セキュリティ対策虎の巻(第8回)

かゆいところに手が届くVPNが使いやすい

2019.06.24

クリップについて

 本社と支社、営業所などのリモート拠点を結ぶ企業ネットワークの利用が広がる一方、ネットワークの通信速度が課題の企業も少なくない。業務データのやり取りに加え、テレビ会議などの大容量データを送受信するアプリケーション利用が増えているからだ。

 拠点間を結ぶネットワークでは、高速・低遅延に加え、通信時のセキュリティも重視される。外部に漏れては困る業務データをやり取りする企業だけではない。高精細の医用画像や患者の電子カルテなどの機密情報をやり取りする医療機関、生徒の個人情報を含む校務情報を学校と教育委員会のデータセンターとの間でやり取りする教育機関など、セキュアで高速なデータ通信が行えるネットワークへのニーズが高まっている。

 高速・低遅延とセキュリティ、拡張性などの要求を満たすネットワークサービスにはVPNがある。VPNサービスは通信事業者のバックボーン上やインターネット上に、企業ごとの仮想的な閉域網を設け、セキュアな通信を行う。

 複数拠点を結ぶVPNにより、企業にどんなメリットがあるのか考えてみよう。例えば、インターネット接続。拠点ごとにインターネット接続事業者(ISP)と契約する場合、拠点の数だけ契約、接続料が必要になり、その分コストもかかる。

 それに対してVPNを導入している場合、各拠点はVPNを介して本社からインターネットへ接続できる。各拠点は通信事業者へアクセスサービス利用料の支払いが必要になるが、ISPへ支払う費用は本社の1拠点で済む。インターネットにつながる出入り口のセキュリティ対策は本社で行い、各拠点は端末レベルの対策を講じればよい。

 インターネット接続のほか、業務で利用するファイルサーバーメールサーバーなども本社やデータセンター、クラウドに設置してVPN経由で利用できる。IT管理者を配置しにくいリモート拠点でのサーバー運用も不要だ。

VPNは価格で選ぶか、信頼性で選ぶか

 通信事業者やサービスプロバイダーが提供する主なVPNサービスには、インターネットVPNIP-VPN、広域イーサネットがある。ここでは仕組みの違いを詳しく説明しないが、一般的にインターネットVPNは安価、IP-VPNはやや安価(価格帯は幅広い)、広域イーサネットは比較的高い。セキュアな通信を目的とすると、インターネットVPNは安価なものの、公衆回線を利用するのでやや心もとない。セキュアな通信環境をつくりたい場合は、IP-VPNと広域イーサネットが選択肢に挙がる。両者を比べてみよう。

 IP-VPNサービスはさまざまな通信事業者が提供している。例えば、NTT西日本の「フレッツ・VPN ワイド(※1)では、複数拠点をつないで企業ごとのプライベートネットワークを構築できる。インターネットを介さない閉域ネットワーク上で特定拠点とのみ接続できるので、セキュアな通信が行える。料金は1契約当たり月額1800円(税別)から(※2)とリーズナブルな料金で利用できる。多数の拠点を構える企業に向いている。ただし、IP-VPNという名前の通り、IPの通信方式を利用するVPNであり、イーサネットなど異なる方式には対応していない。

 一方、広域イーサネットサービスは、通信事業者のバックボーン上に設置した機器を用いて拠点ごとの閉域網を構成する。複数の通信ルールに対応できるのが特徴だ。拠点間、また拠点とデータセンター間などで高速・大容量データのやり取りに使われたり、高い信頼性が要求される基幹系ネットワークなどに利用されたりしている。

 NTT西日本では広域イーサネットサービス「ビジネスイーサ ワイド」を提供する。料金はアクセス回線や中継回線などの帯域に応じて異なる。IP-VPNサービスに比べて割高だが、ネットワークの信頼性を重視し、重要なデータをやり取りする企業などに利用されている。

コストも速度もちょうどよいVPN

 企業がVPNサービスを選ぶ場合、IP-VPNはリーズナブルな料金で利用できるものの課題もある。ネットワークの遅延だ。テレビ会議や監視カメラ映像のリアルタイム通信を拠点間でやり取りする場合、遅延が発生すると映像がスムーズに送受信できず、業務に支障が出かねない。

 高速・低遅延の広域イーサネットサービスを利用すれば、遅延を気にせずテレビ会議などを快適に行える場合が多い。ただ、IP-VPNサービスに比べてコストが割高になり、導入をためらう企業も少なくない。

 そこで、IP-VPNでありながら、安定した通信環境で広域イーサネットより割安に利用できる、いわば「かゆいところに手が届く」IP-VPNサービスが注目されている。

 従来のIP-VPNと何が違うのか。フレッツ・VPN ワイドなど従来のIP-VPNでは、ユーザー認証の仕組みに「PPPoE」と呼ばれる仕組みを使っている。これは、各拠点に接続するフレッツ回線の回線終端装置の先に企業が購入したVPNルーターを設置し、このルーターからID、パスワードを送ることにより認証を行う。これは従来のダイヤルアップ接続にも使われていた。認証を行うことによって、他の拠点との通信が可能になるわけだが、この際、拠点同士の通信は必ず通信事業者網内のVPN接続装置を経由する。そのため、拠点が多数になったり、大容量データの送受信をしたりして通信するデータ量が増えるとVPN接続装置に通信が集中し、結果として帯域が圧迫されてしまう。遅延が発生して通信品質が低下するケースもある。

 一方、「かゆいところに手が届く」IP-VPNサービスとは一体何か。通信事業者が回線終端装置と専用ルーターをセットで提供し、「IPoE」と呼ばれる仕組みを使う。この方式では、データを送信する前に専用ルーターが通信事業者網と認証を行う。拠点からデータを送る際は、通信事業者網内のVPN接続装置を介さずにデータをやり取りする。従来のPPPoE方式とは異なり、IPv6アドレスによるダイレクトな通信を行うため、大容量の映像などが低遅延でスムーズに送りやすい。

低遅延で安定した通信が可能

 IPoE方式のIP-VPNサービスは、IPv6対応VPNルーターや、次世代ネットワーク(NGN)と呼ばれるバックボーン、フレッツ網などを組み合わせる。例えば、ITベンダーの大塚商会ではIPv6やNGNに対応するVPNサービスとして「O-CNET SMILE VPN SPEEDタイプ」を提供する。

 NTT西日本では「フレッツ・VPN プライオ」の名称でIPoE方式のIP-VPNサービスを提供開始する。「フレッツ 光ネクスト」を利用する企業の拠点に設置する専用ルーター間でIPv6通信を用いてダイレクトにつなぎ、低遅延で安定したVPNを構築できる(※3)

 料金はフレッツ・VPN プライオに必要な専用ルーターの利用料も含まれ、1契約当たり月額7000円(税別)だ。自前でVPNルーターを用意するフレッツ・VPN ワイドより割高だが、映像などの大容量データも比較的安定してやり取りできそうだ(※4)

 また、オプションの「東西接続サービス」を利用すれば、NTT東日本が提供するフレッツ・VPN プライオと接続でき、全国に拠点を展開する企業のVPNとして利用できる。

 リモート拠点に専任のIT担当者を配置しにくい企業にとって、障害発生時のスムーズな対応も重要になる。フレッツ・VPN プライオは24時間365日の故障受付に対応。別途、オプションサービスの「24時間出張修理オプション」を利用すれば、専用ルーターの24時間365日の現地保守対応も可能だ。

 NTT西日本のフレッツ・VPN プライオは、リアルタイム通信や緊急性の高いデータをセキュアにやり取りするユーザーに適している。複数拠点を結ぶテレビ会議や監視カメラなどの映像を本社に集約する企業や、遠隔授業を行う学習塾、お天気カメラの映像配信や緊急性の高いデータを各拠点で共有するマスコミ、校務系システムで扱う個人情報やデジタル教材などの大容量データをやり取りする教育機関、電子カルテや医用画像などを病院間でやり取りする医療機関など、さまざまな分野での利用が見込まれている。すでにVPNサービスを利用している企業も、NTT西日本のフレッツ・VPN プライオを検討してみてはどうだろうか。

※1 フレッツ・VPN ワイドの利用には、VPN管理者の場合はフレッツ 光ネクストもしくは一部のコラボ光、VPN参加者の場合はフレッツ 光ネクスト、フレッツ・ADSL、フレッツ・ISDN、一部のコラボ光のいずれかの契約・料金が必要。フレッツ 光ライトは利用できない。なお、契約できるフレッツ 光ネクストの品目はプランにより異なる
※2 別途、フレッツ光などの月額利用料が必要
※3 別途、「フレッツ・v6オプション」の契約が必要
※4 同サービスはベストエフォート型のため、通信速度や通信品質、常時接続性を保証するものではない

SID : 00078008

執筆=山崎 俊明

執筆=山崎 俊明

あわせて読みたい記事

連載記事≪セキュリティ対策虎の巻≫

PAGE TOP

閉じる
会員登録(無料) ここでしか読めないオリジナル記事が満載
閉じる