前回に引き続き、ファイルサーバーのセキュリティについてお話します。
今回は前回の応用編であるNASを利用した社内Webサーバーと外部アクセスで概要に触れたVPNサーバーについてお話します。
VPNとは
改めて説明するとVPNとは「Virtual Private Network」の略語です。仮想専用線と呼ばれるように、あたかも会社や拠点のLANケーブルが現場や自分の家の端末にまで伸びているような環境を実現する仕組みです。通信速度によりますが、光回線等使っているとちょっとしたファイルのやり取りなら、違和感なく使えると思います。
VPNですが、大きくは2種類あります。一つはIP-VPNと呼ばれるもので、専用のネットワークを利用します。インターネットとは独立しているのでセキュリティは高いですが、値段も高いです。もう一つはインターネットVPNと呼ばれるもので、インターネット回線にトンネルリングという仮想で2拠点間を直結でつなぐような仕組みを導入して利用します。
IP-VPNは専門業者と契約して、専用機器を置いてもらい、接続するので安心感も高いです。値段が許容できるのであれば、有効だと思いますが、小規模な現場や企業では費用対効果が厳しいかもしれません。現実的にはインターネットVPNが選択されることになりますがこれも実現方法がいくつかあります。
専用VPNルーター
一つはVPNルーターを導入する方法です。以前は数十万するようなものしかなかったのですが、最近は実売で6万円以下の製品も販売されています。値段の差は性能もありますが、VPNの同時接続数も関係しており、小規模な環境であれば十分な性能をもっていると思います。不正アクセスの検知機能といったセキュリティ対策も搭載しているので、設定はいろいろ大変ですが安心です。
既存ルーターのVPNサーバー機能
もう一つは、光回線等でつながっているルーターに内蔵されているVPNサーバー機能を利用する方法です。状況によっては、そのさらに内側にある無線LANルーターでもいいです。できれば、個人向けのではなく、法人向けのであれば、専用のVPNルーターほどはなくでも性能がたかく、セキュリティ対策もできています。値段的には3万円台で購入できるものもあります。もちろん、お試し程度で、アクセス数も少ないのであれば、個人向けのルーターで行う方法もダメではありませんが、本格的に行うのであれば、法人用を検討してください。
NASキットのVPNサーバー機能
もう一つは、NASキットで実現するVPNサーバーです。こちらはNASの中で動くアプリケーションにVPNサーバーのサービスがあり、こちらを導入することで実現できます。この場合は、ルーターの設定として、ポートフォワーディングという外部から接続した際にNASにデータを転送する設定を行う必要があります。
ダイナミックDNS
あと忘れてはいけないのが、契約しているプロバイダーによって、自社や現場のIPアドレスが変わってしまうということです。そのためDDNS(ダイナミックドメインネームシステム)というサービス利用する必要があります。これは、自社や現場の変化するIPアドレスに対応しながら、固定のホスト名(xx.xxdns.jp)にしてくれるサービスです。
一回設定しておくと接続する側はIPアドレスの変化を気にせずに接続することができます。サービスやルーターによって設定手順は異なりますが、DDNSは設定の一部として行うような流れになっていることが多いので、その手順に従えば問題ありません。多くの場合はルーターやNASが提供している無料のDDNSを利用すれば問題ないです。
最後に自作で独立したパソコンにVPNサーバーを構築する方法もありますが、いろいろなことができる代わりに難易度も高く、セキュリティ対策も大変なのであまりお勧めしません。
また、どのサービスや仕組みで接続するにしても外部から接続することは、セキュリティリスクが高まるのはいうまもでありません。マルウエア対策はもちろん、不要なポートは開けない、定期的にアクセスログを確認するといった対策が不可欠になります。
その点を理解しつつ、利便性向上とセキュリティ対策のバランス、予算を考えてVPNサーバーを検討してください。