●暗号技術を使ってインターネットを専用線のように利用する「インターネットVPN(仮想私設網)」の導入企業が増えている。●インターネットVPNは専用線を張り巡らすよりもコストが安い。特に小規模な拠点の接続やモバイル・システムの展開に向く。●オフィス家具大手の岡村製作所のように,営業支援システムの基盤にインターネットVPNを活用する企業も登場している。

図1●今回取り上げる「インターネットVPN」の位置づけ。特に,多数の小規模拠点を本社と接続したり,モバイル環境のユーザーが本社のLANにアクセスする用途に向く。専用線を使うよりも通信コストが安く,また電話回線でリモート・アクセスする場合よりも安全性が高い
 暗号化などのセキュリティ技術を使ってインターネット上に仮想的な専用線を構築する「インターネットVPN(仮想私設網)」。ここにきてインターネットVPN用の製品やサービスが充実してきたことで,企業での導入事例が急速に増えてきた。

 最大の利点は,インターネットへの接続環境と,VPN用のハードまたはソフトを用意するだけで,専用線と同様の通信インフラを得られることだ。一般に専用線は他の通信サービスに比べて割高で,しかも拠点間の距離に応じて料金が段階的に上がる。インターネットなら通信コストは格段に安く,拠点間の距離にも依存しない。ノート・パソコンなどのモバイル環境からの利用も可能だ。

 このためインターネットVPNは,特に小規模な拠点が多数ある企業や,モバイル・システムを展開したい企業にとって導入のメリットが大きい(図1[拡大表示])。例えば,「UNIQLO」の名称で全国に衣料販売店を展開するファーストリテイリングは,山口県山口市の本社と全国約400の店舗をインターネットVPNで結んでいる。また日本オラクルでは,海外出張中の社員が社内LANにリモート・アクセスする際にインターネットVPNを活用中。いずれも通信コストの大幅な削減を実現している(本誌1999年12月6日号の特集記事を参照)。

 最近では,インターネットVPNならではの特徴を生かした業務支援システムを構築する企業も出てきた。2000年1月に,営業担当者約800人を対象とするWebベースのSFA(セールス・フォース・オートメーション)システムを稼働させた,オフィス家具大手の岡村製作所もその1社である。

ノート・パソコンからVPNに接続

図2●岡村製作所が構築したVPNのネットワーク構成
 岡村製作所のSFAシステムは,全国の営業担当者が日々の報告や行動計画,商談中の案件をWebブラウザからセンターのサーバーに登録し,上司が報告をチェックしたり,売り上げ予測などに活用するものだ。同社はこのSFAシステムを支える通信インフラの一つに,インターネットVPNを活用している(186ページの図2[拡大表示])。

 岡村製作所の場合,横浜市にあるセンターと支店などの主要拠点の間はフレーム・リレー網で接続している。このため営業担当者の多くは,各拠点からフレーム・リレー網経由でセンターのサーバーにアクセスする。しかし同社には,フレーム・リレー網につながれていない小規模な営業所や,期間限定で設置する拠点もある。また,営業担当者が外出先や宿泊先からサーバーにアクセスしたい場合もある。中には,地方に駐在という形で,自宅が営業所を兼ねている担当者もいる。「オフィス家具を扱う当社は,営業担当者ができるだけ顧客の近くで仕事をするのが基本方針。北海道から沖縄まで,全国に拠点が“広く薄く”行きわたっているのが特徴だ」(土志田貞一情報システム部長)。

 そこで岡村製作所が導入したのが,インターネットVPNである。例えば,営業担当者が出先などからサーバーにアクセスするときは,VPN用のソフトを載せたノート・パソコンと携帯電話(またはPHS)を使い,インターネット経由で接続する。小規模な拠点についても,VPNソフト搭載のパソコンを用意することで,各拠点から担当者がインターネット経由でサーバーにアクセスできるようにした。いずれも単純にインターネットで接続するのではなく,認証や暗号化を行ってセキュリティを確保する。

 現在,モバイル環境からインターネットVPNを利用している営業担当者は約100人(ほかに情報システム部など他部門の約100人が利用)。今後もモバイルの利用者はさらに増える見込みという。

コストと運用の負荷を削減

 岡村製作所は1997年3月ごろから,モバイル・システムの社内展開を試みていた。しかし当初はインターネットVPNではなく,国内6拠点にアクセス・サーバーを設置し,利用者が最寄りの拠点に電話回線でリモート・アクセスする方法をとっていた。このため,「例えば大阪に設置したアクセス・サーバーに,京都など近隣の府県から市外電話で接続し,電話代がかさむという問題があった」(情報システム部技術担当の種田浩徳主事)。さらに,アクセス・サーバーの運用管理の負荷が大きいことも悩みの種だった。

 通信コストと運用の負荷を減らすには,どうしたらよいか。モバイル・システムの試行を進めるうちに岡村製作所がたどりついたのが,インターネットVPNの導入だった。同社は1998年3月に,まずモバイル利用者を対象にインターネットVPNの利用を開始。その後,同年10月には,全国の小規模拠点にも導入した。

 インターネットVPNの場合,通信コストは,ISP(インターネット・サービス・プロバイダ)の最寄りのアクセス・ポイントまでの電話料金と,インターネット接続サービスの利用料金しかかからない。問題となっていたアクセス・サーバーの運用管理の負荷も,サーバーをセンター1カ所に集約することで,従来に比べて軽減できた。

特定の通信事業者に縛られない

 インターネットVPNを導入するにあたって,岡村製作所が重視した点はほかにもある。それは,「ネットワークを利用するときの制約をできるだけなくす」というものだ。

 インターネットVPNを実現するには,VPN製品を購入してネットワークを自前で構築する方法と,ISPなどの通信事業者が提供するVPNサービスを利用する方法がある。岡村製作所は自前で構築する方法を選んだ。「VPNサービスの利用は,特定の通信事業者との契約が必要になるし,利用可能なアクセス・ポイントが限られるなど,当社にとっては制約が多い」(情報システム部技術担当ネットワークサポートチームの酒井宏和主任)と考えたからだ。

 自前でインターネットVPNを構築すれば,そのぶん運用コストがかかるものの,制約は少なくなる。基本的にどのISPを利用してもサーバーへのアクセスが可能だ。また,インターネット接続の機能や通信速度の向上が目覚ましい携帯電話やPHSなど,最新のモバイル機器も即座に取り込める。

ワンタイム・パスワードで認証

図3●岡村製作所が採用したワンタイム・パスワードによる認証と暗号化通信の仕組み
 もちろん,セキュリティの確保にも十分に気を付けている。岡村製作所はユーザー認証に「ワンタイム・パスワード」という方式を採用した。これは,毎回使い捨てのパスワードを使うことで通信の安全性を高め,不正アクセスを防ぐものだ(図3[拡大表示])。

 まずユーザーがVPN用のクライアント・ソフトを載せたパソコンからサーバーに認証要求を送ると,サーバーは毎回異なる乱数をユーザーに対して発行する。この乱数をユーザーが手持ちの認証用ハードに入力すると,内蔵する暗号鍵に基づいて変換された数値が表示される。これをパソコンに入力してサーバーに返信すると,サーバー側では暗号鍵を基に乱数を変換したものと比較し,両者が一致すれば正規ユーザーであると認証する。認証後は暗号化した通信が始まる。

 岡村製作所はこうしたユーザー認証に米アクセント・テクノロジーズの「OmniGuard/Defender」(ソリトンシステムズ=東京都新宿区=などが販売)を使い,VPNの暗号化には同じくアクセント製の「OmniGuard/PowerVPN」(同)を利用している。OmniGuard/Defenderは以前からリモート・アクセスのユーザー認証に使っていたもの。インターネットVPNの構築にあたって,同じメーカーのVPN製品を導入することにした。PowerVPNはデータ圧縮の機能も備えており,「SFAのアプリケーションの場合,32kビット/秒以上の回線ならばストレスなく利用できている」(情報システム部第一システム企画担当の小笠原勝政主任)という。

 当初はPowerVPNのクライアント・ソフトとWebブラウザのInternet Explorerの“相性”が悪く,うまく動作しないケースもあった。だが,現在はPowerVPNのバージョンアップによってこの問題は解決している。

取引先にもVPNを展開

 岡村製作所は1999年8月から,インターネットVPNを取引先の販売店にも拡大している。現在は約50社が接続しており,見積もりや受発注,図面などのやり取りに活用している。

 インターネットVPNを自前で構築したことは,これらの取引先との接続に関しても有効だった。「通信事業者が提供するVPNサービスを利用すると,販売店に対して特定の事業者のサービスを強制することになる。その点,自社で構築したVPNなら,販売店に『インターネットに接続する環境だけ整えて』と言えばよい」(酒井主任)。販売店側にインターネットへの接続環境があれば,VPNソフトと認証用ハードなどを合わせて1端末当たり約4万円でVPNに接続できるという。

 岡村製作所のセンター側では,販売店向けの公開サーバー群を別途,用意しており,ファイアウオールによって社員からのアクセスと販売店からのアクセスを振り分けている。

 土志田部長は「今後もVPNなどの通信インフラを積極活用し,併せて業務の見直しを進めることで,販売から生産,物流までのリードタイム短縮を図っていきたい」としている。

(坂口 裕一,杉山 裕幸)

 VPN(バーチャル・プライベート・ネットワーク,仮想私設網)は,公衆網の上に仮想的に構築した専用ネットワークのことである。通信コストが安い公衆網を利用して,専用線と同等の使い勝手を実現する。

 最近注目を集めているのは,通信インフラにインターネットを利用する「インターネットVPN」である。認証や暗号化などのセキュリティ技術を使うことで,インターネット上に仮想的な専用線を構築する。かつては交換機にアクセス制御機能などを組み込み,加入電話網をあたかも企業の内線電話のように利用する,音声伝送用のVPNが多かった。

 インターネットVPNを構築するための製品やサービスも充実してきた。まず,サーバーやパソコンなどで動作するVPN専用のソフトウエアが増えている。VPN構築に必要な暗号化機能を備えたものだ。製品例としては,米アクセント・テクノロジーズの「OmniGuard/PowerVPN」,ノベル(東京都世田谷区)の「BorderManager VPN Services」などがある。

 ルーターやスイッチなどのネットワーク機器も暗号化機能を備えるようになってきた。例えば,米ノーテルネットワークスの「Contivity Extranet Switch」は,VPN専用をうたったスイッチ製品である。このほか,米チェック・ポイント・ソフトウエア・テクノロジーズの「FireWall-1」のように,VPN構築のための機能を併せ持つファイアウオール製品もある。

 実際にインターネットVPNを構築するときは,これらの製品を組み合わせて利用することになる。異なるメーカーの製品間でも相互接続ができるように,「IPsec」と呼ぶ規格の標準化も進んでいる。

 また,NTT PCコミュニケーションズ(東京都港区)やJENS(同)など,インターネットVPNを通信サービスとして提供する事業者も増えている。こうしたサービスを利用すると,ユーザー企業は自社でVPN製品を用意する手間が省け,ネットワークの運用管理も事業者に任せることができる。

 拠点間を接続するときの利用料金の例を挙げると,NTT PCが提供するVPNサービス「NNCS」では,1拠点当たり初期費用が6万~10万円,月額料金が5万~55万円(通信速度によって異なる)。JENSが提供する「インターネットセキュリティVPNオプション」では,1拠点当たり初期費用が11万5000円,月額料金が7万円となっている。