インターネットVPNの導入指南書 第2回|Interop Channel|トピックス|Computerworld

インターネットVPNは RASから移行する最善策

　社外から社内ネットワークへリモートアクセスする方法には、ダイヤルアップでRASに接続する方法がある（図1）。しかし、ダイヤルアップでネットワークに接続する方法は、作業の手間だけでなく、ホットスポットなどが普及しつつある現在、通信速度や通信費用を比較してもメリットを得にくくなっている。

図1●　ダイヤルアップでRASに接続して社外から社内ネットワークへリモートアクセスする方法では、作業の手間や通信速度、通信費用などが問題となる

　連載第1回では、RASの代わりにホットスポットを利用するときの問題について紹介した。また、インターネットVPNがこれらの問題を解消し、RASに代わる高速で安価なリモートアクセス環境を実現することにも触れた。ここでは、クライアントPCでリモートから安心して社内ネットワークにアクセスするインターネットVPNを構築するときにチェックすべき項目について解説する。

IKEでは端末を認証するが ユーザーは認証できない

　クライアントPCでリモートから社内ネットワークにアクセスするインターネットVPNを構築するときのチェック項目は、ユーザー認証、IPアドレス、フラグメントの3つの領域にわたる。

　遠隔地からインターネットVPNでアクセスするときに最も注意しなければならないのが、「ユーザー認証」である。Part2では、IKEで利用できる4つの認証方法について解説した。これらの中の事前共有鍵秘密認証方式では、セキュリティゲートウェイのIPアドレスを認証用のID情報として使用すると述べた。IPアドレスが固定されたセキュリティゲートウェイどうしは、正常に通信していれば、お互いのIPアドレスを理解して認証できる。だが、IPアドレスが固定されていないクライアントPCと通信相手のセキュリティゲートウェイが認証するにはどうすればよいのだろうか。

　クライアントPCを認証する方法の1つとして、IKEのフェーズ1でアグレッシブモードを利用する方法がある（図2）。このアグレッシブモードでは、IPアドレス以外の情報を認証IDに使用する。ただし、アグレッシブモードでは事前に通信相手のセキュリティゲートウェイに認証IDを設定する必要がある。

図2●　アグレッシブモードでの認証。認証IDの暗号化は任意なので、接続情報を盗聴される可能性がある

　このアグレッシブモードの問題は、認証IDを暗号化することが任意になっていることである。メインモードでは暗号化することが前提になっているので問題にならないのだが、アグレッシブモードでは接続情報を盗聴される可能性がある。

　さらに、クライアントがリモートからインターネットVPNでアクセスするうえで、IKEでの認証方式にはもっと大きな問題がある。それは、IKEでの認証方式は、IPsecで通信する端末どうしを認証することを前提にしていることだ。つまり、IKEでの認証方式はクライアントPCを認証しても、その使用者（ユーザー）を認証する仕組みではないのだ。

インターネットVPNで ユーザー認証するXAuth

　それでは、インターネットVPNでユーザーを認証するにはどうすればよいのだろうか。実は、「XAuth」という技術を使って、インターネットVPNでユーザーを認証する方式がすでに登場している。ただし、XAuthの仕様はまだ標準化されていないので、製品によって実装がまったく異なっているので注意してほしい。

　XAuthは、IKEのフェーズ1が完了したあとに、モードコンフィグとして実行する（図3）。モードコンフィグは、IKEのフェーズ1で作成された秘密鍵を使って暗号化されるため安全だ。XAuthに対応することでRADIUS（Remote Authentication Dial-In User Service）などのユーザー認証装置をインターネットVPNで利用できるようになる。ワンタイムパスワード製品などを利用すれば、ユーザーを認証する強度をさらに高められるだろう。XAuthは、やり取りを簡潔に定義しているので、実装しているベンダー製品が多い。

図3●　XAuthを使ってユーザーを認証する。XAuthでは、IKEのフェーズ1が完了したあとに、RADIUSなどのユーザー認証装置を使ってユーザーを認証できるようになる