セキュア・安価な拠点間接続の最右翼、マネージドVPN最新事情：マネージドVPNはプライベートクラウドへの第一歩

本社や支店など、拠点間を接続するにはもはやVPNが必須といえる。しかし、VPNの導入や回線の運用は中小企業にとって決して容易ではない。こうした問題は、マネージドVPNの導入によって解決できる。

[池田冬彦]

意外と難しいVPNの拠点間接続

　企業のWAN回線は今や、光回線やADSL回線などを足回りに、インターネット経由でLANを相互接続するVPN（仮想プライベートネットワーク）が主流となっている。VPNを実現する方式には、最も容易にVPNを構築でき、運用管理も簡単な「PPTP」、公開鍵／運用鍵を用いて厳密な相互認証と暗号化を行う「IPsec」、Webで使われているSSL技術を用いたリモートアクセス向けの「SSL VPN」がある。

　これらは、それぞれのVPN方式に対応するゲートウェイ機器を拠点ごとに設置するだけであり、特別な回線の契約は必要ない。現在使っているインターネット回線をそのまま利用してリーズナブルにVPNを構築できるため、中堅・中小企業で最も広くに利用されている。これらは一般に「インターネットVPN」といわれている。

　そして、企業のWAN回線（LAN間接続）に一般的に使われるVPN方式がIPsec方式である。IPsecは厳格に通信の正当性を検査する技術。単にデータを暗号化するだけではなく、パケットデータの改ざんやなりすましを厳密に精査し、発信元やデータの内容の真正性を保証するので、セキュリティレベルは高い。

　だが、IPsec方式のVPNの導入、運用は簡単ではない。すべて自前でVPNを構築しようとする場合はまず、拠点の数だけのVPNゲートウェイ機器（VPNルータ）を購入し、設置作業を行う必要がある。それだけではない。IPsecではIKE（インターネット鍵交換）という仕組みを使って相互認証とデータの暗号化を行うため、公的な認証機関から電子証明書を取得し、そのデータをVPNゲートウェイ機器にインストールして適切に設定する必要もある。

自社でインターネットVPNを構築する際の主な作業

項目	内容
WAN回線の見直し	足回りとなるインターネット接続回線が拠点間のトラフィックを適切に伝送しているか、実スループットを基に必要に応じて回線の見直しを行う
拠点間スループットの検討	本社などサーバが設置されている拠点に対して、どの程度アクセスが集中するかを計測・予測する
VPN機器の選定	各拠点のスループットを考慮して、最適なVPN機器を検討／選定する
LANの見直し・再設計	VPNによって従来のサーバやサービスが問題なく利用できるかどうかを検討。場合によってはLANの再構築を行う
VPN機器の設置・設定	VPN機器を設置し、拠点間をVPN接続するための各種設定を行う。この作業は拠点ごとに実施
VPN接続の運用	各拠点に設置されたVPN機器の死活監視、ログ管理などの運用管理を行う
障害への対応	WAN／LAN回線の障害に対して、原因の切り分けや復旧作業などを行う
専任の管理者がいないオフィスでは初期コストだけではなく運用管理の負担も大きい

　これらの導入作業にはネットワーク機器やVPNの知識が必要であり、専任管理者がいない中小企業にとっては、社員の中に詳しい人間がいない限り、導入作業を進めることは難しい。また、運用管理の問題もある。トラブルが発生した場合、問題が解決するまでWAN回線が不通になり、業務が停止して大きな損失を招く危険もある。このように、IPsec方式のVPNを自前で構築・運用するのは中小企業にとってかなりハードルが高いといえる。

関連ホワイトペーパー

VPN | 運用管理 | ルータ | OCN | Cisco Systems（シスコシステムズ） | 暗号化 | 認証 | SSL | ブロードバンド | FTTH | 公開鍵