セキュアなリモートアクセス環境の構築方法とVNETプラスの特徴・実現できることを解説
リモートアクセスの最適化や、安全で効率的なネットワークの導入方法をお探しの方へ。この記事では、セキュアなリモートアクセス環境の構築方法やVNETプラスの特徴や実現できること、VNETプラスを利用した企業のDX推進手法を紹介します。フレキシブルプライベートネットワークの提唱者であるVNETテクノロジーがお届けする情報です。
FPNを活用したセキュアなリモートアクセス環境の構築
フレキシブルプライベートネットワーク(略してFPN)とVNETプラス
FPNは、理想的なネットワークのあり方を示す造語です。FPNでは、自分がどこにいようと、相手がどこにいようと、相手の名前を指定するだけでエンドツーエンドの暗号化通信が実現されます。また、ネットワークがまるで自分たちで占有しているかのように安全に利用可能です。
VNETプラスを終端通信装置にインストールすることで、その装置はネットワークをFPNとして認識します。アプリケーションから見ると、LANとインターネットの区別がなくなり、インターネットの存在を意識する必要がなくなります。VNETプラスはFPNを実現可能な業界唯一の技術です。
FPNの利点
1.エンドツーエンドのセキュリティ
暗号化と認証は終端の通信装置間で行われるので、通信経路に依存しないセキュリティが保証されます。インターネット上だけでなく社内ネットワークも安全になります。
通信グループが定義できるので、第三者が通信に関与することはできません。
通信用暗号鍵はサービス事業者にもわからない仕組みになっているので、企業情報がサービス事業者経由で漏洩する心配がありません。
2.通信接続性の保証
通信相手がどこにいてもエンドツーエンドの通信が保証されます。インターネット上の中継サーバもVPN装置も不要です。
VNETプラスが名前解決機能を有しているので、通信相手をVNET IDと呼ぶ名前で指定できます。
常に最適の通信経路が選択されるのでパフォーマンスが劣化しません。
3.簡単セットアップ
エンドユーザーはVNETプラスをインストールし、起動するだけです。
VNETプラス利用責任者(ネットワーク管理者)は終端通信装置に固有の名前を付与し、通信グループを割り当てるだけです。この設定はクラウド上で一元管理できます。
周辺のネットワーク機器の置き換えや設定変更の必要がありません。
LAN内で実績のあるユーザーアプリケーションをそのまま利用できます。
終端通信装置が場所を移動しても、クラウド上の設定情報を変更する必要がありません。
VNETプラスとはどのようなもの?どのような場合で有用?
FPNを実現するVNETとはどのようなものか、どのようなことを実現するかについて詳しく解説します。
通信相手はVNET IDで指定する
| システム | URL |
|---|---|
| 一般通信 | https://aaa.bbb.companyname.co.jp/file1 |
| VENTプラス通信 | https://aaa.vnetid.ntm200.com/file1 |
一般通信では宛先のサーバはFQDN (Fully Qualified Domain Name)と呼ばれる名前で指定します。ここでは簡単のためホスト名と呼びます。たとえば、ブラウザーでウェブサイトにアクセスする際、上記例のようにURL欄にはホスト名(aaa.bbb.companyname.co.jp)を入力します。このホスト名は、DNS(Domain Name System)によってIPアドレスに変換され、実際の通信はIPアドレスにより実行されます。DNSが準備されていない環境では、直接IPアドレスによる指定が必要です。
一方、VNETプラス通信では、上記例のように通信相手をVNET IDで指定します。VNETプラス内部に名前解決機能が組み込まれているため、DNSの環境を準備する必要がありません。VNET IDの“aaa”は通信装置のユニークID、“vnetid“はVNETプラスの代表ユーザーが取得したVNETユーザー名、“ntm200.com“はVNETプラスであることを示すドメイン名です。
このように、VNETユーザー名がVNET IDのサブドメイン名として使われます。VNET IDはFQDNのルールに従っており、全世界で名前が重複しないことが保証されます。
VNETプラスを導入しても、これまで利用していたユーザーアプリケーションはそのまま利用可能です。そのため、VNETプラスを利用している場合とそうでない場合で操作方法が変わりません。
トンネル通信
VNETプラスでは、終端通信装置間で行われる全ての通信を「トンネル通信」という技術を用いて実行します。この通信は、各通信パケットに二つのIPヘッダが含まれています。一つは実際の通信ルートを形成するための実IPアドレス用ヘッダ、もう一つはアプリケーションが使用する仮想IPアドレス用ヘッダです。実IPアドレスは通信途中でアドレス変換装置(NAT)により変更されることがあります。また、利用者が場所を移動するとIPアドレスが変わることがあります。しかし、この二重のヘッダ構造により、アプリケーションは実IPアドレスの変化を意識することなく、仮想IPアドレスを用いて安定した通信を実現できます。
通信グループ
VNET通信では同じ通信グループに属している通信装置間でのみ相互通信ができます。通信装置は1つ以上の通信グループに帰属する必要があり、複数の通信グループに帰属することも可能です。通信開始前に通信相手が同じ通信グループであるかどうか確認を行います。そのため、通信グループ外のユーザーはグループ内の通信に干渉できません。
VNETプラスで生成される通信経路
通常、終端通信装置はプライベートアドレス空間に設置されますが、インターネットはグローバルアドレスを使用しています。そのため、プライベートとグローバルのアドレス空間をつなぐためにNAT(Network Address Translation)装置が必要です。異なるプライベート空間同士で通信する際には、通常二つのNATが通信経路上に存在します。
NATには「symmetric型」と「cone型」の2つの主要なタイプがあり、cone型の方が通信経路を構築する際に柔軟性を持っています。VNETプラスを使用すると、どちらかのNATがcone型であれば、二つのNATを経由して直接的な通信経路を確立可能です。もし双方のNATが共にsymmetric型の場合、通信はVNETテクノロジーが提供するTS(Tunnel Switch)を介して行われます。実際に現場でどちらのNATタイプが使用されているかは、通信してみないと判明しない場合が多く、販売代理店に問い合わせても明確な回答を得るのは困難なことが多いです。VNETプラスはNATがどのようなタイプであろうと、必ず通信経路の確立を保証しますので安心して利用できます。Symmetric型とCone型の市場の比率は、3対7程度と言われています。
移動透過性
IPアドレスは通信を識別するためのものですが、同時に位置の識別子としても使われています。そのため通信装置の位置が変わるとIPアドレスが変化する場合があり、これが原因で通信が途中で切れることがあります。「移動透過性」とは、移動しても通信が途切れない機能を持つ技術です。
VNETプラスはこの移動透過性を備えており、通信中にIPアドレスが変化しても通信を継続できます。たとえば、携帯電話網からWi―Fiに切り替わった場合でも、通信は中断されません。これにより端末がどのように移動しても、途切れることなく通信を続けられます。この機能はVNETプラスが持つ大きな特長の一つです。
VNET通信と一般通信の同時実行
エンド通信装置において、VNET通信と一般通信は同時に実行可能です。VNET通信を行うのか、一般通信を行うのかの区別は、通信パケット内のIPアドレスの範囲により自動的に識別します。VNET通信と一般通信がお互い干渉することはありません。
VNETアダプタの設置
一部の通信端末ではVNETをインストールできない場合があります。VNETが対応していないOSを使用している端末、新たなアプリケーションをインストールできない組み込み型の端末の場合、またはサーバ管理が厳格で新しいアプリケーションの追加が許可されていない場合などです。これらの状況でVNETプラスの機能が必要な場合、VNETアダプタを設置することにより、その機能を代行させることができます。
VNETプラスの導入で実現するセキュリティ要素
開発プロジェクトにおいて、通信セキュリティはとても大切なポイントです。VNETプラスを導入することで、開発プロジェクトの通信セキュリティは大きく向上します。
VNETプラスの暗号アルゴリズム
VNETプラスでは、セキュリティを高めるために信頼性の高い暗号アルゴリズムを使用しています。データの暗号化には、AES CBCモード鍵長256ビットを採用しています。また、通信データの改ざんを防ぐために、ハッシュアルゴリズムとしてSHA256を採用しています。
通信用暗号鍵はサービス事業者にもわからない
通信のセキュリティリスクの一つとして、サービス事業者からの情報漏えいがあります。エンドツーエンドの暗号化通信が行われていても、通信用暗号鍵を事業者側の装置で生成していると、その暗号鍵を知る事業者から情報が漏えいする可能性があります。しかし、VNETプラスでは事業者から通信装置には暗号鍵生成のための種情報だけを配布しており、終端通信装置間ではこれを利用して独立した暗号鍵を生成するため、事業者が通信用暗号鍵を知ることができない仕組みとなっています。
DoS攻撃対策とリプレイ攻撃対策
ネットワークを通じた主な攻撃はDoS攻撃とリプレイ攻撃です。DoS攻撃では、大量のパケットが送り込まれ、通信装置が動作を妨げられる場合があります。またリプレイ攻撃は、以前に正常と判定されたパケットの内容を再送するもので、通常のDoS攻撃対策での検出は困難です。VNETプラスには、特定のコード情報をチェックし不正パケットを迅速に廃棄する独自のDoS攻撃対策を有しています。また、すべてのパケットにシーケンス番号を付与することによりリプレイ攻撃に対応しています。
VNETプラスの多要素認証
VNETプラスの利用を開始する際、エンドユーザーは利用する通信装置を限定することが可能です。この設定を選んだ場合、ユーザーには見えない乱数が生成され、通信装置内に秘密裏に保存されます。これにより、ユーザ認証にパスワードと特定の通信装置の両方が揃う必要があり、セキュリティが強化されます。
これに加えて、利用開始時にワンタイムパスワードによる認証を追加することが可能です。ワンタイムパスワードを選択すると、利用開始時の手間は増えますが、認証機能としてはこれ以上ない強固なものとなります。
これらの要素によって、VNETプラスを導入すれば、開発プロジェクトは高いセキュリティを実現可能です。
フレキシブルプライベートネットワークはVNETテクノロジーまで
VNETテクノロジーは、あなたのビジネスが直面する複雑なネットワーク課題を解決するために開発された、画期的なアプリケーション「VNETプラス」を提供しています。
誰もが簡単にセキュアなフレキシブルプライベートネットワークを構築できるVNETプラスを活用しませんか。終端通信装置間でのエンドツーエンドの暗号化通信を提供し、ネットワーク管理の負担を減少させます。さらに手軽に通信できる環境を実現します。まずはお気軽にお問い合わせください。
IP・IoTネットワークやリモートワークアクセスツールなどに関するコラム
- IoTとIPネットワークで実現するセキュアな接続技術
- 仮想ネットワークで強化するIoTのインターネット接続とIPネットワーク
- Raspberry piによるIoTネットワーク開発!成功する開発とサービス戦略
- 【IoTネットワーク】IoTゲートウエイアプリケーション開発の基礎知識を解説
- セキュアなリモートワーク環境を自宅で効果的に構築する方法
- 社外リモートワークをセキュアに|セキュリティ対策について
- セキュアなリモートアクセス環境の構築方法|VNETプラスの特徴・実現できること
- VNETプラスの運用とVNETアダプタについて
- ネットワークの基本知識:インターネットを構成する重要な技術TCP/IPとLAN
- インターネットが急激に普及した理由|インターネットの課題
リモートアクセスを強化するフレキシブルプライベートネットワークならVNETテクノロジー
| 企業名 | 株式会社VNETテクノロジー |
|---|---|
| 住所 | 〒220-0072 神奈川県横浜市西区浅間町1丁目4−3 ウィザードビル402 |
| 事業内容 | 情報通信システムの企画および開発 |
| URL | https://vnet200.com |