a. リモートアクセス方式の種類と比較

2024.09.19

リモートアクセスに厳密な定義はありませんが、ここでは以下の図のように、プライベートアドレス空間にあるサーバに対して、遠隔のPCやスマートフォンから、インターネットを経由してアクセスすることを指します。当然、インターネット上の通信は暗号化により安全性が確保されている必要があります。


リモートアクセスの方式にはいろいろありますが、これを分類して整理しました。そしてこの分類に新しい方式としてVNETプラスを追加記述しました。
ここでは、アクセスする側をクライアント、アクセスを受け付ける側をサーバと呼びます。
リモートアクセス方式は以下の3つに分類できます。
(1) VPN装置設置型
(2) 中継サーバ設置型
(3) VNET利用型

(1) VPN装置設置型リモートアクセス
大手企業が一般に利用しており最も実績が多く信頼されている方式です。
代表としてIPsec-VPNとSSL-VPNがあります。
VPN装置はファイアウォール内のバリアセグメント上に設置され、グローバルアドレスを持ちます。
クライアントとVPN装置の間は暗号化通信ですが、VPN装置とサーバの間は平文通信(暗号化しない一般の通信)となります。
ファイアウォールはVPN通信が通過できるようにフィルタを設定する必要があります。
ファイアウォールに内蔵されているNATルータにはNATテーブルを静的に設定す必要があります。
このようなシステムを構築するには専門の知識を持つ技術者が必要で価格も高価です。

(2) 中継サーバ設置型リモートアクセス
インターネット上に中継サーバを設置し、リモートアクセスに関わるすべての通信はこの中継サーバを経由させる方式です。
代表として、OpenVPNとSoftEtherがあります。
VPNほど繁雑ではありませんが、システムの構築には専門知識を持つ技術者が必要です。
中継サーバがハッキングの対象となるので厳密なセキュリティ管理が必要です。
OpenVPNの場合は企業ファイアウォールのフィルタを設定して、通信を許可させる必要があります。
一方、SoftEtherはhttpsで通信パケットをカプセル化するので、ファイアウォールの設定変更が不要である点が最大の特徴となっています。ただし、ネットワーク管理者が通信を管理できなくなるので企業のポリシーと合わないことがあります。

(3) VNET利用型リモートアクセス
VNETではインターネット上のVNETサポート装置群が通信経路を制御し、クライアントとサーバ間はエンドツーエンドの直接通信となります。ただし、一部の通信はTS (Tunnel Switch)経由となります。
VNETではVPN装置も中継サーバも不要になるため、構築が簡単でその後の運用管理も楽です。
サーバやクライアントが動作するために必要な情報はVNETサポート装置群が自動生成します。
セキュリティポリシーの厳しい企業ではファイアウォールのフィルタ設定が必要になる場合があります。

以下に各方式の比較を示します。背景が黄色の項目が利点です。背景が青色の項目はユーザにより判断が分かれます。

IPsec-VPNSSL-VPNOpenVPNSoftEtherVNETプラス
方式VPN装置
設置型		VPN装置
設置型		中継サーバ
設置型		中継サーバ
設置型		VNET方式
アプリケーション任意のアプリWebアプリのみ任意のアプリ任意のアプリ任意のアプリ
アドレスの重複管理不要不要 仮想アドレスと実アドレスの重複管理が必要仮想アドレスと実アドレスの重複管理が必要不要
セキュリティの範囲クライアントとVPN装置間クライアントとVPN装置間エンドツーエンドエンドツーエンドエンドツーエンド
設定作業極めて面倒クライアントの設定不要やや面倒やや面倒簡単
スケーラビリティVPN装置がネックVPN装置がネック中継サーバがネック中継サーバがネックネックは存在しない
通信デバイスの場所移動設定変更あり設定変更あり設定変更あり設定変更あり設定変更不要
通信中の移動不可不可不可不可可能
ファイアウォールの設定必要必要必要不要必要

以下の図をクリックするとVNETプラスが実際に動いているデモ動画を見ることができます。
実演アプリケーションは、Teraterm (ssh)、mjpg-streamer (http)、WinSCP (FTP/SFTP)です。
ネットワーク構成は下図のとおりで、Windowsクライアントはモバイルルータ経由WiMAXで、LinuxサーバはEthernet経由でインターネットと接続されています。

VNETプラスの情報をもう少し知りたい場合は以下のサイトをご覧ください。
VNETテクノロジーのHP
SmartOffice connectサービス


コメント