1. Windowsファイル共有をインターネット経由で実現する

Windowsファイ共有でできること/やりたいこと

Windowsファイル共有をインターネット経由で実現したいと思ったことはありませんか。Windowsファイル共有は、Exploreを使って自PCのファイルをアクセスするのと同じ要領でサーバPCのファイルをアクセスできる便利な機能です。サーバPCに外部記憶装置を増設すれば立派なファイルサーバとして利用できます。使い慣れたWindowsだけでシステムを作れますから、使いこなせばとても便利です。これがインターネットを跨る形で実現できるとさらに便利です。でも、インターネット経由のWindowsファイル共有は一般には簡単に実現できないと考えられています。

Windowsファイル共有は、本来PCどうしが同一ネットワーク内に存在することが前提です。また、セキュリティ的にも決して強固ではないという課題がありますから、インターネット経由でそのまま使うのは危険です。
Windowsファイル共有を、簡単、かつ安全に、しかもインターネット越しに実現できる方法はないでしょうか。

グローバルアドレスの枯渇とプライベートアドレスの存在

現状の様々な通信に係る制約の多くは、IPv4グローバルアドレスの枯渇に起因しています。本来はIPアドレスの重複は許されません。しかしインターネットの普及がすさまじく、グローバルアドレスがあっという間に枯渇状態となってしまいました。そこでIPv4アドレスの一部の範囲が、プライベートアドレスとして定義され、インターネット上での使用が禁止されました。そして、このアドレス空間をユーザネットワーク側で自由に使えるようにしました。つまり、プライベートアドレスという同じアドレス空間を、皆で共有することにしたのです。この方法によりインターネット上のアドレスの消費が最小限で済むようになり、インターネットが延命できることとなりました。その意味でプライベートアドレスの導入はインターネットの救世主です。

プライベートアドレスの弊害

しかしこの見返りとして、通信に係る大きな制約事項が発生しました。グローバルアドレス空間とプライベートアドレス空間の間には、両者のアドレス変換を行うNAT (Network Address Translation装置;以下NATルータと記述)が必要です。プライベートアドレス側からグローバルアドレス側へのアクセスは全く問題ありません。しかし、グローバルアドレス側からプライベートアドレス側に向けて通信の開始ができなくなりました。これをNAT越え問題と呼びます。グローバルアドレス側から見ると、プライベートアドレス側は皆同じアドレス空間なので、その先にある通信装置をIPアドレスで特定することができないのです。NAT越え問題は現状のIPネットワークにおける最大の課題となっています。

NAT越え問題の思わぬ利点

しかし、NAT越え問題には思わぬ利点がありました。グローバルアドレス空間から見ると、NATルータの存在しか認識できず、プライベートネットワーク内部がどのような構造になっているか隠ぺいされます。ですから、プライベートアドレス空間に対する外部からの不正アクセスが極めて難しいのです。企業のネットワーク管理者からすると、NATルータの存在は大きな安心材料でした。多くの企業が、企業ネットワークは安全という前提を置けるのはこのような事情があるためです。このような事情からプライベートアドレスにより構築された企業ネットワークは、瞬く間に普及しました。

ポート開放という離れ業

IP通信の識別子にはIPアドレスの他に、アプリケーションの識別をするポート番号があります。このポート番号とサーバのプライベートIPアドレスを紐づけてNATルータに静的に設定することにより、インターネット側から特定のサーバへのアクセスを可能にすることができます。これをポート開放と呼びます。この設定にはネットワークの知識が必要で素人には難しい作業です。しかし、それより問題なのは、通信内容がそのままインターネット上に流れてしまうので、盗聴や不正アクセスの温床になるという課題があります。ポート開放は暗号化されたトラフィック以外には適用しないことをお勧めします。

VPNの導入とその課題

そこで現在考えられている最も一般的な方法がVPN (Virtual Private Network)の導入です。下図のように企業ネットワークの入口にVPN装置を設置し、自宅PCにはVPNクライアントアプリをインストールします。自宅PCとVPN装置間の通信は認証と暗号化が行われます。VPNは企業ネットワークの一部を暗号化技術により自宅PCまで延伸させる仕組みと考えることができます。VPNはセキュリティには定評があるので、リモートアクセスと言ったらVPNという固定観念を持たれている方が少なくありません。
しかしVPNの導入には多くの課題があります。
まず、VPN装置には固定のグローバルIPアドレスを付与する必要があります。ISPが固定グローバルアドレスサービスを提供している必要があります。このサービスは当然有料です。
また、VPN導入前にインターネットとの接続に使用していたNATルータをVPN装置に置き換える必要があります。配線の変更が必要で、その間ネットワークが使えなくなります。VPN装置の設定は煩雑で、もし設定を間違えるとすべてのインターネット通信ができなくなる可能性があります。
VPNはネットワーク構成が変わると再設定が必要になります。さらに、VPN装置にトラフィックが集中するとスループットが低下することがあり、トラフィックを監視する必要があります。
このような事情から、ネットワーク技術者を育てる余裕のない中小企業では、VPN導入を専門の業者に委託することが多く、そのための費用が発生します。

新しい技術:フレキシブルプライベートネットワークとVNETプラス

Windowsファイル共有をインターネット越しに簡単に実現できる方法はあるのでしょうか。
本記事はこれを簡単に実現するための方法を説明するものです。

フレキシブルプライベートネットワーク(FPN)とは、ネットワークのあるべき姿を定義した当社オリジナルの用語です。
FPNでは全ての通信装置がネットワークの制約を気にすることなく、エンドツーエンドで暗号化通信ができます。また、あたかもネットワークを独占しているかのように安全に利用できます。
VNETプラスはFPNを実現することができる業界唯一の技術という位置づけです。

具体的には、WindowsマシンにVNETプラスと呼ぶアプリをインストールすると、ネットワークがFPNに見えるようになります。VNETプラスがグローバルアドレスとプライベートアドレスの違いを吸収し、Windowsマシンはインターネットを全く意識する必要がなくなります。
インターネットを含むあらゆるネットワークを安全な一つの仮想ネットワークとして100%エミュレートします。
すなわち、Windowsファイル共有システムをインターネットを含むあらゆる環境で利用できるようになります。スマートフォンから携帯網を経由して利用することも可能です。この方法については別記事に譲ります。

FPNにより得られるメリット

VPNが抱えていた課題はすべて解消されます。グローバルIPアドレスは不要です。ポート開放のような離れ業も不要です。NATルータを含む既存のネットワーク環境を全く触る必要がありません。
ネットワーク管理者はWindowsマシンに名前をつけて通信グループに分離するだけです。ネットワークの知識は不要でクラウド上で一括設定ができます。
エンドユーザはVNETプラスをインストールするだけです。使い勝手は同一ネットワーク内の場合と全く同じです。
通信セキュリティを保証してくれるので安心、安全です。クラウドサーバを経由せずエンドツーエンドで通信しますので、セキュリティ的にも安全で、性能的にもストレスがありません。

VNETプラスが画期的な理由

これまでNAT越え問題の解決と、エンドツーエンドのセキュリティを確保する技術を統合することが困難でした。当社は独自の取り組みによりこの課題を解決しました。
VNETプラスの動作原理は18年におよぶ大学研究室における研究成果から生まれた国産のオリジナル技術です。この成果は、情報通信に係る国内最大の学会「情報処理学会」の論文誌に異例の10件の論文が採択され、新規性と有用性が証明されています。
VNETプラス発案者は、大学退職後企業時代の経験を生かして設計書を1から書き直し、3年以上に渡る実用化開発を行い製品化に成功しました。


具体的な実現手順

それでは、具体的な実現方法について説明します。以下の手順に沿って進めると確実に実現できます。
① Windowsファイル共有の基本的な確認
② VNETプラスの導入
③ 運用

Windowsファイル共有の基本的な確認

この記事はファイル共有をすでに使いこなしている方が対象です。ですから、この部分の説明は不要かもしれません。その場合はこの節を読み飛ばしていただいて問題ありません。
まずは同一ネットワーク内(LAN内)での動作を確認します。これはVNETプラスを導入するときの常套手段です。
ファイルをアクセスする側(クライアント)をPC(A)、アクセスされる側(サーバ)をPC(B)とします。


PC(B)の設定

①開示ファイルの選択
デフォルトでは他PCからのアクセスは禁止されています。
PC(B)のExploreを開き、他PCに開示したいフォルダを以下の手順で設定します。
フォルダを選択して右クリックするとコマンド選択画面が表示されます。
以下の順番で進むことにより共有ファイルの設定が完了します。
→その他のオプションを確認 →アクセスを許可する →特定のユーザー →選択窓から共有する相手としてEveryoneを選択 →追加 →共有

②ネットワークプロファイルの変更
ネットワークプロファイルのデフォルトはパブリックなので、プライベートに変更します。
プライベートに設定することにより、ファイル共有やプリンタ共有のアクセスが可能になります。Windowsの設定画面から以下の手順で設定できます。
設定 →ネットワークとインターネット →イーサネット →プロパティ →プライベートを選択

PC(A)の操作

PC(A)のExploreを開き、ファイル指定欄に \ (円マーク2個)から始まるPC(B)のホスト名を入力してください。DNSの環境が準備されていない場合は、IPアドレスで直接指定します。
例:\aaa.acompany.co.jp  または、
  \192.168.10.100
  
PC(A)で初回のみネットワーク資格情報の入力が求められます。
PC(B)がMicrosoftアカウントとローカルアカウントのどちらを使っているかにより、ユーザ名とパスワードが異なりますから、それに合わせて入力してください。
資格情報が正しければファイルアクセスが可能になります。
以上で同一ネットワーク内の動作が確認できます。
ファイル共有のさらなる詳細についてはここでは省略します。

VNETプラスの導入

ここからいよいよVNETプラスの導入の説明となります。
セットアップ方法の詳細はVNETプラスのセットアップに記載されています。
以下にその抜粋を記載します。
セットアップ作業は本サイトと連携している下記ドメインのサイトの中で行います。
https://ntm200.com

VNETの利用登録

VNETプラスを利用するユーザの代表者が利用登録を行います。登録画面からVNETユーザ名を取得してください。
登録画面はこちらです。
VNETユーザ名は下図のように通信装置の名前(VNET ID)の一部として使用されますから慎重に選んでください。
VNET IDはICANN(Internet Corporation for Assigned Names and Numbers)のドメイン名のルールに従っていますから、世界中のホスト名と重複しないことが保証されます。

登録を完了すると確認のメールが届き、メール内に次のアクションが記載されています。

管理用画面からの設定

利用者登録を行ったVNETユーザは、エンドユーザが利用するWindowsクライアント、サーバのVNET IDとパスワードを決定します。またVNET IDを通信グループに分離します。
管理用画面はこちらです。

VNETプラスのインストールと起動

エンドユーザは通信装置にVNETプラスをインストールします。
インストール用の画面はこちらです。
VNETプラスの起動画面からVNET IDとパスワードを入力してログインします。ログインに成功するとVNETプラスの準備は完了です。

VNET通信の確認

VNETプラスを利用して、あらためてファイル共有の動作を検証します。
PC(A)からPC(B)のファイルをアクセスするとき、ファイル指定欄に入力するホスト名の部分をVNET IDに置き換えるだけです。
例:\aaa.vuser.ntm200.com

これでVNET通信でWindowsファイル共有ができることが確認できたはずです。
なお、VNETプラスでアクセスする場合は、PC(B)のネットワークプロファイルは、パブリックでもプライベートでもどちらでもかまいません。

実際の利用

ここまで確認できたらもう大丈夫です。
PC(A)とPC(B)をどのような場所に設置しても同じことができます。
もちろんインターネット越しでもかまいません。
さあ、試してみてください。

留意事項

1点だけ留意事項があります。
それは企業ファイアウォールの存在です。
VNETプラスは全ての通信をUDPポート番号4330でカプセル化します。セキュリティに厳しい企業ではUDPの利用そのものが禁止されている場合があり、VNETプラスの通信がファイアウォールを通過できない可能性があります。
そのような場合は、情報システム部門に説明して、企業内から外部に出ていくパケットのうち、UDPポート番号4330を通してもらう必要があります。

コメント