このページの本文へ

在宅勤務で失敗しない方法第2回

代表的な手段とセキュリティを理解しよう

会社のPCを在宅勤務でも使えるリモートアクセスとは?

2011年08月30日 09時00分更新

文● 伊藤玄蕃

  • この記事をはてなブックマークに追加
  • 本文印刷

在宅勤務のために最初に必要となるIT(情報技術)は、自宅から勤務先の社内ネットワークにアクセスするための仕組み、すなわちリモートアクセスだ。ここでは、リモートアクセスの代表的な手段と、セキュリティについて説明する。

在宅勤務はリモートアクセスから

 在宅勤務を実現するには、自宅から勤務先の社内ネットワークにアクセスできる通信インフラが必要だ。自宅から職場のサーバーへアクセスして、業務に必要なデータや資料を閲覧したり、業務アプリケーションやグループウェアを利用したりする通信インフラ、すなわち「リモートアクセス」が不可欠である。ストレスなく在宅勤務を実現するには、会社と自宅との間に、ある程度の帯域(回線速度)を持った通信回線が必要だ。

 幸いなことに、日本は世界でも有数のブロードバンド大国で、すでに大都市圏や各県の県庁所在地だけでなく、地方の中小都市の市街地レベルまで、光ファイバやADSLのブロードバンド回線が張り巡らされている。そのブロードバンド回線を利用したインターネットアクセスも、1カ月あたり数千円もかからず利用できる。最近では、在宅勤務のためのリモートアクセスは、このブロードバンド・インターネットを利用するケースが大半だ。

 ちなみに、10年ほど前の在宅勤務者には、帯域が64kbpsのISDN回線か、56kbps程度のアナログ電話回線のほかには、利用できる通信回線がなかった。しかし、今日のブロードバンド回線であれば、帯域はその10倍以上になる。この10年間の通信インフラの発展のおかげで、レスポンスや通信コストといった、在宅勤務に伴うストレスは大幅に軽減されてきた。

 このようなリモートアクセスを実現する手法は、古典的なダイヤルアップ接続とインターネットVPNに大別される。

古典的なダイヤルアップ接続

 ダイヤルアップ接続は、ユーザー(在宅勤務者)が接続する必要がある時に、接続先電話番号(アクセスポイント)へ電話をかけ、ISDN回線やアナログ電話回線を経由して社内ネットワークへ接続する形態を指す。

 このため、ISDN回線網やアナログ電話回線網と社内ネットワークとの間に、ダイヤルアップサーバーと呼ばれる着信専用のサーバーを設置する(図1)。ダイヤルアップサーバーは、ユーザーからの接続要求を待ち続ける。ダイヤルアップサーバーは、以前は専用のハードウェアを利用したが、最近ではISDNポート(BRIまたはPRI)を内蔵したルーターを流用するケースが増えている。専用ハードウェアではアナログ電話回線からも接続できるが、ルーターを流用をした場合は、ISDN回線かPHS(PIAFS)しか接続できない。

図1 ダイヤルアップ接続によるリモートアクセス

 ユーザー(在宅勤務者)側では、PCにISDNカードやモデムを接続し、PPPクライアントソフトを使って接続する。WindowsやMac OSなどのOSに標準添付されているPPPクライアントを使えば、ダイヤルアップ接続したあとは社内ネットワークに直接つないだPCと同じように、社内ネットワーク上のサーバーやプリンターなどのリソースを利用できる。

 廉価なISDNポート対応ルーター、たとえばヤマハのNVR500を設置するだけでリモートアクセスが実現できるため、「在宅勤務を試験的に導入したい」、「利用ユーザー数が少ない」、「在宅勤務で利用するデータは文字情報が主体でデータ量が少ない」といった場合に向いている。

インターネットVPNのあれこれ

 インターネットVPN(Virtual Private Network)とは、インターネット上に仮想的(Virtual)な専用線(Virtual Private Network)を構築する技術や仕組みを指す。

 インターネットVPNを導入するには、インターネットと社内ネットワークとの間にVPNゲートウェイと呼ばれる装置を設置する(図2)。インターネットは誰でも自由に利用できるネットワーク(公衆網)であり、通信内容の盗聴や改ざんの危険がある。このインターネット上でセキュアな通信を行なうため、VPNゲートウェイとVPNクライアントソフトが入ったユーザー側PCとの間では、通信を暗号化するのだ。

図2 インターネットVPN(IPsec、PPTP)によるリモートアクセス

 表1は、インターネットVPNに使われる代表的な技術の比較である。このうち、「IPsec(Security Architecture for Internet Protocol)」は、もっとも古くから利用されてきた技術だ。長年に渡る開発の結果、機能が豊富な反面、内容が複雑になり導入や設定の敷居が高い。IPsecのVPNゲートウェイは、シスコシステムズなどの企業向けルーターが使われることが多く、コンシューマー向けの廉価なルーターに実装されることは少ない。

表1 インターネットVPN技術の比較

 また、IPsecの実装にはメーカーごとの「方言」があり、クライアントPCにはVPNゲートウェイのメーカーが提供する専用のクライアントソフトを導入するのが一般的だ。IPsecは、企業の拠点間接続(LAN間接続)にはよく使われるが、端末型接続が中心となる在宅勤務のリモートアクセスにはあまり使われないVPNプロトコルでもある。

 もう1つのPPTP(Point-to-Point Tunneling Protocol)は、マイクロソフトによって開発されたVPN技術だ。そのため、WindowsはPPTPサーバー(VPNゲートウェイ)とクライアントの機能を標準で搭載する。Windowsが基準となっているため実装の違いによる問題も少なく、どのメーカーのルーターであっても、WindowsのPPTPクライアント機能がそのまま使われる。

 IPsecがTCP/IPを対象とするのに対し、PPTPはTCP/IP以外のプロトコル(ノベルのIPX/SPX、IBMのNetBEUIなど)にも対応する。PPTPのVPNゲートウェイ機能は、ヤマハのNVR500など比較的廉価なルーターに実装され、導入の敷居はIPsecよりも低い。現在、PPTPは、端末型接続を実現するためのリモートアクセスの、メインストリームとなっている。

Webブラウザで使えるSSL-VPN

 SSL-VPNは、基本的にはInternet ExplorerやFireFoxなどの一般的なWebブラウザを使って、社内ネットワークへアクセスする技術である。Webブラウザが搭載するSSL(Secure Sockets Layer)通信機能だけで使い始められるため、導入のハードルは低い。

 SSL-VPNも、インターネットと社内ネットワークとの間にVPNゲートウェイを設置する(図3)。これを特に「SSL-VPNゲートウェイ」と呼ぶ。SSL-VPNゲートウェイは、ジュニパーネットワークスの「SA(Secure Access)」やF5ネットワークスの「FirePass」などの専用ハードウェア製品が大半で、残りはLinuxや商用UNIX OSの上で動くソフトウェアである。企業ユーザーでは専用ハードウェア製品が主流だが、研究機関や教育機関ではオープンソースのソフトウェアを利用するケースもある。

図3 SSL-VPNによるリモートアクセス

 SSL-VPNゲートウェイの中核技術は、「リバース・プロキシ」である。この仕組みを図3の①~④の矢印(データパケットの流れる方向)を使って解説すると、次のようになる。

  • ①ユーザーはWebブラウザを使って、SSL-VPNゲートウェイにHTTPS(SSLで暗号化されたHTTP)でアクセスする
  • ②SSL-VPNゲートウェイが社内のWebサーバーに、①のアクセスをHTTP(非暗号化)で中継する
  • ③WebサーバーはWebデータを、HTTP(非暗号化)でSSL-VPNゲートウェイに返す
  • ④SSL-VPNゲートウェイは、WebデータをHTTPS(暗号化)に変換し、Webデータに含まれる社内のWebサーバーのURLを変換して、Webブラウザに返す

 以上のように、SSL-VPNの基本はWebブラウザによる利用だ。だが、Webブラウザ以外からもSSl-VPNを利用したいという要望に応えるべく、SSL-VPNゲートウェイベンダーはSSL-VPNのクライアントソフトウェアを用意している。これを使うことで、IPsecやPPTPと同様にSSL-VPNを利用できるのだ。

 一方で、業務アプリケーションや電子メール、グループウェアなどが次々とWebアプリケーション化され、ユーザーのPCではWebブラウザだけで用が足りる状況にもなってきた。すなわち、“All over Web(All over HTTP)”の時代が到来したことにより、リモートアクセスの主流がSSL-VPNになる可能性が出てきたのだ。

セキュリティを保つ仕組み

 リモートアクセスを利用して業務を行うことは、言い換えれば、会社の機密情報を社外に持ち出して取り扱うということである。そのため、情報漏えいの防止には格段の注意を払う必要がある、そこで、通信経路上で盗聴や改ざんを防ぐ仕組み、および通信の相手が正当であるかどうかを認証する仕組み、が必要だ。

通信経路上の盗聴や改ざん防止

 まず、通信経路上の盗聴や改ざん防止を考えてみよう。ダイヤルアップ接続であれば、まず、ISDN回線やアナログ電話回線の提供者であるキャリア(NTT東西やKDDI、ソフトバンクテレコムなど)の責任で安全性が確保されている。さらに安全性を高めるのであれば、次に説明する通信の暗号化を施せばよい。

 一方、インターネットVPNは、盗聴や改ざんを防止するするために暗号を使う。IPsecでは共通鍵暗号と公開鍵暗号の両方が利用できる。暗号化アルゴリズムとして3DES-CBC(キー長168ビット)やAES(キー長128 ~256ビット)がよく使われている。

 Windowsでよく使われるPPTPは共通鍵暗号を採用しており、暗号化アルゴリズムにMPPE(Microsoft Point-to-Point Encryption)が使われる。このMPPEはキー長40~128ビットのRC4に準拠した暗号アルゴリズムで、RC4と同様に「使用方法によっては安全性を保てない」恐れがある。PPTPを改良したL2TPでは、暗号化をサポートしておらず、暗号化を行うためにはIPsecと併用する。

 SSL-VPNでは、前述したとおりSSLを暗号化アルゴリズムに採用している。SSLはデータの暗号化には共通鍵暗号を用いるが、その共通鍵を交換するために公開鍵暗号を用いる「ハイブリッド暗号」である。

通信相手の認証

 リモートアクセスでは、通信相手が正当な相手であるかどうかは、まずIDとパスワードの組み合わせ(アカウント情報)により認証する。アカウント情報が悪用されると、自分になりすました他人がリモートアクセスを利用して、会社の機密情報を盗み出すことが可能になる。しかし、アカウントの盗用は、完全に防止することは困難だ。むしろ、パスワードが破られても困らない仕組み、あるいはユーザーがパスワードを記憶しないで済む仕組み、が必要とされる。

 パスワードが破られても困らない仕組みとして、ダイヤルアップ接続では「コールバック」という手法がある。これは、IDとパスワードで認証した直後に、ダイヤルアップサーバー側で接続を切って、あらためてダイヤルアップサーバーからユーザー側へ発信するというものだ。

 このとき、ダイヤルアップサーバーのユーザーデータベースに自宅の電話番号が登録してあるので、他人がIDとパスワードを不正利用したとしても、コールバックを着信できない。このほか、パスワードだけでなく、それ以外のもう一つの要素を併用して、2つの要素でユーザーを認証する「2要素認証」がある。すでに、ICカードUSBトークンに収容された電子証明書や、後述する生体認証やワンタイムパスワードを併用したユーザー認証が広く使われている。

 パスワードを記憶しないで済む仕組みには、指紋や虹彩・静脈等の個人情報を利用する生体認証やワンタイムパスワードなどがある。初期のワンタイムパスワードはパスワード発生装置(ICカードやトークンなど)が必要で、そのデバイスの発行や紛失時の対応などの手間が問題視されたが、最近では「マトリクス認証」などデバイスが不要な技術も実用化されている。

カテゴリートップへ

この連載の記事
ピックアップ