Category Archive ネットワーク系コラム

cube-es,inc home

【第十五回】リモートワーク接続元に関する注意点

こんにちは、キューブ・エス中村です。


前回に引き続き、リモートワークに関する注意点について。

今回はリモートワークにおける接続元のお話をさせて頂きます。


そもそも、リモートワークの性質上、リモートワークの接続元は

基本的に各個人の自宅からを想定する事となり、

となると接続元を決める事は出来ません。


と言う事は、つまり、広くインターネット側の接続元からの

社内への接続要求を受け入れる設定に他なりません。

これは接続者の善意・悪意を問わず、一定のルールで来た接続要求を

まずは広く受け入れる設定であると言う事です。

また、リモートアクセスVPNの接続要件として設定されているのは

多くの場合パスワード認証であり、パスワードさえ突破すると

これは即ち、悪意を持った第三者でさえ自由に社内に

アクセスが出来ると言う事に他なりません。


リモートアクセスVPNにおいて、この潜在的なリスクについては

「致し方ない物」ではある反面、恐らく最大のリスクであり、

出来れば回避したいところではあります。


ではどうすれば良いのか?


弊社で提示できる事は一例ではありますが、リモートアクセスVPNの接続自体に

各個人の携帯電話アプリに紐づいた2要素認証を行なう事が可能な機器もございます。

また、接続用クライアントにユーザー証明書を必要とするタイプの機器もあり、

このクライアントを社内での配布のみに限定する場合、社員以外に接続許可されない為

リスクを低減する事が可能です。

また最後に、どうしても機器的制限において上記の様な設定が不可能な場合は

固定の閉域網SIMや、簡易VPNアプライアンスを使用すると言う手段もございます。


ただ、いずれにしても、接続を容易に行なえなくする為の

一工夫が必要であると言う点においては留意点となります。

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

尚、弊社は英SOPHOS社のパートナーであり、

SOPHOS社の認定資格を諸々取得しています為、

上記の様なご相談についても対応可能です。

比較的安価で且つ接続制限それ自体を賄えるファイアウォールであり

リモートアクセスVPN等の機能を基本ライセンスに内包しています為

比較的安価に、安全なリモートワーク環境が整えられます。

もし宜しければ、お気軽にご相談下さい。

【第十四回】リモートアクセスVPNとWAN帯域と注意点

更に連続投稿、キューブ・エス中村です。


リモートアクセスVPNの越えるべきハードルとして、

先の投稿では多数の接続からくる帯域の低下を挙げさせて頂きました。

その上で、その解決策として回線の速度を増強する方法、

または宛先制限によるVPN経由の通信の限定化を挙げさせて頂きました。

それぞれ詳細を説明させて頂きます。


まず、帯域の増強について。

勿論皆で使うから帯域が細くなるのであれば、その分太い回線を使えば

帯域が均等平均的に分割されたとしても、ある程度の速度が

出る事となります。


となると、回線はどんなものを使えば良いのか?

結論を言うと、弊社としては有線やケーブル等の光回線や

関西で言うところのeo光、NURO等の回線で、固定IPアドレスを

使用できる業者をお勧めしております。


ただ、この辺は実際に使ってみないと判らないと言う事が前提です。。

ただ、一つだけ言えるのは、ベストエフォートの回線の中でも

体感的に分散の少ないくできる程の帯域が確保できる回線を

想定するのが良いでしょう。


尚、回線を増強する方法には単純にもう一個、

複数のインターネットを物理結線で接続する方法もあります。

この場合はマルチフォーミングに対応したルータと設定が必要と言う点でも

言及をしておきます。弊社で取り扱う商品で言うなら

SophosXG Firewall、Fortigate、Cisco ISR等が

ここに該当するかと思います。


この場合、VPNで内部接続を行なう為の待ち行列が二つ、三つ、、、と複数に分散される為

先の帯域の分割自体を回線数に分散する事が出来ます。

ただ、ここでも注意点として、特にスプリットトンネリングを使用しない場合は

インターネットへの出入り口がオフィス側になり、接続時は一旦オフィスを経由して

全ての接続先に接続する事になる為、その2回線どちらから出るのか

場合によっては2回線目の接続リプライが1回線目から出て行かない様に

ルートテーブルについては注意が必要です。


さて、今回は次回はリモートワークに使用するリモートアクセスVPNの設定に関する

注意点を書かせて頂きました。

次回は不特定多数の環境からの接続について、懸念と勘案をお伝えしたいと思います。


=-=-=-=-=-=-=-=-=-

弊社はネットワーク、サーバのプロとして様々なネットワークの構築、

及び設計のご依頼を比較的安価に、様々な方法にてご提案、提供しております。

もしご興味があります場合はご連絡頂ければ、比較的安価に、最適なご提案をさせて頂きます。

まずはご相談だけでも構いません。ぜひ、お気軽にご相談下さいませ!

【第十三回】リモートワークにおけるWAN回線の使い方

連続投稿、キューブ・エス中村です。

さて、前回はリモートワークにおけるリモート接続に関する

ハードルが存在する事についてお話しました。

今回は、その中でもリモートワークにおいて、

社員の皆様が接続する玄関口となる、WANについて

検討してみたいと思います。

※念のため、リモートワークでもクラウドシステムをメインに使っている場合は

 この限りではありません。悪しからず。



コロナ禍において、実際多数の中小企業で急造のリモートアクセス環境が出来ましたが

「急造」になった訳は非常に多くの場合、コロナ禍が発生するまで

「リモートワークの必要性すら感じていなかった企業」が多かったからでしょう。

何せコロナが発生するまでの間、世界一事故が少なく、遅れの少ない日本の列車は

朝のラッシュ時間帯、時には乗車率200%を越えて我々を業務を行なう為に

オフィスに届けてくれていました。

社員はオフィスに行くことが当たり前であり、自宅から社内に接続するなど

その必要性は限られた最低限以外は存在しないというのが通説だったからと

言っても過言ではないでしょう。


ただ、これがコロナ禍で一辺し、現在はその変更途上に我々は直面しているわけです。

様々な常識がアフターコロナで変わると言われていますが、

広く多くの会社でリモートワークが出来るようになった事も

その内の一つである、と言う訳です。


では、急造になった場合何がまずいのでしょうか?

簡単に言うと、接続に関する十分な検討が出来ている会社が

急造環境の会社では少ないと言うのが非常にまずいわけです。


ここに一例として、社員50名の会社で、実効速度100MBps程度のインターネット回線を

社員全員で使っていたとします。

この場合、各社員は「インターネットを使うときだけ」100MBpsの回線を

利用する事になります。

例えばサイトの表示が5人同時位までならば1秒、10人同時ならば2秒、後は

5人同時接続が増えるごとに1秒ずつ増えていく計算であるとします。

この場合、計算上は50人全員が一気にインターネットを使用した場合、

最大1サイトの表示に10秒かかる様になるわけです。

ただ、普通は業務中、50名の社員全員が同時にインターネットを使用する事は

非常にまれであり、会社設置のファイルサーバに接続している人、

エクセルやワードを編集している人、電話をしている人等

一瞬一瞬においては様々な事をしているのが普通だと思います。

となると、瞬間的には全員がインターネット接続を使用する事なく

占有されない為、安全に50人で100MBpsの回線を共用する事ができるわけです。


ところが、これがリモートワークになるとどうなるでしょうか。

リモートワークで通常使われるリモートアクセスVPNでは

標準的な設定の場合、接続した全ての通信が一旦社内に収容されます。

要するにインターネットもファイルサーバも

自分の社内PCにリモートアクセスする場合もぼーっとしてても

ちょっとお茶沸かしてこようと席を立った瞬間でも、

VPN接続中は全てインターネットの回線帯域を

食いつぶしてしまう訳です。


先ほどの例で全員がリモートワークで仕事を行なっていた場合、

単純均等割で、一人2MBpsしか帯域が確保できない事になります。

例えば1GBのファイルをファイルサーバからコピーする際、

社内1000Base-T結線で接続したPC上でコピーした場合は約8~10秒程度に対して、

2MBpsの場合は計算上では、なんと4000秒もかかる事になります。なんと1時間以上!

これでは業務効率が悪すぎです。

 

ではどうすれば良いのか?

となると、非常に簡単な解決方法は

 ・回線の速度を増強して1GBpsや10GBpsにする

 ・回線の本数を複数に増やす

 ・VPN経由の通信は社内接続以外は接続させない様にする(スプリットトンネリング)

と言う方法を検討する事になります。

続きます