リモートアクセス

T社は，東京に本社があり，都内に3か所の営業所をもつ，食料品販売会社である。本社と各営業所のLANは，インターネットVPNによって相互に接続され，T社のネットワークを構成している。インターネットVPNには，ファイアウォール（以下，FWという）に組み込まれているIPsec機能を使用している。

インターネットVPNの導入前から，営業員は，T社から1人に1台支給される携帯用PCから，公衆網を利用してT社ネットワークにリモートアクセスをしている。営業員は，リモートアクセスによって，メールサーバ，Webサーバ，データベースサーバ（以下，DBサーバという）へのアクセスなど，社内と同様の作業を行える。リモートアクセスには，本社に設置されたリモートアクセスサービスサーバ（以下，RASサーバという）にPHSで接続する方式を使用している。

T社の事業拡張に伴い，携帯用PCのリモートアクセスに，次の問題が発生した。

• 営業員の増加によってRASサーバへのアクセスが増し，回線がつながりにくくなり，業務に支障が出ている。
• 営業地域が全国に拡大し，通信費が増大している。

問題解決のために，インターネット経由で携帯用PCを接続する方法として，次の三つの案を検討した。

案1

社内のRASサーバの代わりに，通信事業者が提供するRASサーバに，携帯用PCからリモートアクセスする（図2）。営業員は，最寄りの通信事業者のRASサーバに，PHSで接続する。RASサーバへの接続時のユーザ認証は，aやbなどを利用して通信事業者が行う。

案2

既存のFWによるIPsec機能とは別に，SSL-VPN装置を導入し，SSLによってVPNを構成する（図3）。携帯用PCをインターネットに接続できる環境があれば，Webブラウザを起動して，社内のアプリケーションを利用できる。

SSL-VPN装置は，cが発行したサーバ証明書を携帯用PCに送信して，自らをサーバ認証してもらう。逆に，クライアント証明書を受信して，クライアント認証を行うこともできる。

案3

既存のインターネットVPNを使用する（図4）。携帯用PCをインターネットに接続できる環境があれば，あらかじめインストールしておいたIPsecクライアント用ソフトウェアを使用して，社内のアプリケーションを利用できる。

セキュリティプロトコルには，データの暗号化機能を提供するdを使用する。通信モードには，IPヘッダとデータ部をまとめて暗号化するトンネルモードを使用する。

案3の課題

案1～3の特徴を考慮して，案3を導入する方向で検討を進めた。営業員の利用環境を調査したところ，NAPTを利用している環境があったが，NAPTの利用に関連して発生することのある問題には対処できることが確認できた。しかし，リモートアクセスを不可能にする別の課題があることが分かった。例えば，携帯用PCが，出張先のホテルにあるeから，動的にfを取得する場合，T社ネットワーク内でfが重複してしまい，リモートアクセスができなくなるおそれがある。

この課題について更に調査し，恒久的な対策があることが分かった。