遠隔接続技術: VPNとGoToMyPC 目次 1 概要   伝統的解決法 :VPN   革命的解決法 :Expertcity GoToMyPC 2 両技術の比較   ソフトウェアの組み込み   環境設定   暗号化されたセッションの終端   防火壁   NAT / IPアドレス積み重ね   IPの信頼性   性能   認証   遠隔端末の管理   安全性問題   拠点間の利用 3 要約 遠隔アクセス技術 :GoToMyPCとVPNの比較  概要 ====  今日の情報システム管理者にとって頭の痛い問題は、物理的に社内のネットワークの 外に位置する人々に対して、いかにして社内の情報システム資源への安全な接近を提供 するか、ということである。  ますます密接に絡み合う今日の社会において、出張中の営業部員、長距離通勤者、定 時後の勤務者などはすべて会社のネットワーク資源への接近を必要としているが、会社 のデータベース、販売ツール、電子メールなどの資源は通常社外から接近できないよう に防火壁によって保護されている。  伝統的な解決策 :VPN(Virtual Private Network、仮想閉域網)  遠隔スタッフに社内資源への接近を提供する伝統的な方法は、仮想閉域網(VPN)を用意 することである。  VPNは特定の終点間を伝わるすべてのデータを暗号化し、それがたとえダイヤルアップ ISPのような、旅行中の営業部員が使うような公共のネットワークを通して伝わる間でさ えもデータのプライバシーを保証する。  典型的な場合では、企業のネットワークの周縁部に繋がったVPNによる接続には、ロー カルな LANを使った接続と同じアクセス権が与えられる。  革命的解決策:エキスパートシティ”GoToMyPC”  エキスパートシティの”GoToMyPC”はウェブベースの画面共有(スクリーン‐シェア リング)ソフトウェアであり、”GoToMyPC”のウェブサイト https://www.gotomypc.com にコンピュータが登録されていれば、ユーザーはそれにアクセスし作業を行うことが できる。  ”GoToMyPC”ではユーザーはアクセスしているコンピュータの画面を見ることができ たとえコンピュータが実際には1000キロメートル先にあったとしても、まるですぐ 前に座って利用しているかのように、そのコンピュータのすべてのプログラム、ファイ ル、ネットワーク資源を利用することができる。  コンピュータ間の全ての通信は、 128 ビット暗号方式を用いて暗号化される。  ホストコンピュータとクライアントコンピュータとの間では画面とキーボードの更新 情報のみが送られるため、ユーザーがファイル転送を行わない限りは、帯域の消費は最 小限に抑えられる。  インターネットに接続されたコンピュータであれば、特別なソフトウェアをインスト ールしなくてもホストコンピュータを操作することができる。  ホストもクライアントもよく知られたポートを使って外向きのTCP接続を開始するの で、防火壁の変更は一切必要としない。  両技術の比較   =========  ソフトウェアのインストール =============== VPN: VPNでは、企業のネットワークにアクセスする遠隔コンピュータには特別な VPN クライ アントソフトウェアを組み込まなければならない。  これは所在地の固定した遠隔勤務者にとっては問題ではないが、旅行者が利用する 場合にはコンピュータの携帯が義務づけられる。旅行先で調達したコンピュータを利用 することはできない。  また、情報システム部門は物理的にその配下にない多種多様なコンピュータに組み 込まれたVPN クライアントソフトウェアを管理しなければならない。 GoToMyPC:  GoToMyPCでは、ユーザーはインターネットに接続されたコンピュータからであれば、 どこからでもホストコンピュータにアクセスし操作することができる。また、前もって 何か特別なソフトウェアをインストールしておく必要はない。  しかしながら、それには遠隔ユーザーが接続可能なコンピュータが企業の LAN上に 存在していることが必要とされる。  仕事で使うデスクトップコンピュータを会社に持っているがたまたま在宅で仕事を している長距離通勤者や、ラップトップパソコンを持って旅行中の販売員にとっては、 これは問題とならないだろう。  デスクトップコンピュータを持たない従業員にとっても、企業の LAN上に存在する コンピュータへのアクセスを提供される方が、遠隔地から企業の資源にアクセスする 方法として VPN を提供されるよりも効率的で費用対効果が高いかもしれない。  環境設定 ====== VPN: VPN クライアントソフトウェアは、接続先毎に環境設定が行われなければならない。 また、接続先毎に認証機構が用意されなければならない。  この場合、クライアント端末が配置された後で新しい接続先が追加されたときには 面倒な対応作業が発生する。 GoToMyPC:  GoToMyPC では環境設定が自動的に行われる 。  GoToMyPCのウェブサイトにログインしたリモートユーザーには、安全に接続し操作 できるコンピュータの一覧表が表示される。  ユーザーはユーザー名/パスワードとコンピュータへのアクセスコードを記憶して おけばよい。  暗号化されたセッションの終了  ================ VPN  VPNは、暗号化されたセッションの終端となる特定のハードウェアとソフトウェア もしくはそのいずれかを必要とする。  この暗号化 / 復号化の集中処理によってCPUの負荷は重くなる。そのため、その ようなデバイスは、一度に処理できるセッション数が増えるに連れ高価になる傾向がある。 GoToMyPC :  GoToMyPCによる接続は操作されている機械上が終端となる。従って、暗号化/復号化 の負荷は、操作される全ての計算機に分散され、機械に与える影響が最小限になるよう な取り扱いが簡単にできる。  防火壁(ファイヤーウォール)  ================= VPN  VPNを稼働させるためには、防火壁を修正して、VPN終端装置までのVPN接続を許可 しなければならない。 GoToMyPC  GoToMyPCでは、ホスト機もクライアント機も、それらが開始した外向きのTCP接続に よって全ての通信を行うので、防火壁の変更は全く必要としない。  NAT / IPアドレス加重  ============= VPN  VPN 技術は通常 NAT / IPアドレス加重 との相互作用は行わない。  これは、ホームユーザーが複数のコンピュータでインターネット接続を共有するため にケーブル・モデムもしくは DSL 接続において NAT装置を利用している場合には問題 を引き起こす。  それはまた、企業のネットワークにおける VPN 終端装置の配置を複雑にする。 (VPNは企業のNAT装置を通過できない。しかし、VPN終端装置をNAT装置の外側に置く のはセキュリティ上の問題がある。) GoToMyPC :  GoToMyPC はNAT 問題には全く影響されない。 IPの信頼性 ====== VPN  VPN 技術はしばしば IP中心 である。  IP 以外のプロトコルをサポートする VPN ソリューションはほとんどない。 GoToMyPC  GoToMyPC は、単にホストマシンとの間で画面イメージと入出力をやりとりすれば よいだけなので、ホストマシンによってサポートされるプロトコルは全て使用できる。  性能 ==== VPN  VPNのスループットは、速い LAN で走るように設計された企業のアプリケーションに 必要な水準を下回ることが多い。  しばしば VPN 接続は、モデムであり、VPN のオーバーヘッドは、ほとんどの場合 利用可能な帯域幅を減少させる。 GoToMyPC  GoToMyPCにおいては、アプリケーションは LAN 上のホストコンピュータで動いて いるので、ユーザーは、物理的に企業の LAN を使っているときと同じパフォーマンス を経験するであろう。  GoToMyPC は遠隔装置との間で画面表示と入出力をやりとりしているだけであり、 かつ、比類なく効率的な圧縮アルゴリズムが組み込まれているので、帯域幅を非常に 効率的に使用する。  画面応答は、モデム接続の場合でさえも全く良い。  認証 ==== VPN  VPN ソリューションでは、ユーザーではなく接続機器を認証することが多い。  このため、ラップトップが盗まれた場合のように、外部の VPN 端末を権限のない者 が使う場合には、セキュリティの危機を招く。 GoToMyPC  GoToMyPC は、 GoToMyPCのウェブサイトでユーザーの GoToMyPC アカウントに アクセスするために、パスワード確認を必要とする。  1 度ログインすると、ユーザーは接続可能なコンピュータの一覧を見ることができる。 それらのコンピュータのどれも、制御するためには、もう一度特別なコンピュータ 接続コードを入力しなければならない。( 注 :コンピュータ接続コードは、決して ネットワーク上では送信されない。暗号化して送信されることもない。)  更にユーザーは、あたかも接続している機械の前に座っているかのように、接続して いる機械のセキュリティ管理に支配される ( < 例 >ログインするためもしくはスク リーンセーバを不活発にするためには、 NT ドメインまたは NDS ユーザー名 / パス ワードを必要とする、等)。  遠隔クライアントの管理 ============== VPN  VPN ソリューションにおける最も重大な困難は、VPN遠隔クライアントシステムの 管理である。  遠隔システムで企業LANのローカルマシンと同じ機能を提供するためには、遠隔 システムに同じアプリケーションを組み込まなければならない。  しかしながら、そのようなアプリケーションのインストールと保守は、更に難しい。 なぜなら、通常はIS スタッフが機械を見に行くわけにはいかないからだ。 GoToMyPC  遠隔ユーザーが動かす機械はウェブブラウザしか必要としないので、遠隔管理の 必要はない。  遠隔ユーザーは、操作される機械に現れている全てのアプリケーションを利用できる。 また、企業の情報システム部は、組織的かつ熟知の方法によって操作される機械を管理 できる。  セキュリティ ======== VPN  ほとんどのVPN ソリューションにおいてセキュリティ面の最大の欠点は、LAN内の 機械と同じ方法では保護されていない外部の機械に接続を許可し、LAN内の機械と同じ 特権を与えるということである。  遠隔機械に VPN クライアントがインストールされていたとしても、最新のウイルス 対策やなんらかの防火壁による保護策が組み込まれているという保証はない。また、 デフォルトの脆弱性が解消されているという保証もない。  それにもかかわらず、遠隔機械は、内部のネットワークにはいることを許可され、 管理された内部の機械と同程度に信用される。  昨年末にマイクロソフトに侵入するためにハッカーによって開発されたVPN の脆弱性 はこのタイプであったとも考えられる。  VPN クライアントが保護策を持っているか十分吟味せずに入るのを許されるならば、 ファイアウォールや最新のウイルススキャナで企業内の機械を保護しても意味がない。 GoToMyPC  GoToMyPC においては、企業 LAN の防衛手段を切り替える必要がないため、VPNの ようなセキュリティ面のさらしは発生しない。  遠隔機械が企業のネットワークの一部となることはないので、遠隔機械がウイルスに 感染するかどうかは無関係である。  遠隔機械がすることの全ては、安全性の高い企業内のLANに安全なチャネルを供給 することである。  拠点間の使用 ========== VPNs  VPNは、拠点間連携において普及品であるインターネットを使うことを可能にし、 なおかつ暗号化によって保護されている。 GoToMyPC  GoToMyPC は、オフィスの間の通信を保護することに適していない ; クライアント コンピュータから安全にホストマシンを制御できるようにするメカニズムを供給する ものの、複数の任意の端点間のトンネルを供給するものではない 。  要約 ====  GoToMyPCは、VPNとは異なり、情報システムの管理に関して追加作業、セキュリティ 損失、パフォーマンス損失などのレベルを低下させることなく企業のコンピュータ資源 への安全なリモートアクセスの方法を提供する。   VPN は、特別なハードウェア・ソフトウェア・環境設定を必要とするため、実装・ サポートに多大な時間と費用を要する。  一方、 GoToMyPC は、数分で実装され得る完全にウェブ‐ベースのソリューションで ある。  VPNは、信用性の低いネットワーク上で異なる LAN を相互接続するためにはいまだ 有力な選択枝である。しかし、遠隔ユーザーのために、 GoToMyPC は、はるかに容易な、 そして、更に安全なソリューションを提示する。 ソフトウェアインストール GoToMyPC クライアントソフトウェア不要 VPN ソフトウェアは、クライアントにインストールされなければならない。 環境設定 GoToMyPC 自動環境設定 VPN クライアントソフトウェアは、環境設定を必要とする。 暗号セッションの長さ GoToMyPC 終端間暗号化。重い CPU 負荷を課す。 VPN 中央集権化された暗号化。負荷は、ハードウェア、かつまたは、ソフトウェアの間に 広がり、使われる。 ファイアウォール GoToMyPC 変更の必要なし。 VPN 特別な設定が必要。 NAT / IPアドレス加重 GoToMyPC NATを問題なく通過する。 VPN NAT / IPアドレス加重のある環境では使えない。 IPの信頼性 GoToMyPC ホストコンピュータ上の全てのプロトコルが使用可能。 VPN IP中心。 性能 GoToMyPC アプリケーションはLAN上で稼働する。 画面イメージのみが転送される。 高性能。 VPN 高速なLAN用に設計されたアプリケーションもVPN上では非常に遅い。 しばしば性能は貧弱。 認証 GoToMyPC 他地点でユーザーを認証。 VPN ユーザーではなく接続機を認証しがち。安全性に劣る。 遠隔クライアントの管理 GoToMyPC クライアントコンピュータが必要とするのはウェブ‐ブラウザのみ。 VPN 遠隔システムにアプリケーションを組み込み維持するのは難しく費用がかかる。 安全性 GoToMyPC 企業LANの安全性には影響しない。 VPN 外部の機械にLANの権利を与えるため、潜在的に安全性に危険が生じる。 拠点間の利用 GoToMyPC ネットワークというよりは特定のコンピュータへの安全なトンネルを提供する。 VPN 拠点間を接続するために利用される。 (翻訳:中瀧明男 2003/3/13)