◎IP-VPNとは?
VPNとはVirtual Private
Networkの略で、「仮想専用網」と呼ばれています。共用の公衆網を使って
プライベートなネットワークをまるで専用線みたいに、音声でもインターネッ
トのパケットでも何でも流せるというのがVPNの全体概念です。
米国でVPNは電話のサービスとしてスタートし、日本では1996年2月からNTTが
「メンバーズネット」、内線電話と同じ4ケタで本社一支社・支店間がやりとり
できるサービスを始めました。
そしていま注目されているのがIP(インターネット・プロトコル)を使った
VPNです。IPが流れればインターネットやフレームリレー/セルリレー、OBN
(オープンビジネス・ネットワーク)などのネットワークサービスができます。
インターネットについては自由で便利な半面、セキュリティーに不安があるた
め、セキュリティーをある程度確保する技術を組み合わせました。その結果、
比較的安全で安心して使えて、しかも安価ということでインターネットVPNは
米国を中心に使われるようになり、今年になって日本の企業でも導入が本格化
し始めています。
それは図1のように 、例えば本社一支社の双方の拠点にファイアウォールと暗
号化/認証機能を持つVPN装置を設け、両者間はデータを暗号化して流すという
仕組みになっています。
インターネットVPNには、
1 インターネットのサービスプロバイダのネットワークで実現するタイプ
2 ユーザ側にVPN装置を置いて暗号化を通して実現するタイプ
3 1と2を組み合わせて実現するタイプ
があり、利用形態としては、
1 インターネット専用線を使って2つのVPN間をつなぐ
2 ダイヤルアップを使ってLAN間をつなぐ
3 モバイルVPN
があり、実際には2のタイプの利用者が多いようです。
◎OCNビジネスパックVPN
インターネットVPNには、それでも「危険」(セキュリティーが確保されている
かわからない)、「不安」(複雑なファイアウォールなどを管理運用する人的リ
ソースがない)、「高価」(高価な装置が多い)といった認識のカベがあります。
そこで私どもでは、企業が安心してインターネットを使えるように「OCNビジネス
パックVPN」を導入しました。(図2参照 )
それによって経済効果、つまり本当に安くなるのかということですが、従来は
企業内LANの中にRAS(リモートアクセスサーバ)を置き、そこに電話をかけて認
証を受け、社内のネットワークにはいるというやり方でした。確かに距離が20キ
ロぐらいまでなら、このほうが経済的ですが、20キロ以上になるとインターネッ
トVPNを使ったほうが安上がりになります。営業マンが各地を飛び回っている場
合は、インターネット経由が経済的ということです。
また、各拠点間を専用線とフレームリレーを使ってイントラネットを構築して
いますが、トラフィックがどんどん増えるにつれて専用線の増築が必要になって
きています。本当に大事な社内情報だけ専用線を通し、あとはインターネットVP
Nを使えばコストがかかる専用線部分は細くしていくことができます。インター
ネットVPNのセキュリティーで満足だということで専用線を廃止し、インターネッ
トだけを使おうという企業も現れ始めています。
◎ユーザ導入事例にみるインターネットVPNの理想と現実
個々の企業だけでなく、米国では3大自動車メーカーと各部品メーカー間のVPN
網(ANX)、日本ではこれまで航空3社それぞれの専用端末を旅行代理店に置いて
いたのがインターネット上で一体化されるなど、業界あげての導入例もあります。
もっとも、インターネットVPNの構築にあたってはいくつかの留意点があります。
1 プライベートアドレス使用時のバッティング(プライベートアドレスを使っ
ている場合、アクセスしたい宛先に到達できないこともある)
解決策:IPアドレスの見直し
VPN用セグメントの新設
NAT、Proxyによるアドレス変換
2 NATとの併用・ダイヤルアップLANとの接続(IP Sec(標準的な暗号化の手法)
で暗号化されたパケットはNATを通過することができない)
解決策:IP Secの仕様変更
3 異機種間の相互接続性(相互運用に課題、機器のバージョンアップ対応)
解決策:IP Secの成熟
4 海外拠点とのVPN網構築(56ビット以上を日本から輸出することは困難、
暗号は輸出できても輸入できるかは別問題、など)
5 ファイアウォールの設定とVPN装置の位置関係(社内外のネットワークをつな
ぐ際、IP Sec機器をどこに設置するか)
ア.IP Sec機器をファイアウォールのアウトサイドに置く場合
ファイアウォールのフィルタリング設定を有効に使える。ただし、この設
定位置ではファイアウォールがNATなどを行っている場合、社内ネットワー
ク上の各端末ごとの細やかなセキュリティーポリシーの設定ができない。
イ.IP Sec機器をファイアウォールのインサイドに置く場合
ファイアウォール上にファイリング設定が必要となる。
ウ.IP Sec機器とファイアウォールを並列に置く場合
ファイアウォールの細やかなフィルタリング設定を生かしつつ暗号化通信が
可能。ただし、ルータ機能を持たないIP Sec機器を使う場合には、フロー制
御を社内ネットワーク上の他のルータに依存する必要がある。
エ.IP Sec 機能搭載ファイアウォールを使用する場合
同じプラットホームでファイアウォールとIP Secの処理を行うことによる
処理能力の低下、スループットの劣化が避けられない。ハイパフォーマン
スマシンが必要。
◎トータルソリューションとしてのインターネットVPNの今後
現在、企業におけるネットワークの形態は、大規模拠点間や近接拠点をつなぐ
場合は専用線、遠距離拠点間はフレームリレー、中小規模拠点とはデータ量が少
ないので電話回線、モバイルユーザの場合はRAS接続というのが一般的だと思います。
OCNビジネスパックVPNをご利用のお客様にお聞きしますと、利用したいネット
ワークは「LANとLANでつなぐ」54%、「LANとダイアルアップでつなぐ」41%とな
っていますが、拠点数別にみると「LANとダイアルアップでつなぎたい」というニ
ーズが約90%と圧倒的に高くなっています。つまり、それだけ小さな拠点が多い
ということでしょう。
また、改善要望として意外なのは、インターネットには接続したくないという閉
域性を望むお客様が半分を占めていることです。全国に10カ所ある支店をインター
ネットには接続せず、完全な閉域ネットワークでつなぎたいという大企業もあります。
その理由にはやはり安全性重視へのこだわりがあるようです。
コスト比較では、この頃はフレームリレーなどのドラスティックな値下げで、イ
ンターネットVPNが必ずしも完璧に安いとはいえない面があるのは確かです。しかし、
インターネットは社内網をつくるためだけではなく、エンドユーザとのチャネルづく
りやコミュニケーションなどいろいろな使い方ができますから、トータルにネットワ
ークを活用していくのであればインターネットは欠かせないものだと思います。
|