大島 耕二氏 ネットマークス ネットワークセキュリティ事業部 セキュリティ技術室長
拡張性重視で本社機器を構成
拠点は運用管理のしやすさ
インターネットVPNの基本設計は,VPN装置をファイアウォールと分けるかどうかで2~3種類に大別できる。どの構成を選ぶかは,インターネット・アクセスの形態や保守管理の体制,機器の価格,移行にかけられる時間や資源などで決まる。
B社は,これまで本社と全国7拠点間を64kビット/秒のエコノミー専用線で接続していたが,コストが安く高速なADSLを使ったインターネットVPNに切り替えることにした。
本社からのインターネット接続には,既にADSLを利用していた。また,B社の業務系システムは,すべてWebベース。他に使うのはメール程度で,各拠点から大容量データを本社に送る必要はなかった。このため,各拠点のアクセス回線が非対称速度のADSLでも問題ないと判断した。
|
|
図2 B社が検討したインターネットVPNの本社側の機器構成 |
本社は既存のファイアウォールを利用
B社はまず,本社側の機器構成から検討を始めた。利用中のファイアウォールにVPN機能がないため,(1)VPN機能付きのファイアウォールに変更,(2)既存のファイアウォールは残し,VPN機器を並列に設置――の二つの案が考えられた(図2[拡大表示])。(1)には,セキュリティ・ポリシーやログを一元管理できる大きなメリットがある。しかし,B社は(2)の構成を採用した。ファイアウォールとVPNの機能を分けた方が,必要に応じた回線の増強や機器の増設など,拡張時の対応がしやすいと判断したからだ。
B社は近い将来,自宅などのADSL環境から本社内のネットワークにVPNでアクセスすることも想定している。VPN機器選択の自由度を確保するためにも,(2)が最善だった。
