のキーワードが3月10日に開催されたイベント「ノキアVPNソリューションセミナー」で明かされたのでお伝えする。

　「今日のビジネスにおいて、ユーザーは情報がなくては仕事ができません。情報、つまりさまざまなアプリケーションに対して、どこからでもアクセス可能なビジネス・モビリティを欲しているのです」。Nokia本社のシニアプロダクトマーケティングマネージャを務めるカーラ・スタニズラフジク（Kara Stanislawczyk）氏はこう語る。

カーラ・スタニズラフジク氏

　ノートPCや携帯電話・PDAを使って、移動中に、あるいは出先からリモートアクセスさせるだけでは、もはや不十分だ。ビジネスを加速させるためには、ある時は支店から、またある時は関連会社から、はたまた小売店のネットワークから、サイト-サイト間でのアクセスが不可欠だ。

　ノキアの目指すビジネス・モビリティとは、あらゆるデバイスから、あらゆるネットワークを通じて、セキュアに、あらゆる情報資産へのアクセスを実現するものだ。Nokia VPNソリューションは、そのためのバックボーンを提供するのだ。

　IPSec VPNがSSL VPNに押されている理由に、導入や運用の複雑さ、つまり管理コストの負担増が挙げられる。この弱点を克服したのが特許出願中の「Meta-Hop」技術だ。

　サイト-サイト間でのVPN網を構築した場合の管理の手間を大幅に削減するのが、「インテリジェントVPN」と呼ばれる2つの機能だ。4つの拠点（A、B、C、D）でメッシュ型のVPNネットワークを構築した例で機能を紹介したい。

　1つ目は「セルフ・ラーニング」。拠点Bにおいて新たなアプリケーションSを導入するためにサブネットを追加する必要が発生した。従来のやり方では、サブネットの情報を拠点Bのゲートウェイに登録した上で、そのほかの拠点（A、C、D）に対して「Sにアクセスするためには、ゲートウェイBを経由せよ」とルーティング情報を配布する必要があった。管理者は拠点の数だけ設定をし直す必要があり、時には設定忘れといった障害も発生する可能性が残されていた。セルフ・ラーニング機能では、ゲートウェイBはダイナミックルーティングで追加サブネットを自動学習し、それ以外の拠点へ情報を自動的に配信する。

　2つ目は「セルフ・ヒーリング」。これは、拠点CとDの間で何らかの通信障害が発生した場合、自動的に次に短い経路（例えば、拠点C→A→D）といった迂回路にリルートされる機能だ。その後、CとDの間の障害が解消されれば自動的に通常のルートへ戻される。

　スタニズラフジク氏は、「これらの機能により管理者は、予測不可能な事態への対応や管理の手間が大幅に削減されます。そしてなによりも、エンドユーザーからするとネットワーク上の変化に気付くことなくネットワークアクセスをし続けることができます」と利便性を強調する。

　ゲートウェイそのものの耐障害性も向上している。「IPクラスタリング」機能は、2台以上の機器をクラスター化し、1つのゲートウェイとして管理できるもの。「ダイナミック・ロード・バランシング」機能により自動的にトラフィックを最適化する。万が一、1台の機器に障害が発生した場合、残りの機器が自動的にセッションを維持したまま通信を継続させる（アクティブ・セッション・フェイルオーバー）。

　この機能を応用したのが、セッションを維持したままカーネルのアップグレードができる「ゼロ・ダウンタイム・アップグレード」だ。カーネルをアップグレードする場合、どうしても機器の再起動が必要になる。まず、アップグレードする機器は維持しているセッションを残りの機器に渡す。再起動が終われば、次の機器が持つセッションをそれ以外の機器が引き受け、順繰りにアップグレード作業を行う。管理者はアップグレードの開始時間を設定するだけだ。

　ノキアVPNソリューションのラインナップは、デスクトップ型の5i、10iと1/2Uサイズの50i、1Uサイズの100iが準備されている。2005年4月には2Uサイズの500iも投入される見込みだ。価格も意欲的なレンジに設定されており、必要な同時トンネル数に応じて機器を導入すればよい。IPSecとSSLの2種類のVPN製品を手掛けることになったノキアは、「お客様のニーズに応じて、IPSec VPNにもSSL VPNにも対応できる」と自信をのぞかせる。

　IPSec VPNが敬遠された理由に、端末側に専用のエージェントソフトの導入が必要だったことが挙げられる。しかし、2005年4月からはWindows 2000／XPに標準でインストールされているVPNクライアントソフトが使えるようになり、この問題も解決する。

　また、日本では発売されていないが、ノキアは「Communicator」と呼ばれるビジネス向けモバイル端末を持っている。携帯電話を含めたこれらモバイル端末は、将来的には「Nokia Mobile VPN Client」を搭載できる端末として日本でもリリースされる可能性があり、一層ビジネス・モビリティは加速することになるだろう。

　ノキアは、決してSSL VPNからIPSec VPNへと時代を逆行しているのではない。IPSec VPNをさらに進歩させ、時には両者を組み合わせながら、ユビキタスネットワークを実現させようとしているのである。