連載
» 2003年08月08日 00時00分 UPDATE

最適インフラビルダーからの提言(2):外出先からのリモートアクセスVPN、どれがお得?

[大宅宗次,@IT]

 自宅や外出先などオフィス以外の場所から会社のネットワークへ接続するリモートアクセスは、会社の規模や業種によらず要望が高い。会社のメールやWebサーバ、ファイルサーバにさえアクセスできれば、どこにいてもオフィスと同じ環境で仕事ができるという人も少なくないだろう。企業にとってリモートアクセス環境を社員に提供することは、拠点間を接続するネットワークの構築と同様に重要である。

 リモートアクセスの主流がまだダイヤルアップだったころ、企業にとっては、接続によって従量課金される通話料の負担が大きかった。実際、不況の影響で従来のダイヤルアップのリモートアクセス環境を閉鎖した企業もある。拠点間ネットワークの主流が専用線から安価なVPNサービスに移行する中で、リモートアクセスの主流もインターネットVPNなどを用いたより安価な方法、通称リモートアクセスVPNに移行しつつある。そして現在では、このリモートアクセスVPNの構築方法には実に多くの選択肢があるため、どれを選べばよいか分からない人も多いのではないだろうか。

 ここでは、通信事業者のサービスを活用する例や自前で構築する例などさまざまなリモートアクセスVPNの構築方法を紹介し、導入を検討しているユーザーに最適なものはどれかを探してみる。

自前のVPN装置でインターネットVPNも

 リモートアクセスVPNの前にまずインターネットVPNの導入方法を紹介する。

 ご存じのとおりインターネットVPNとは、インターネット上でIPsecなどのトンネリング技術を用いてVPNを実現する方法だ。拠点間のネットワークでIP-VPNや広域イーサネットを利用するより、さらに安価な方法として導入している企業も多い。

 コスト的に有利なインターネットVPNの導入方法は2つある。1つはISPが提供しているインターネットVPNサービスを利用する方法。もう1つは、ISPからインターネット接続サービスだけを借りて、自前でVPN装置を接続してインターネットVPNを構築する方法である。

 ISPのインターネットVPNサービスを簡単に表現すると、通常のインターネット接続サービスとVPN装置の設置、保守を含むレンタルサービスがバンドルされているサービスである。

 見方を変えると、あるISPのインターネットVPNサービスを利用した場合、すべての拠点がそのISPのインターネット接続サービスを利用することになる。トラフィックはそのISP内のネットワークだけを通るので、VPNサービスとして帯域などを多少は保証できるというわけだ。

自由な複数ISP組み合わせか、安全な単一にするか

 ISPの提供するインターネットVPNサービスの場合、広い意味でのインターネットを経由しているのではない。一方、自前でインターネットVPNを構築する場合は、文字通りインターネットを使ったインターネットVPNとなる。

 こちらは場合によっては複数のISP、ある意味本当にインターネットを経由することになるので帯域の保証などはあきらめた方がいい。しかし、ISPを限定されないので自由に組めるメリットがある。例えば異なるISPを使用している取引先や協力会社などとのエクストラネットの構築には好都合だ。

 もちろん、異なるISPを選択する必要がなければ、自前でも単一のISPのインターネット接続サービスを使って構築することをお勧めする。

会社側−リモート側のISPの相性を考える

 ここで、リモートアクセスVPNの仕組みをみていこう。基本的には拠点間のインターネットVPNと同じだ。ただし、VPN装置を持ち歩くわけにはいかないので、VPN装置の代わりにPCにVPNクライアントソフトをインストールして使用する。そして何らかの方法でインターネットに接続、インターネットを経由してどこかの拠点のVPN装置に接続する。

 自社の拠点がISPのインターネットVPNサービスを利用している場合でも、リモートアクセスVPNでは、異なるISP経由での接続が前提となる。例えば、自宅のPCからリモートアクセスVPNで接続するとして、自宅のADSL接続プロバイダが、拠点のISPとは違う場合が多いだろう。

 そのため、自社の拠点間で使用しているインターネットVPNサービスが、こうした他社のISPからインターネットを経由して接続するリモートアクセスVPNサービスに対応しているかどうかが重要だ。対応していれば拠点間のインターネットVPNとリモートアクセスVPNのVPN装置を共有する安価なネットワークを構築できるからだ。

 例として、NTTコミュニケーションズのOCNビジネスパックVPNやSo-netインターネットVPNや日本テレコムのODNマネージドVPNなどが、このリモートアクセスVPNサービスに対応している。

ユーザーアカウント変更コストに注意せよ

 ただし、リモートアクセスVPNに対応していないとされるISPのインターネットVPNサービスも、公には宣伝していないが技術的には対応可能な場合や、案件ごとに相談という場合もあるので問い合わせてみるとよい。もちろん、自前でインターネットVPNを構築している場合は、拠点間でもリモートアクセスでも、異なるISPを経由した接続に問題はない(図1)。

図1 リモートアクセスVPNを利用するためには、拠点間で利用しているインターネットVPNサービスが、他社のISPからのアクセスに対応している必要がある 図1 リモートアクセスVPNを利用するためには、拠点間で利用しているインターネットVPNサービスが、他社のISPからのアクセスに対応している必要がある

 リモートアクセス対応をあまり積極的に公表していないISPもあるが、対応していたとしても料金を公表していないISPも多い。よって、具体的なISPのサービス名で比較できなくて残念だが、リモートアクセスVPNの料金体系はさまざまなパターンがある。利用するクライアントの数によって決まる体系や、クライアントソフトのダウンロードサイトへのアクセス権を購入するパターンなどがある。注意すべきは、あるユーザー数まで対応可能なライセンスを初期費用として買い取るタイプや、月額費用として徴収するタイプだ。

 また、ISPが使用しているVPN装置のクライアントソフトがもともと無料である場合、リモートアクセスVPNの追加料金はない、というサービスもある。というのも、リモートアクセスVPNを受けるどこかの拠点のVPN装置が拠点間接続にも共用されている場合、その拠点ではより多くのトンネル数の対応と帯域が必要となる。必然的により広帯域なアクセス回線とより高価なVPN装置が必要となるため、その料金の上昇部分がリモートアクセスVPN料金の代わりとなるからだ。

 しかし、リモートアクセスVPNのコストで最も気をつけたいポイントは、VPN装置の設定変更に掛かる料金だ。拠点間の接続は、一度接続してしまえば設定を変更する必要はほとんどない。しかしリモートアクセスでは、例えばユーザーアカウントの追加、削減などの設定変更が頻繁に発生する。もしISPのインターネットVPNサービスが設定変更のたびに料金を払う必要があれば、リモートアクセスVPNがメインであれば自前で構築した方が結果的に安上がりだろう。

リモート側アクセスは個人負担?

 ここで、自宅のインターネット環境をみてみたい。ADSLなどを利用した非常に安価な定額料金で、個人宅がインターネットに常時接続されていることも特別なことではなくなってきている。この、普段個人で使っている環境から会社に接続できるのがリモートアクセスVPNであり、たとえこの環境をリモートアクセスVPNでの接続に使って仕事をしたとしても、インターネット接続料金(の一部)を社員が会社に請求しようとは思わないだろう。つまり、企業としてはリモートアクセスVPN環境を提供しても、社員の自宅側のアクセス回線にはお金が掛からない、というメリットがある。

 一方で、外出先からのモバイルアクセス環境はちょっと事情が違う。自宅で利用しているISPのほとんどがモバイルアクセスにも対応はしているだろう。しかしモバイルアクセスといっても、リモートアクセスVPNに接続するならダイヤルアップによる従量課金ではなく安価な定額料金のものが注目だ。代表的なのがPHSを用いた定額データ通信サービスであるDDIポケットのAirH"やNTTドコモの@FreeD対応が挙げられる。

 また、最近ではNTTコミュニケーションズのホットスポットやNTT東日本/西日本のMフレッツ/フレッツ・スポットなどの公衆無線LANサービスへの接続にも多くのISPが対応している。さすがに個人でこれらのモバイルアクセスを契約している人はまだ少ないので、企業から見て、社員の自宅環境のようにお金が掛からないというわけにはいかない。

 会社がモバイルアクセス部分の料金だけを負担することも可能だが、多くのユーザーが自宅では、モバイルアクセスに対応していないADSL回線とインターネット接続料がバンドルされた安いコースを選択しているので簡単にはいかない。そこで、業務上モバイルアクセスによる外出先からのリモートアクセスVPNが必須の場合は、社員の使っているISPを無理やり活用する必要はなく、企業向けのモバイルアクセスに特化したサービスを選択してもよい。

広域イーサ < インターネットVPN < IP-VPN

 拠点間でインターネットVPNではなくIP-VPNを使用している場合は、そのアクセス回線のオプションとして、あるいはゲートウェイサービスとして多彩なリモートアクセスVPNの手段を選択することもできる。

 例えば、インターネット経由でのクライアントソフトによるIPsec接続機能や、AirH"や@FreeD、ホットスポットなどによるモバイルアクセスサービスに対応しているIP-VPNサービスもある。よって、IP-VPNを使用しているユーザーはインターネットVPNを導入せずに、拠点間接続とリモートアクセスVPNを統合するネットワークにすることができる。ただし、インターネットVPNと統合することに比べるとコスト的なメリットはあまりない。

 一方、さすがに広域イーサネットでリモートアクセスVPNに対応しているサービスはない。広域イーサネットはIPサービスではないので、イーサネットによる拠点間接続とIPによるリモートアクセスVPNを相互接続するのは無理があるからだ。安価な拠点集約の手段としてインターネットVPNサービスからゲートウェイを介して広域イーサネットに接続するサービスがあるだけだ。拠点間で広域イーサネットを用いているユーザーはリモートアクセスVPNを別途構築する必要がある。

 これまでリモートアクセスVPNのさまざまな構築方法を紹介してきたが、拠点間のVPNとは異なり、構築方法よりセキュリティが最も重要なキーワードだ。拠点をなりすますのは難しいがリモートアクセスVPNの対象となる個人のなりすましは容易だからである。安いリモートアクセスVPN環境を構築することは可能だが、例えば過剰な認証システムなどセキュリティにお金を掛け過ぎて結局安くできなかったというケースもある。確かにセキュリティも大事だが、セキュリティにだけ目を向け過ぎるとこうしたさまざまなインフラ構築方法が見えてこないので、トータルでバランスを取ることが最も重要になる。


Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。