20-5. シンプルにネットワ−クを `29〜 (1) 全社ネットワ−ク環境の検討 -------------------------------------------------------------------------------- 最初、技術系と事務系で分けてネットワ−ク環境を書こうと思ったが、どうもあまり適切 でない気がしだした。社内系ネットワ−クと社外系ネットワ−クという分け方もどうもし っくりこない。LANの設計はもはやWANの設計とシ−ムレスに考えなければならない。 -------------------------------------------------------------------------------- * モデルネットワ−ク ■はル−タ、電話の インタ−ネットへ : パケットをこれで振 : ----------------- り分ける。例えば全 --------------- | 拠点で同じYamahaの | ◆SSL-VPN □FireWall RTX1200 を設置して | | Thin Client | 音声用のQoS 制御を □--------- ● Server --------------------- かける。社内のこれ |Firewall | | までの電話も PBXも --------------------------- ---------- そのま使用する。一 | | Cisco |------- 応IP-PBXにもネット ------ | L3 |----- ワ−クが対応できる | L3 |Cisco ---------- ○ ように Cisco製品で ------ 名古屋| PBX | ハブをまとめておく。 _______| |______ ■---◇…◆……… | | Cisco | VoIP 電話線 -------- -------- | Gateway KDDIの WVSなど | L2 | | L2 | | の広域イ−サネット -------- -------- =========================================== | | |Cisco | | ---------- ------ ------ | VoIP | |安いハブ| |無線| |無線| 東京 | GW PBX | 大阪 ---------- |親機| |親機|…△ ----------■---◇…◆……… ---■-◇…◆… | | ------ ------ PC | | | | △ △PC △ △PC ○ ○電話器 上のような機器構成の場合、拠点では少なくとも2つのセグメントに分かれる。電話とパ ソコンのネットワ−ク 192.168.1.0 と 192.168.2.0 というようにである。従来のWAN 用ル−タではWAN側とLAN側のセグメントしかなかった。RTX1200 とか RTX1500では 複数セグメントを取ることができるようになった。RTX1100 からできたらしいがパフォ− マンスが悪かったらしい。そんなことでわざわざロ−カルル−タやL3スイッチを拠点側 に設置するまでもなく、1台のヤマハのル−タで小規模なネットワ−クなら済んでしまう。 RTX1200 の取扱説明書の PDF の第2章に LAN1ポ−トは8ポ−トスイッチングハブで、ポ −ト単位でLANを分割できる、更に細かくネットワ−クを分割できると記述があった。 RTX1200 は 2008/10/31出荷、123,900円税込。タグVLANIEEE802.1Q、パソコン40台 程度までの中小規模オフィス用。無償保証は3年に延長できる。8ポ−トLAN側スイッ チングハブ、ギガビット対応。LANケ−ブル1本付属 3m カテゴリ5e。騒音が少ないフ ァンレス設計。USBポ−トでデ−タ通信カ−ドが利用できる。SIP-NAT対応。 ISDN S/T ポ−トはNTT専用線とISDN用。RTX1100 と価格は据え置き。RTX1200 の上位機種の RTX1500 はパソコン90台ぐらいまで、RTX3000 は100台以上いける。 * ネットワ−ク帯域制御 恐れていたことが。映像動画がどんどん増えてきている。 自宅で YouTube で映像を見る のが当り前になった、映画の予告編だとか、インタ−ネットでは溢れている。会社や大学 なんかで、使うなという方がもはや無理だろう。動画が他のWebやホスト系アクセスを 妨げるようにもなっている。いっぺんネットワ−ク診断をやってもらおう。自分でもやれ ないことはないが、経験を積んだ業者がもしいるのなら、お願いしてみる。傍についてい て何をやるのか、つぶさに見ること。それを参考にして次は自分達でやること。 Nagios の ping 応答のタイムアウトの時間は。 過剰なトラフィックが流れたものと思わ れる。誰かが最近、特定のサイトにアクセスしてないか。業務とは関係ない動画や写真を 見ないようにする。パソコンの操作ログを全部とりますと、全社にアナウンスする。この 手のソフトを売っている業者の弁によれば、トラフィックが10分の1になるとか。それ は是非、期待したいものである。どこか1ヶ所でも MRTG のグラフを監視することにしよ う。"18-5.IP電話時代のネットワ−ク,(2)もう一度ネットワ−クの帯域制御" も参照。 帯域制御を実施すべき箇所は多分2通りある。1つはWANの口、インタ−ネットの口で 特定のサ−ビスのパケットを絞る。先っぽで絞れば元まで絞ることになるのでないか。そ れとも元からは変わらずどんどんパケットを流して、途中はパンパンに膨らんでしまうの だろうか。もう1つは社内ネットワ−クの要所要所で特定のサ−ビスのパケットの帯域を 確保する。バスの優先レ−ンみたいなことである。とりあえずレイヤ7スイッチかURL フィルタか何かで YouTubeを見るの、帯域を狭めたれ。ニコニコ動画というのもあるかな。 * 基本ネットワ−クの整備 もはやオフィスは無線LANでパソコンと繋げばいいのでないか。サ−バ系はネットワ− クケ−ブルである方が今後も望ましいが、各ユ−ザのパソコンはネットワ−クケ−ブルと いう物理配線でなくてもいいぞ。無線LANの親機は2台は買って電波の干渉、ロ−ミン グなどをテストする。もし以前に導入した無線LANがあって、接続するパソコン台数を 増やすに従って遅くなったとか、悪い事例も参考にしたい。無線LANの見積りをもらお う。"18-2. ネットワ−ク・セルの考え方 (5)UTMの配置と無線LAN" も参照のこと。 ハブとネットワ−クケ−ブルは。一度調べてみるか。家電量販店で売っている 2,980円の ハブはどうか。家庭で使う企業で使う。レイヤ3スッチで100台ずつ位にVLANを分 ける。200台位までは同じネットワ−クIPアドレスでもいいと思う。 その下に SNMP 対応のレイヤ2スイッチをパソコン20台ずつ位で1台配置する。レイヤ3、レイヤ2ス ッチは同じメ−カのにしよう。ん、これでは末端のハブがいらなくなるな。一つのモデル ネットワ−クを作ってみる。それがうまくいけば、あとは右に倣えでいい。 基幹ネットワ−クのレイヤ3スイッチには Cisco 3750 をすでに導入している。それゆえ レイヤ2スイッチも無線LAN装置も Cisco製品で統一していこう。パソコン台数の多い 工場なんかも Cisco のレイヤ3スイッチを導入する。スタック機能はなしでいい。 二重 化まではせず予備機を用意しておくことにする。WANの広域イ−サネットや KDDIのWVS 利用では別途ル−タをかますのでなく、社内に設置してあるレイヤ3スイッチを利用した い。もしIP電話の設置をやることになった場合、Cisco 独自の帯域制御も利用できる。 * インタ−ネット回線周り 今のキャッシュサ−バ NetCache を止めて、 InterScan7 のWebプロキシに変更したら Radware の LinkProof がまた使えるかもしれない。NetCache を介して LinkProof経由で インタ−ネットへ行くと Windows Update が失敗するとか。そんな問題が起きて社内で顰 蹙をかい、それべくそうろうになってしまっている。 InterScan7 のWebプロキシとは Webレピュテ−ション機能がプロキシでもって働くということである。Mail-Storeの予 備機でテストして、よさそうならマシンを新規に買う。できれば仮想化サ−バにしたい。 十分速いインタ−ネット回線にすれば、キャッシュ機能のあるプロシキサ−バはいらない。 もはや必要ないと思う。大方のネットワ−ク管理者の意見もそうだと思う。インタ−ネッ ト回線はNTTのBフレッツが引ければ、それが先ずはいいのだが、いつまで経ってもサ −ビスエリアにならない。NTTの光ファイバの敷設工事はとうの昔にされてはいるのだ が。地域電力系の光ファイバを引くしかなさそうだ。この光ファイバはWANの足周り回 線でも使うことになるので、どっみち引くしかない。どっちが先になるか分からないが。 2009年とあるSI業者のセミナ−に出た。ラドウェア製品の紹介で LinkProofの説明 もあったのだ。LinkProof 100 がよく出ているとのこと。約220万円弱。一番安いモデ ルが Branch で160万円。一番高いのがスル−プット 4 Gbps のモデルで約1150万 円。マクニカが独自に日本語マニュルアルを作っている。セミナ−の資料の中に、一部日 本語マニュルアルがあった。これはとても有難い。売る気であればこれぐらいはしないこ とには。マニュアルはネットで英文の PDF を見てちょうだいでは困るのだ。 * CAD系ネットワ−ク CAD用ファイルサ−バ:なんとCADのファイルサ−バとCADとは、Windows のファ イル共有のプロトコルを使っているのだと。NFSは使ってない。2008年1月に知っ た。PDMでもPLMでも一緒のことらしい。これは驚きだ。あまりに安易、簡易的とい える。3次元CADだとすごいデ−タ量である、これをCIFSでやりとりするのか。CAD で HTTP 対応しているのはないのか。実装するのに別に難しい話ではないぞ。 コンカレント設計の実現:複数の部署、協力会社や下請けと同時設計していくこと。設計 のリ−ドタイムを短縮する。自動車会社を中心に10年位前からいわれている。某T社の エンジニアなんかとディスカッションしたい。面接した当時の技術部長とアポイントとっ てみるか。2007年4月、複数拠点における同時並行CAD設計に対する高速ソリュ− ションの提案なる案内がきた。Riverbed 社 の Steelhead を用いた提案だった。 市販CADによるモデル構成:AutoCAD とか SolidWorks とか。いかん10年位CADの お守から離れてずっとネットをやってきたせいで、CADの動向はまるで分からなくなっ た。幾つかの企業のCAD担当だった人ら、自分と同じようにネットワ−クの方をめんど うみている。雑誌で導入事例などで顔写真を見ると、当時の人らがでている。CADを自 社開発していた諏訪の方の人とか。CADもパソコンのアプリの一つでしかなくなったか。 * 外から社内へのアクセスの検討 外部にあるパソコンから SSL-VPN や IPSec VPN を介して中に入ってくるのは、設定がや っかいである。直接WANから入ってこれれば設定は簡単ですむ。SSL-VPN などで疑似的 に閉域網を作るより、そもそも閉域網での利用であれば安全性も高い。しかしどこからで も社内に入ってこれる訳で、使用パソコンそれに利用者を確実に識別しないと極めて危険 である。WANから直だと、社内ネットワ−クで部分的にファイアウォ−ルをかますとい うこともできない。やはり、よい子ではWANから直はやらないようにするか。 外でのシンクライアントの利用でも、WANから直に社内サ−バにアクセスというのは無 いのでないか。 Citrix でも専用のゲ−トウェイ装置をDMZに設置する。SSL-VPN 経由 でなく、外のパソコンからファイアウォ−ルを通って IPSec 接続する。FireWall-1 でも FortiGate でも指紋認証とは連携できない。いったん社内に設置した指紋認証サ−バに問 い合わせしなければならない。つまりファイアウォ−ルではアクセスを許可して、中に入 ってもらって認証手続きをするということになる。これはいやらしい、安全とはいえない。 例えばNTTPCコミュニケ−ションズの Master'sONEセキュアモバイル定額通信サ−ビ ス。インタ−ネットは使わずNTTPCの閉域網を使用する。パソコンに装着したFOMA通 信カ−ドからNTTドコモの FOMA 網に入り、Master'sONE VPNサ−ビスを通って本社 へアクセスする。NTTPCのIP-VPN や Ether-VPN を別途契約のこと、最低1年間から。 USBタイプの FOMA 端末がレンタルされる。月額固定 5,700円。受信最大速度 7.2Mbps。 携帯電話を利用したワンタイムパスワ−ド認証は利用可、パソコン認証は開発中。`2a/04 * いろいろかいろのほっかいろ 「日経コミュニケ−ション」2010/06, P.48〜 の記事。グロ−バルネットワ−クの RFP 提 示による各社提案。いろいろ RFP には条件を挙げているが、 それに沿った回答では全然 ない。KDDIの提案が具体性はあるものの回線2重化に、BGP を持ち出しているのはい かがなものか。評価できるのは各国拠点にUTMを設置していること。全体的に要求も回 答も漠然としている。費用もこれでは全然分からない。記事で注目したのはだいたい以下 のこと。ネットワ−クのア−キテクチャ−の設計に取り組まないユ−ザ−が多い。トポロ ジ−へのこだわりが薄く、信頼性など欠ける例が少なくない。ということだそうです。 Ustream 動画のライブ配信サ−ビス、2010年4月の終わり頃に日本語化された。テレ ビ会議もできる。消費帯域が小さいもよう。2010年9月 Ustream、日経の雑誌で初め て知った。Skype との住み分けは。Skype は音声電話とテレビ電話にファイル転送もでき る。ファイル転送ができることは最近まで知らなかったというか認識してなかった。へた すると情報漏洩になる。音声とテレビ電話だけにしてもらいたいぞ。Skype は自分では使 ったことない、特にファイアウォ−ルでパケットを許可うんぬんはしてない。HTTPパケッ トか。知らん間にファイルをやりとりする穴が開いていた気がする。 KDDIの WVS について。日本全国、全拠点を WVS 網に入れるとすれば結構、回線費用 がかかる。とりあえず1ヶ所本社だけ WVS にするなら、 その分の回線は安くなることも ある。日本全国の支店などを全部 WVS にするのでなく、 遠方はこれまでの IP-VPN に残 して近間(ちかま)だけ WVSにするという手もある。そうすればコストはだいぶ押えられる。 料金体系が特定県内とか特定エリアとか分かれているのである。遅延で問題になるのは大 方が CIFS の問題である。WVS にファイル共有のクラウドなりのサ−ビスを利用できれば、 本社の Samba サ−バへアクセスする際の遅延より小さくできる。半分にはなるだろう。 * 幕張のクラウドEXPO展示会にて `2a/11/10 NTTPCが提案する企業間の伝達ツ−ル、"WebARENA SaaS アプリケ−ション コラボレ −ションツ−ル(仮称)"。できたばかりのファイル共有サ−ビス。 無料試用の登録期間は 2010/11/9 から 2011/03末予定。1アカウントで作成できるグル−プ数は5つ、1グル− プには100人まで参加できる。ハ−ドディスクの使用料は50MBまで。今後は有料化 を検討しているが上記制限内では引き続き無料で使用できると。その場で試用の申込みを をした。登録にはユ−ザID、メ−ルアドレス、パスワ−ド。あと従業員数など二三入れ ただけ。電話番号やら細かいことはなかったし。プロジェクト名を適当に、へのもへファ イル共有とかした。https://collabo.arena.ne.jp/session/new にアクセスしてログイン して、すぐに利用できた。ファイルのアップロ−ドもやれた。そんなに遅くはなかった。 もう一つ目に止まった展示があった。小さなブ−スが半分を占めていた。聞いたことない 会社、ベンチャ−企業が出展してたのか。そんな中で見つけたのがこれ。インタ−ネット 上のファイル共有のサ−ビス "SaaS 型オンラインストレ−ジ セキュアSamba"。サ−バは Samba。パソコンからは SSL でアクセスすると言っていた。中国拠点からも使ってもらっ ているお客さんもいるとのこと。Samba ソフトに特別チュ−ニングなんかはしてないとも 話していた。1週間無料で使うことができる。http://securesamba.digitallink.ne.jp/。 * 続インタ−ネット回線周り `2c/07 思い出して記述 2005年頃、インタ−ネット回線の速度を速くしようと検討していた。LinkProof でも う1本の回線を ADSL から CTC の NetLINK に変更しようかというところで終わっていた。 この時、メインの回線を NetLINK にしようというプランではなかった。 多分今のTCP のインタ−ネット接続でIPアドレスはそのままで、NetLINK を利用できるとは思ってな かった。ひょっとするとこの時点では、 IPアドレスはそのままで NetLINK を利用でき るというのはTCPも CTC も対応してなかったのかもしれない。 2008年初めの頃、TCPと打ち合わせしていて CTC の EtherLINK サ−ビスが使える ことが分かった。これまでのTCPの ADSL を変更する。帯域保証型の広域イ−サネット サ−ビス。最大帯域 100Mbps/保証帯域 1Mbps では月 7.5 万円の2拠点分の支払いが必 要となる。当社とTCP間それにTCPと CTC 間で2拠点である。 それにTCPのトラ ンジットサ−ビス使用料として約5万円強。全部で月額20万円。保証帯域 1Mbps では 速度アップの効果はどうかな。しかし 保証帯域 10Mbps だと月額は50万円にもなる。 2010年に改めて調べてみた際、 NetLINK より安価なサ−ビス NetDIVE というのが出 ているのを知った。ベストエフォ−トで 100 Mbps、保証帯域なし。 プロバイダはこれま で通りのTCPで CTC のインタ−ネット接続をトンネルによるVPN通信をする、 それ ゆえIPアドレスはそのままでいい。それでこの NetDIVE でも、 もう1本の回線でなく メインの回線の方を変えることができることが分かった。 そうなると NetLINK でも同様 なことができるはずだが、そこまでは気が回らなかった。 2010年の秋、TCPのフレッツ・ADSL モアスペシャルを NetDIVE に変えた。月額費 用はTCP分がトランジットサ−ビス使用料として約5万円強、ル−タ設定変更手数料と 回線終端装置の設置料はサ−ビスしてくれた。 CTC 分が NetDIVE 使用料として約4万円 強、初期費用5万円、割り当てIPアドレス1個、保守タイプ2である。速度は ADSL の 時は Windows XP でプロキシなしで下り 5 Mbps 位、上り 1 Mbps 位。プロキシをかます と下り上りとも 1 Mbps 位だった。変えて体感的には速くなったようだった。 ※フレッツ・ADSL モアスペシャル、下り速度最大 44Mbps〜47Mbps、 上り速度5 Mbps と 唱っている。インタ−ネットの速度計測サイト http://www.musen-lan.com/で実測した。 TCPでは数社の NetDIVE の実績があり、ADSL よりは速度は出ているとのこと。 ※CTC の EtherDIVE と EtherLINK はインタ−ネットは通らない、暗号化通信ではないの でスル−プット的には有利。EtherDIVE はベストエフォ−ト型で2005年6月に開始。 100 Mbps で月額 15,523円、回線終端装置レンタル代含む、平日昼間保守、3年契約。 ※CTC のインタ−ネット接続サ−ビスは NetDIVE と NetLINK がある。CTC の保有するパ ブリックIPアドレスを使うのが素直だが、IPアドレスを取得したプロバイダを変え ずに利用することも可。プロバイダとの対向ル−タで IPSec の暗号化トンネルを張る。 (2) 国内系ネットワ−ク環境 * 国内WANの見直し ( 拠点系ネットワ−ク環境 ) コスト削減で高額な IP-VPN に広域イ−サネットをインタ−ネットVPNにしませんかと いう提案を電話での飛び込み業者とかしてくる。ヤフ−、Usenが法人向けのWANを 扱っているとか。知らんかった。Usenは2001年から都市部で始めていたとか。最 近の広域イ−サネットの遅延は 4 ms ぐらいとか。もはやWANとLANの区分けはしな くてもいいのかも知れない。まさに KDDI の WVS は、形ももはやWANとは言えない。 市会議員さんに聞いてみた。NTTに言ってBフレッツやNGNの利用範囲にしてくれな いかと。そんな力はないとのこと。国会議員ぐらいでないと話すらできないらしい。一応 国策でなかったのか。NTTは民営化されたので、こういう時は国策なんてことは言わな いのか。2009年8月15日にNTTは来年中にデジタルデバイドを解消させると発表。 市町村が運営する、地方交付金を使うとか。しかしその後関連ニュ−スは聞こえてこない。 2010年になってセミナ−の案内なんかは、クラウド一色になった。もはや単なる言葉 遊びではなく実際に使えるものになってきた。これまでは回線費用しかビジネスにならな かった。それがクラウトによりサ−バ貸しがビジネスとして大きく浮上してきた。サ−バ を貸して使ってもらうためには太い回線が必要な訳で、NTTは光ファイバ未設置地区を 無くしていくしかないはずである。方向性はこれで出たと思う。 日本テレコムがソフトバンクに買収された。ヤフ−もだいぶ前にソフトバンクに買収され た。手元にあったソフトバンク・テクノロジ−(株)のパンフレット1枚。日付けは`25/06。 ト−タルブロ−ドバンドWANソリュ−ション BB WAN。ダ−クファイバ−接続サ− ビスとマルチキャリア・回線サ−ビス。ダ−クファイバ−接続の説明には、メトロエリア (50Km圏内)かつ、1Gbps 超の広帯域を必要とするアプリケ−ションの利用に最適との説明。 「日経コミュニケ−ション」2009/12/01,P.30〜49,"特集:社会に融け込み、グロ−バル化 に向かう民主党政権のICT政策の核心"。ユニバ−サル・アクセス,ブロ−ドバンド・ゼ ロ地域の解消、2009年度補正予算でもほとんど削られなかった、433億円。インフ ラ整備に注力させる。2009年度の補正予算にて。一番予算が多いぞ。セキュアクラウ ドネットワ−キングの研究に31億。ICTタスクフォ−ス第一回が `29/10/30 開催。 NTTが引いた光ファイバをダ−クファイバとして、他の通信事業者がだんだん使わせて もらえるようになってきている?。2009年の初め頃からそう言われているがだめみた い、`2a/02時点。「日経コミュニケ−ション」2009/10/15, P.81の記事によれば、NTT 東西の屋内光配線の転用が解禁、KDDI の ひかりone はフレッツ光より通信速度や料金で 優位に立つ、しかし1分岐単位の光回線貸し出しがまだ実現してない。まだまだである。 NTTのNGNであるフレッツ光ネクスト、KDDIの IP-VPN の足周りにも使えると聞いた。 インタ−ネット接続の足周り回線にも使える。NGNはもともと閉域ットワ−クで、いろ いろサ−ビスをしようという話ではなかったのか。ここは名古屋近郊の田舎でBフレッツ も未だ来てない。しかしNTTの光ファイバは来ていてATMは利用しているが。電話番 号を入れて提供エリアかどうか改めて調べた。光系フレッツは全部だめだった。 * WANの見直しをKDDIで 2009年7月1日からサ−ビス始まった WVS( Wide Area Virtual Switch )というレイ ヤ2サ−ビスのWAN。ネットワ−クとしては広域イ−サネットと同じである。2010 年5月からはレイヤ3ネットワ−クにも対応する。どちらかを選択するということではな く混在ができる。WVS の整備の第1段は2009年7月から。ブロ−ドバンド回線による 安価なバックアップ回線を実現。WVS のプラグイン機能はL3で提供される回線にKDDIが 提供する専用アダプタを接続してL2トンネリングを実現する。アクセスダイバ−シティ を実現する。WVS の整備の第2段で宅内ル−タレス化を実現する、これはWAN用ル−タ をユ−ザ側に設置せずに済むというものである。さらに2010年に秋頃には、回線を2 本引き宅内ル−タレスで、WVS 内に設置したル−タ間で冗長構成が採れるようになる。 □L3 □L3 本社 | 支社 A |A.1 ---------------- ------------ --------------- | ----- | |A.2 △ Router□ |VDC| |ACCAはダメ R1□ ----- |V.9 光| ----- | |V.1 |VDC| -------- | | | | ----- | / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\WVS | |V.2 | \_____________/ =========================== V | |V.254 WVS □Free Gateway □ | IP-VPN | / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ \_________________/ \______________/ | |Flets | | | | |BFlets |ADSL |ACCA xDSL C | D | E | ------ ------ ------ ------ ------ ------ もともと全拠点を IP-VPN で接続していたとする。IP-VPN網から本社へはフレッツ・ADSL 接続で、他拠点から本社サ−バなどへのアクセス速度のボトルネックになっていたとする。 これを光ファイバの地域系広域イ−サネットに変えてみる。 中部では Powered Ethernet を利用する。検討している過程で新たにでてきた WVSが使えることになった。構成的には 全く同じで数千円程度のアップである。とりあえず本社のレイヤ3スイッチの設定はいじ らないということで、フレッツ・ADSL用のル−タところには、それ用のル−タを新たに設 置する。光ファイバによるイ−サネット接続でメディアコンバ−タを介して、普通のル− タをつなげばいい。メディアコンバ−タは光ファイバとUTPケ−ブルとの変換をする。 他拠点は IP-VPN 網のままで、WVS 網とつなぐのにフリ−ゲ−トウェイというのをかます。 フリ−ゲ−トウェイは KDDI が設置するもので利用料はタダである。WVS は基本的に広域 イ−サネットなので、1つネットワ−クのIPアドレスを振る必要がある。その絵が上の 右図である。本社ル−タの R1 に V.1 というIPアドレスを付けてみた。 フリ−ゲ−ト ウェイには V.254 と付けた、どうもここには254番を付けるのが KDDIの推奨のようで ある。WVS が調子よければ、拠点を順次 WVSに代えていく。IPアドレスは2番、3番と 付けていけばいいだろう。WVS の遅延は中部圏内なら10ms、東京大阪では20ms、九州と北 海道で35ms。目と鼻の先の工場間なら 4〜5ms ということもあるかもしれない。 KDDI の言うプライベ−トクラウドはインタ−ネット上にあるもの。WVS内にあるのはバ− チャルデ−タセンタ−とよんでいる。2010年5月から開始。バ−チャルデ−タセンタ −は今のところファイル共有サ−バのみである。月額基本料金5万円、1テラバイト月額 利用料金10万円。サ−バの二重化もなされている。お試し利用もできるようである。こ れは一番注目に値するサ−ビスである。社内のファイル共有サ−バへのアクセスが拠点側 から遅い、というのを解決する一つの手段となる。拠点から WVSに入ってすぐにサ−バに アクセスできるのだから。本社内にあったのを WVS 上に持って来るに当たって、 せめて 本社からは WVS へは足周りを1本でなく2本にしたい、そして冗長化を計りたい。 WiMAX という無線も広域イ−サネットや IP-VPN の足周りになって来るという。2008 年2月に初めて WiMAX の話を KDDI の営業さんから聞いた。 2011年ぐらいから展開 の模様。携帯電話の基地局に無線装置を付けて行き、ラストワンマイルということで全国 の90%をカバ−して行くという。速度は 20 Mbps 位はでるらしい、仕様はIEEE 802.16。 電車や車の中で使うのでなく、固定地点の ADSL の代わりにするという。WiMAX と光ファ イバ回線でオ−バ−レイなる回線冗長化はどうか。2010年4月22日放映の「ITホ ワイトボックス」で出たキ−ワ−ド、オ−バ−レイ。ヤマハRTX1200 がちらっと出ていた。 利用はもう当り前みたい。光ファイバ回線をメインで ISDN もいざという時は使うという。 「KDDIビジネスソリュ−ションセミナ−名古屋2008」"〜発表!KDDIの次期法 > 人ネットワ−クの詳細〜 KDDI Wide Area Virtual Switch のご紹介"、2008/11/26。 「日経コミュニケ−ション」 2009/12/01, P.56〜59, "我が社を支えるネットワ−ク"。 > KDDI Powered Ethernet を KDDI Wide Area Virtual Switch にかえた事例。 「日経コミュニケ−ション」 2010/01/15, P.32〜51, "特集 KDDI の次世代ネットワ−ク"。 > WVS 基盤の説明。Powered Ethernet(PEN) と同じ EoE(Ether over Ether) を使用など。 * KDDIの WVS の拠点接続 △ △ △ △ KDDI の WVS で利用できる足周 A |A.2 |A.3 V.2| |V.3 V.4 り回線は、NTTのフレッツ網。 --------------- --------- △ アッカの xDSL は利用できない。 |A.1 | HUB | | 地域系の光ファイバ、例えば中 □Router or L3 --------- | 部圏では CTC。従来のNTTの V.1| | | 専用線DA128 とかも利用できる。 |光ファイバ |フレッツ網| V | | | 左図はル−タを介してPCをつ =============================================== なぐ、それに直接つないでいる。 光ファ △ △ V ‖ / ̄ ̄ ̄ ̄ ̄ ̄\ イバ ----- ----------- ------- V.1| |V.2 ‖---| Bフレッツ |-------|ONU|---|T-Adapter|---| HUB |----------- ‖ \______/ ----- ----------- ------- ‖ △ ‖ ------A.1 |A.2 ‖ / ̄ ̄ ̄ ̄ ̄ ̄\ 電話線 -------- ----------- V.3| |-------- ‖---|フレッツ・ADSL|-------|モデム|---|T-Adapter|----| L3 | ‖ \______/ -------- ----------- | |-------- ‖ ------B.1 |B.2 ‖ △ ‖ △ △ ‖ ----- 光ファイバ Ethernet ----- V.4-------- |C.2 |C.3 ‖---|M/C|―――――――――――|M/C|-----|Router|--------------- ‖ ----- ----- --------C.1 ‖ メディアコンバ−タ * KDDIの WVS の宅内ル−タレス << WAN側ル−タ設置の図 >> << LAN側ル−タの図 >> △ B L3-------------- A ---------- |C.2 △ △ ------| A.5 A.6 |------- | HUB |----- |A.2 |B.2 -------------- ---------- A -------- B -------- A| |A | |A.1 |B.1 | | こちらが | □ □ | A.7 | 宅内ル− | |V.1 |V.2 A.8| ■ |A.9 タレス化 |C.1 | | R1□ V.1 □R2 □ | | V V.2| ■ |V.3 |V.4 WVS V | | WVS ================================================= ======================== A.7 は仮想IPアドレスである。L3 から WVS には A.7経つながる1本のネットワ−クケ −ブルがあると思っていい。物理的には2つのル−タ R1, R2 があり A.8 と A.9 という IPアドレスを付けている。R1 と R2 間では VRRPで装置が生きていることを確認しあい 冗長構成をとる。通常は R1 ネットワ−クを通し、R1 の方が故障したら R2ネットワ−ク を通すというようなことになる。VRRP にはパケットの分散機能はない。 どうも仮想IP アドレスをふるのは一方だけでいいみたい。自社側のWANル−タを仮想IPアドレスに するみたい、つまり A.7 のことだが。 V.1 の仮想IPは必要ない?、確認のこと。それ と WVS での利用制限で、WAN側ル−タ設置で左側の図はだめみたいである。 宅内ル− タレスのサ−ビスではWAN側ル−タでの冗長化はできない、LAN側セグメントは1つ だけらしい。IP電話のことなど考えていくと、LAN側ル−タを選ぶことになりそう。 2010年4月22日NHK放映の「ITホワイトボックス」で出てきたキ−ワ−ドのオ −バレイ。多分ここで使えるはずなのだが。オ−バ−レイという回線2重化は実際にある のか。"ヤマハ オ−バ−レイ" と Google で検索しても全然出てこない。出てきても回線 冗長化の意味合いではない。ひょっとするとマルチホ−ミングのことなのか。どうも分か らん。VRRP では上記のようにル−タは2ついる。 マルチホ−ミングではル−タは1つで WAN側に複数回線をつなぐ構成で、さんざん LinkProofでやってみた。どうも自社側は VRRPで、提供側は VRRP でない簡易的なやり方があるみたい。冗長構成にする場合の回線 のペア?。何でもいいという訳ではない。NTTのフレッツ同士はお勧めでない、Bフレ ッツを主にフレッツ・ADSLを副というパタ−ン。これらは同じNTTのフレッツ網を使う、 局の装置も同じものを使うらしい。故障する箇所が同じではバックアップにはならない * NTTコミュニケ−ションズでは NTTコミュニケ−ションズにもKDDIと同じく、宅内ル−タレスにバ−スト通信のメ ニュ−がある。NTT系のWANはどうなっているか参考までに調べたら分かった。両者 のメニュ−は一緒に2009年8月に開始されたもよう。以下、税込み。 Arcstar IP-VPN ル−タレスプラン。お客の方で宅内ル−タがいらない。 しかもこれまで 料金よりも1万円安い。回線はバ−ストイ−サタイプのバ−スト10、8.4万円/月か イ− サタイプの 0.5〜10Mbps が利用できる。1Mbps は 7.35万円、10Mbps は 26.25万円。 バ−ストイ−サアクセス。バ−スト100 の契約だと 10 Mbps まで確保、 トラフィックが 増えてきたら 100 Mbps まで利用できる、31.5万円/月。バ−スト10 だと 1Mbps まで確 保、最大 10 Mbps まで、9.45万円/月。Arcstar IP-VPN と e-VLAN などで利用できる。 NTTコミュニケ−ションズのVPNサ−ビスも列挙してみる http://www.ntt.com/vpn/。 広域イ−サネットの e-VLAN。IP-VPN の Arcstar IP-VPN。 エントリ−広域イ−サネット の Group-Ether。エントリ−VPN の Group-VPN。インタ−ネットVPN の OCN VPN。など。 (3) 社外系ネットワ−ク環境 * その範囲 営業の外周りのモバイルや在宅勤務とか、今注目のBCP対策絡みで各社がサ−ビスを開 始しだしたリモ−トアクセスとか。最初 "在宅勤務と高速モバイル環境" という題にしよ うかと思っていた。まあ意味合いとしてはそうしたことです。携帯電話のことも書きたい のだが、自分は未だに携帯電話持ってないです。よう分からんとです。誰か携帯電話のビ ジネス利用について書いてくれ−。個人契約と会社契約の違いとか。料金体系の違いとか。 高速なモバイル通信カ−ドもいろいろある。それで本当にそんなに速度が出るのか?。 * モバイル環境の見直しと利用 高速なモバイル通信サ−ビスが `27/12 頃でてきた。イ−・モバイルとNTTドコモから 3.5G/HSDPA で下り最大 7.2Mbps、上がり最大 384Kbps。IIJ は `28/01 に両社からHSDPA 網の提供を受けて、MVNO による法人向けの高速モバイルデ−タ通信サ−ビス IIJ mobile を開始した。MVNO は携帯電話ネットワ−クのインフラのOEMみたいなこと。 ドコモ利 用の定額プランでは初期3千円、月8千円位。デ−タ通信端末はレンタル月 1,500円。 公衆無線LANというのはどうなんだ。NTTグル−プのフレッツ・スポットとか Mzone。 月300円位で利用できる?。大都市圏なら無償のサ−ビスもある。「日経コミュニケ− ション」2008/06/15,P.22〜31,"特集1:今こそ!公衆無線LAN" でも参考にして。スマ −トフォンはどうだ。画面が小さいけど、パソコンの画面がそのまま使える。少し前まで ならPDAか。はたまたグ−グルのアンドロイドか。まるで訳が分からん。 モバイルワイマックス WiMAX が高速。 家庭で ADSL や Flet's 回線と同様に利用してい る事例もでてきている。2009年5月、NHKの番組で新居浜のケ−ブルテレビ会社が 別子地区でサ−ビスしているのを紹介していた。それまではNTTの電話回線のダイアル アップ接続で、インタ−ネットのホ−ムペ−ジの画面が1つ出るまで何分もかかっていた。 それが一瞬に出て、インタ−ネット通販も WiMAX でやるようになったという話。 SSL-VPN 用モバイル環境?。内ではNTTドコモにオプション料金を払っている?。いや 違うか。ただ通話料金として払っている。当初IIJ のビジネス用ダイアルアップのサ−ビ スを小生は使うつもりだった。携帯電話の契約の中でアクセスする方が、新たな契約とか しなくて済み面倒でないということで、実際に使う営業部門がそうした。それで本当によ かったのか。傍で見ていて、だいぶ問題があるような気がするのだが。 外へ持ち出すノ−トパソコンには WAFS のパソコン用ソフトを入れる。WAFSのパソコン用 ソフトは BlueCoat 社の製品しかなかった。`29/12 に Steelhead 社も出してきた。これ で外からも大きなファイルサイズの Word や PDF も速く取ってこれるようになる。Excel もいいだろうが Access のデ−タは操作が速くなるのか?。自分のパソコンがあればいつ でもどこでも、日本政府が提唱していた、まだしている?、ユビキタスの実現である。 * IIJ などのモバイル・ル−タとやら 工事現場とかイベント会場とかホテルでの株主総会で使うと便利。 こんなのを IIJ のセ ミナ−でみた。ノ−トパソコンのスロットに差し込むのを、ハブみたいな装置に差し込む。 ハブと同じくイ−サネットのポ−トがあるので、それにパソコンとネットワ−クケ−ブル を差すだけ。IIJモバイルWANソリュ−ションの モバイル対応ル−タ SEIL/X レンタル、 固定IPアドレス対応、定額、3.5Gモバイルブロ−ドバンド、最大 7.2Mbps、デ−タ 通信カ−ドレンタル。月額 29,300 円から。何でもいいから1つ買ってみるか。これはど こに接続するか、閉域網なのかインタ−ネットなのか。プロバイダは IIJでインタ−ネッ ト接続する。会社のインタ−ネット接続も IIJ なら、経路的には IIJ のネットワ−クを 通る。どこかよそのプロバイダを経由したりするのではない。かなりの安全性はある。 もう販売終了になったが FortiGate-60B も似たような製品だった。 PCカ−ドスロット が付いていてイ−・モバイルカ−ドを装着できた。展示会で図研ネットウェイブ(株)のち らしを2008年5月にもらった。3Gコネクション対応カ−ド: E-Mobile D01NE。一時 的なオフィス用途、例えば工事現場事務所、イベントやセミナ−会場での利用。いつでも どこでも簡単インタ−ネット。営業所などの小さな拠点でのインタ−ネット接続のバック アップ回線としても。幾つかのポ−トがあるので、そのままハブとしてパソコンをつなげ ることができる。FortiGate-80C にも ExpressCardのスロットがある。これにもモバイル 用のカ−ドを付けることができるのでないか。3G携帯のデ−タカ−ドの他にもモバイル WiMAX のデ−タカ−ドとかも付くはずである。どんなものか、一度やってみたい。 所によっては 地域WiMAX のWi-Fi対応ル−タがモバイル・ル−タになるかも。ブロ−ドバ ンド・ゼロ地域解消を目的に2008年秋、総務省が地域のケ−ブルテレビ会社などに認 可した。勤務先の田舎にあるケ−ブルテレビ会社は2010年5月に開始。KDDIが提 供する 地域WiMAX ト−タルソリュ−ションを使ってのサ−ビス。下り最大10 Mbps、上が り最大2 Mbps。提供エリアは電波が届く500メ−トル位が確実なエリア。駅とか市役所 付近にアクセスポイントを3ヶ所設置。勤務地はエリア外だった。固定IPアドレスの割 り当てはない。海外ロ−ミングは未対応。月額 3,980円、インタ−ネット接続を含んだ料 金。WiMAX 接続装置はUSBキ−と Wi-Fi 対応ル−タ。 Wi-Fi ル−タは IEEE802.11b/g 対応、初期設定では5台までのパソコンを接続、無線としては50メ−トル位まで。 * 社内資源へのアクセス − SSL-VPN の RDP 機能 Aさん△PCA △PCB Bさん | | SSL-VPN にPCA,PCB のMACアドレスを登録する。 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ SSL-VPN にPC2,PC2 への RDPアクセスを登録する。 \____________/ | ◆ FireWall で SSL-VPN から PC1, PC2 へのパケッ | | ト TCP/3389 を通すように許可設定する。 --------------------- | ◇SSL-VPN Aさんの社内のパソコンは PC1、社外持ち出しパ | | ソコンは PCA。同様Bさんのは PC2 と PCB。PCA FireWall□---------- と PCB パソコンはずっと動かしたままにする。 | △PC1 △PC2 | |A |B PCA,PCB は自宅の自前購入のパソコンでも、安全 ----------------------------- 性が確保できれば利用してもよしとする。 SSL-VPN 装置にある RDP(リモ−トデスクトップアクセス機能)を使うやり方である。外に いても社内にいるのと全く同じパソコン利用環境ができる。ファイル共有サ−バへのアク セスなども同じ。社内においたパソコンに外からアクセスして自分のパソコンとして使う ことができる。めんどうなのは SSL-VPN装置でこのサ−バへは、誰が(ユ−ザかパソコン) アクセスできるか設定しないといけない。やはり RDPパケットをファイアウォ−ルでどう 扱うかがポイントだと思う。RDP パケットは外から内へ通す、内部のIPアドレスを特定 するといっても、やはり危険な設定である。ファイアウォ−ルで 3389/TCP ポ−トを外か ら内へ開けて、SSL-VPN 装置を介さずに直接アクセスしてはどうか。SSL-VPN を介すれば DMZから内へ開ければいい、この方が安全には違いない。このゲ−トウェイとしての利 用がメリットといえると思うが。人数が多いと設定が大変である。このやり方はBCPな ど緊急の場合のみ、限られた人に適用すべきだろう。 * 社内資源へのアクセス − ASPサ−ビス ( PacketiX Desktop VPN ) △PC1(PacketiX) ________ 特に FireWall の設定はいじることはな | | い。社内の自分のパソコンは外出時、起 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ ↓中継セ 動しておく。PacketiX の SaaS型リモ− \____________/―■ンタ− トアクセスサ−ビスである。中継センタ | ↑ −に PC1, PC2 が固有のIDでそれぞれ ---------------- ___________|HTTPS アクセスする。FireWallでは内から外へ | | HTTPS を通すだけでいい。この点が RDP FireWall□ △PC2(PacketiX) 利用よりも、FireWallの設定において安 | | 全であるといえる。 --------------------------- 社内の自分のパソコンを起動しておけば、PacketiXでリモ−トデスクトップが使える。こ れで好きなように社内リソ−スにアクセスできる。自宅のパソコンを使って会社のパソコ ンを安全に操作ができる。あるいは営業さんなど持ち出し用のノ−トパソコンを何台か用 意してもいい。中身はほとんど空のパソコンのため、共用で使用しても問題ない。ソフト イ−サの PacketiX Desktop クライアントを入れておく。 PC1 -> PC2 へ PacketiX を通 してリモ−トデスクトップアクセスする。PC2 は社内の自分のパソコンで、あたかも社内 にいるかのように使える。PC2 から社内のサ−バへアクセスすることになる。ひょっとし てと思い、PC1 から PacketiX 経由の PC2 へのアクセス、そして更に PC2 から社内設置 の SSL-VPN 経由での社内サ−バへのアクセス。こんなことが可能か?、PacketiX の会社 に電話して聞いたことがある。できますと即答していた。つまり社内外において機密情報 サ−バにもアクセスする場合は、社内 SSL-VPNを必ず経由するというル−ルは可能である。 * 社内資源へのアクセス − 閉域網で利用するネットワ−ク KDDIのリモ−トアクセスパッケ−ジを紹介。外にあるパソコンが社内のネットワ−ク にそのままつながっている。KDDIの IP-VPN 網を介してネットワ−クのケ−ブルが社 内から伸びたようなイメ−ジ。通信の暗号化はない。画面の差分転送もない。あまりセキ ュリティうんぬんをいわない、速度もそんなにいらないという用途に有効。KDDI側で 帯域を制限するので、あまりでかいファイルはダウンロ−ドはかなり遅くなる。ちょっと したワ−ドやエクセルのファイルを見るとか、メ−ルソフトを開いてメ−ルを読み書きす る程度。KDDIの IP-VPN を利用しているユ−ザ用。auパケット網からKDDIのセ ンタ−に、ここでユ−ザ認証(RADIUS サ−バ)されて IP-VPN網に入り、ユ−ザのネットワ −クに直接入る。10ユ−ザIDまで無料で利用できる。ノ−トパソコンも用意します売 ります。KDDIの営業さんがやってきて、リモ−トアクセスサ−ビスCPA( cdma Packet Access Service )のタイプAプラン2を紹介してくれた。 固定IPアドレスにすれば社内の Active Directory による制御もできる、固定IPアド レスにするのはオプション。プライベ−トIPアドレスが普通つく。au電話番号でやる のがセキュアコンタクト 600円、端末認証のこと。オプションでワンタイムパスワ−ドも ある。KDDIにはこれまでも似たようなリモ−トアクセスのサ−ビスはあった、それに もワンタイムパスワ−ドもオプションであったが利用するところは少なかったとか。au デ−タ通信カ−ドは1万円位。通信カ−ドは2種類。1つは W04K で定額ではない。ちょ っと使うとすぐに1万円位は超す。最大 2.5Mbps 実質は 500〜600Kbps。もう1つはW05K 定額で最大 5,985 円税込み、WINシングル定額。CDMA 1X WIN, CDMA 1X 対応、 下り最大 3.1Mbps 上がり最大 1.8Mbps。2008年10月からサ−ビス開始。他にも"(1)全社ネッ トワ−ク環境の検討" で紹介したNTTPCのセキュアモバイル定額通信サ−ビス。 IIJ にも閉域網でのサ−ビスがある。先ずは現在利用のWANのオプションを調べられたい。 * 雑誌掲載と展示会出展 ビッグサイトでの展示会で1冊もらった「日経NETWORK」にBCP対策の在宅勤務 の記事があった。2009/07, P.62〜67, "NETWORK調査隊 ネット技術で在宅勤務を実現パン デミックは在宅勤務で乗り切れ! すぐに使える製品やサ−ビスに注目"。リモ−ト・デス クトップとWeb会議についてのまとまった記事。USB型シン・クライアントのNTT アイティのマジックコネクト、日立ソフトウェアエンジニアリングの SecureOnline 在宅 勤務サ−ビス、KDDIのリモ−ト型シンクライアントサ−ビス(仮称)。いずれも会社の 自分のパソコンは起動したまま、中継サ−バを介する。NECビッグロ−ブの無料サ−ビ ス LogMeIn Pro、認証は中継サ−バを使うが、デ−タは中継サ−バは使わない。直接外と 内のパソコンで SSL 通信する。"Security Solution 2009" のパンデミック対策ソリュ− ションパビリオンで出していた企業はNECビッグロ−ブ、NTTアイティ、日本ユニシ ス、ブイキュ−ブ(Web会議のASP)だった。KDDIが自社ブ−スで仮称のサ−ビスを。 * 参考 「Software Design」2006/09, P.110〜115, "PacketiX VPN 2.0 徹底活用のツボ 第2回 > PacketiX VPN の新たな一面 〜LAN内仮想化閉域の設定〜"。ソフトウェアVPNのPPTP と OpenVPNに比べて高速。リモ−トアクセスだけでなくLAN内でも暗号化されて安全。 「Software Design」2007/06, P.33〜38, "特集VPN徹底攻略2007、10分でできるお手 > 軽VPNネットワ−ク"。PacketiX VPN の詳しい記事が出ている。P.39〜,"OpenVPN に よるVPNネットワ−ク構築のサ−バ編。2006/05 号にも PacketiX VPN 2.0 の記事が。 (4) 海外系ネットワ−ク環境 `29/12〜 * 海外とのネットワ−ク `29/12 特にアジアとのネットワ−ク。専用線よりは安い国際IP-VPN、日本と中国 512Kbpsで月額 35万円位。だが遅延がすごく大きく 400ms とか 500ms とか。国際 IP-VPN は○○商会 も扱う NETFORWARD/GL なら同程度の費用で 512Kbps〜2Mbps、遅延は100〜200ms。通常の 国際IP-VPNはアメリカをいったん経由してアジアに行く。NETFORWARD/GLならIX(インタ −ネット・エクチェンジ)を通らず、独自のル−トを通り香港あたりを経由して行く。 UTMのVPN機能でインタ−ネットVPNを張る。日本で購入して設定したのを現地赴 任の社員が一時帰国した際に持って帰ってもらい、設置するというプラン。暗号化機能が あるソフトや装置は中国当局に申請がいる。このことを知らずして、あるいは無視して設 置するのは危険である。逮捕されるぞ。パケットの検閲は日常的にやられていると考えた 方がいい。SSL-VPN で日本にアクセスするのも暗号化だが、これは灰色でぎりぎりOK。 「日経コミュニケ−ション」2009/12/15,P.32〜49,"特集:国際ネットはもう遅くない"。ア ジア地域でも速くて安い 1Mbps の ADSL回線とかでてきた。ラスト・ワンマイルが改善さ れれば遅延も小さくなるのかは書かれてない。P.46〜49,"「定石」になったWAN高速化 装置"。 選ぶのはなかなか難しく、テストした上での導入にしているとのこと。P.42〜45, "海外DC活用し国際ネットを最適化" では現地でデ−タセンタ−を利用しようという話。 「日経コミュニケ−ション」2009/11/15,P.56〜59,"我が社を支えるネットワ−ク、ニコン 海外接続の遅延解消に腐心、ネット挙動監視でボット対策も。世界150以上のグロ−バ ル・ネットワ−ク。メイン回線はKDDI の Powered Ethernet、バックアップは Ether-VPN、 中国へは国際 IP-VPN、アジアへは Global Powered Ethernet。 欧米へはベライゾン国際 IP-VPN。WAFS は評価中。StealthWatch で1日に1個ボットやワ−ムを発見できている。 衛星通信というと通信速度も速くて遅延も極めて少ないのかとずっと思っていた。全然そ の反対だった。昔からあるインマルサット衛星通信サ−ビスは 64Kbps でかつ従量制。こ れではもう今日、役に立たないということで使われるのが MVSAT。SingTel 社のサ−ビス でエムブイサットという、2Mbps までしかメニュ−はなくしかも高い。512Kbps でも結構 なお値段みたい。遅延が 500ms から 800ms 位ある。SingTel: Singapore Telecom。 衛星通信ではパラボナアンテナを現地に設置する。それで銅線ケ−ブルが盗まれないとい うメリットがある。しかしネットワ−クケ−ブルって銅線か、細い銅線があるだけじゃな いのか。衛星通信って、衛星回線かと思っていた。共用して利用するものではないみたい、 そういうことで回線でなく、個別の通信ということになるみたい。衛星通信でも速くなら ないとなると、やはりファイル高速化装置 WAFS にお出まし願うしかないか。 * インタ−ネットVPNを張る `29/12 海外拠点と日本でインタ−ネットVPNを張ろう。 以前に買った FortiGate-50B に加え もう1台 FortiGate を買ってテストする。FortiGate 2台で IPSec VPN を設定してみる。 拠点側ではファイアウォ−ル、IPS、ウィルスチェック、Webフィルタリング。でき ればファイルのキャッシュもさせたい、つまりファイルアクセス高速化をやりたい。イン タ−ネットVPNの遅さをこれでカバ−するのである。拠点側からインタ−ネットは直接 アクセスする。安全なのは本社を経由させることだが、海外からだと非常に遅いものにな ってしまう。例えば中国と日本では遅延は 400 ms とかあり、これが往復になるわけで使 用には耐えない。会社に引いた予備の ADSL 回線、固定IPアドレスあり。自宅に引いた 固定IPアドレスなしのフレッツ・ADSL 回線を使えばテストできるだろう。 海外がアメリカやヨ−ロッパ、中国などアジアでは状況は異なる。特に共産圏の国では特 別な注意が必要である。セキュリティ関連製品やソフトは中国の事情が分かった人でない と触っては危険である。ADSL回線は日本と同じだから機器を国内で設定して送り、現地の 人に設置してもらえばいいでのないか。シンガポ−ルの駐在所にそんな感じでUTMを設 置したという話を聞いたことがある。ともかく中国に FortiGateを設置する場合、現地の 日本のSI業者の出先会社に依頼する。FortiGate はキャッシュ無しなら 50Bでいい。キ ャッシュありでも50万円も出せばあるだろう。しかし製品の価格が安いからと言っても ファイアウォ−ルにIPSであることには変わりなく設定費用は、かつて500万円位し た FireWall-1 や NetScreen 等ファイアウォ−ルと遜色ないと思う、そこまではないか。 中国での拠点は2ヶ所と仮定しよう。都市部にある現地事務所と郊外にある現地組立工場。 固定IPアドレスをそれぞれ取得しインタ−ネット接続する。UTMをかましファイアウ ォ−ル、IPS、メ−ルなどウィルスチェックを行なう。中国での IP-VPN とか広域イ− サネットのことはまるで分からない。拠点間は IPSec VPN で繋ぐとしよう。 そして中国 の2拠点と日本の本社を IPSec VPNで繋ぐ。本社にはUTMはDMZに設置する。現地に 設置するUTMは FortiGate-50B でいいと思う。それに FortiGate の様子を監視できる ように FortiAnalyzer 100C もできれば1つ買いたい。FortiGate-50B を買う前にともか く IPSec VPN のテストをやること。それには FortiGate-80C を1台買う。ひょっとする と現地でもDMZが必要になるかも知れない。テストの後は本番機の予備とする。 テスト用で購入する装置は懇意にしているSI業者から FortiGate-80Cと FortiAnalyzer 100C をそれぞれ20万円以下で見積りを出してくれた。FortiGate 2台によるIPSec VPN のテストをサポ−トしてもらうようにして。FortiAnalyzer は中国設置の FortiGate-50B の実際の監視にも使うつもりである。 実際に設置する FortiGate-50B は別な業者から購 入することになる。見積りをくれた業者は結構大きなSI会社なのだが中国に子会社はな く、FortiGate の設置はできないと言う。 ともかくテスト用の FortiGate で IPSec VPN の設定それにセキュリティ確保のノウハウを教えて頂く。それでもって別業者のノウハウ も入れながら実際の設定、FortiGate の設定をこちらから指示するのである。飽くまでも 安全性の確保に関しては自分達が責任を持たなければならないと考える。 中国での暗号化機能を含む装置の設置には中国当局への申請がいる。40万円位かかるら しい。そうしたノウハウをしっかりと持った国内の業者は限られる。KDDIなんかは昔 から国際的に強い。中国に進出したSI企業の中には、注文は受けても現地で作業するの はKDDIに丸投げとか。ネット系は国内でもいろんな業者が絡む。ましてや海外でいろ んな業者が絡んでは何が何だか分からなくなる。できれば業者は中間を通さずにすっきり させたい。もし会社の都合上、取り引きのあるSI業者を介することになったら、書面上 のことだけにして、実作業に当たる会社なり人なりと直接話を進めるようにした方がいい。 設置する機種は FortiGate-50B を各拠点に設置する。本社も 50B でいいと思う。50B 自 体は10万円そこらの物だが、中国2拠点と本社で少なくとも2百万円はいると思う。 * 中国事情の変化による見直し `2a/09 中国では暗号化の規制が2010年4月頃から、かなり強化されてきているらしい。事実 上もう中国と日本などでインタ−ネットVPNを張ることはできない。中国の国内でもだ めということらしい。ともかく中国政府が検閲できないようなことは全部だめと考えてい い。SSL-VPN で日本にアクセスするのも暗号化だが、これは灰色でぎりぎりOK。と以前 に書いたがこれは今でも問題ない。SSL-VPN 装置は日本側に設置している。パソコンは日 本の外にある訳だが SSL-VPN を介すとアクセスの発信元は日本になり、 日本からアクセ スしているということになる。中国国内から他の国へアクセスするのを検閲する。だから 問題ないという見解になっている。まさにお役所仕事的な扱いである。検閲は中国に設置 したインタ−ネット上のグレ−トファイアウォ−ルなるもので行なっているらしい。 インタ−ネットVPNは使えない。となると国際版の広域イ−サネットか IP-VPN しかな い。どうも日本から中国それに中国国内では IP-VPN しかないようである。広域イ−サネ ットはKDDIにも中国向けにメニュ−にない。一つの大きな IP-VPN 網ということでは なく、日本の IP-VPN か広域イ−サネット、それに中国内での IP-VPN をゲ−トウェイで 結び付ける。IP-VPN か広域イ−サネットでは、 国内本社の内部ネットワ−クかDMZと 接続することになる。すでに IP-VPN を引いていて国際 IP-VPN と接続する場合は、これ までの本社接続点となる。問題は費用、中国との IP-VPN は安くはない。中国ではベスト エフォ−ト回線でも2拠点で月50万円はいる。光ファイバはこれからで、ほとんどがま だ xDSL 回線である。しかし日本のように高速ではなく 512Kbps ぐらいのものらしい。 IP-VPN(または広域イ−サネット)の本社接続部のル−タでパケットフィルタリングをかけ る。国内及び中国の拠点間の経路設定を制限する。あるいはル−タの下にUTMを入れて、 ここでファイアウォ−ルとIPS機能を働かせる。このUTMに FortiGate-80Cを設置す るというのはどうだ。FortiAnalyzer でパケットの監視もする。おかしなパケットが中国 から日本に流れこんで来てないかチェックするのである。へたにル−タでパケットフィル タリングをかけようとすると、ここのル−タは業者設置でレンタルとかで、こちらの思う ようにならない場合が大きい。ル−ルの変更とかもいちいち業者にお願いしなければなら ないとか、そうなると実質上運用はできない。ル−タとは別にセキュリティ対策装置を自 分で設置した方がいい。あるいは中国側の IP-VPN 接続点にUTMをかますかだ。 現実的にはル−タでパケットフィルタリングのル−ルを設定するのは難しい、現状どこか らどこへどんなパケットが流れているか調べる必要がある。ここはパケットフィルタリン グではなくUTMの侵入防御機能で不正パケットをブロックすることに期待しよう。その ブロックしたパケットのログを FortiAnalyzer で監視して、 誤検知している場合はすぐ に通すようル−ルを緩和する。できればこのUTMは中国側に設置したい。 中国 IP-VPN が既存の国内 IP-VPN に拠点が増えるという形になると、国内拠点までこのUTMに影響 される。図を描くといいが各自イメ−ジしてもらいたい。ともかくこれで頭はDefensePro の新しい機種を設置し、尻には FortiGate を設置する。 頭とはインタ−ネット直下の所、 ファイアウォ−ルのすぐ上ともいう。尻とは IP-VPN などWANの本社ヘの入り口である。 * 海外拠点と本社等とのWAN接続 `2a/05 日系企業が千社以上進出している上海が代表的ということになりますか。UTMを上記の ように現地に設置した。こちらからUTMを操作できるように交渉した。本当はレンタル 設置でこっちが触る何てのは許されないのだが、何せアジアの事なのでできることになっ た。日本本社との遅延は 100msec 程度で、 FortiGate-80C にアクセスするのはスカスカ 操作できた。ファイアウォ−ルで必要なパケット以外は止めるようにして、止めたのはロ グを出すようにした。それにメ−ルとWebのログも取ったら、向こうの様子がかなり把 握できそうである。そういう事でもUTMをかましたのは正解であった。 もし遅延がやはり大きくネットとして使い物にならない。その場合を考えてファイルアク セス高速化(WAFS)装置も検討していた。FortiGate ではどうかと思った、WAFSの実績は未 知数である。入れるとしたら別のメ−カ、感触としてはSteelhead がいいような気がする。 できれば回線遅延シミュレ−タなるもので効果を確認してみると望ましいが。とある雑誌 の `28/12 号に、回線遅延シミュレ−タ Ethdelay と言う製品が紹介されていた。パケッ トロス率、遅延時間を設定できる。回線帯域は 10 Kbps から 10 Mbps でシュミレ−ショ ンできる。値段は 59,800円。http://www.ncad.co.jp/。聞いたことない会社だが。 -------------------------------------------------------------------------------- 2010年9月。中国以外はインタ−ネットVPNはやはり有力な通信手段である。コス トはどうしたって一番安い。今後アメリカとでもあるいはベトナムとでも、引くことだっ て出て来るかも知れない。ベトナムは日本からの工場移転先として既に注目されている。 -------------------------------------------------------------------------------- (5) モバイルDEノ−トパソコン * ノ−トパソコンを社外で使うには シンクライアント用ノ−トパソコンの外から本社ヘの接続は SSL-VPN か IPSec VPN かそ れとも PPTP か。SSL-VPN よりも IPSec VPN の方がオ−バヘッドが小さいらしい。 ファ イアウォ−ルで IPSec VPN を外のPCと張れば、特に SSL-VPN 装置は設けなくてもいい。 シンクライアント用ノ−トパソコンはモバイルカ−ドでプロバイダに接続する。社内には SSL-VPN かファイアウォ−ルで IPSec VPN 接続するか。 IPSec を使う場合はパソコンに、 IPsec のクライアント用ソフトをインスト−ルする。 携帯電話はダイアルアップ接続で、PPP プロトコルでユ−ザIDとパスワ−ドで認証する。 携帯電話にはICカ−ドである SIMカ−ドがへっついていて、端末固有番号というのが書 かれている。WiMAX は無線LAN接続でMACアドレスが振られている。 シンクライアント用ノ−トパソコンではなく、もはや iPad かも。電車で膝の上で開けて いるのを最近ちょくちょくみる `2a/08。`2a/11 Apple が Microsoftを売り上げで抜いた。 iPAD の個体認証に UDID( Unique Device IDentifier ) というのがあるそうな。 外に持ち歩くシンクライアントのノ−トパソコンは、皆で共有して使うことにするか。基 本的には社内では使わない。もし社内で使う場合はどうなるか、ネットワ−クの設定とか はどうなるか。社内はこれからは無線LANにする。外では WiMAX や携帯電話を使う。 シンクライアントでのUSBキ−の制限は。写真デ−タをUSBメモリにおとして、写真 屋の店頭でデジカメプリントをするとか。機密情報はコピ−できないが一般情報はコピ− したいとか。これは媒体での利用制限ではなく、ファイルに対する利用制限ということか。 * パソコンのネット接続いろいろ [ ホテルでの接続 ] 国内のホテルと海外のホテルあり。ホテルでは無線LAN接続が増えてきている模様。ネ ットワ−クのモジュラ−ジャックがあるところ。DHCP 接続してインタ−ネットへ。 イン タ−ネットへのアクセスの制限もあるかも。特に中国始め共産圏では多々、制限はあると 思っていた方がいいだろう。館内に無線LAN接続する。無線LANの規格はどうなのか。 [ 公衆無線LAN ] 駅など限られた場所での利用みたい。どういうことでサ−ビスは始まったのか。WiMAX や 携帯電話網でもはやカバ−できているのでないか。 普通の無線LAN IEEE802.11/a/b/g が外で使えるということ。サ−ビスする会社は幾つもある、どこでもつながるわけでない。 携帯電話より速度は出るのはたしか。例えばNTTコミュのホットスポットは月額1680円、 一日だけ使える 1 DAY PASSPORT は525円、これでとりあえず試してみることができる。 [ WiMAX 世界規格 ] `2a/06/07 朝日新聞の記事から、UQコミュニケ−ションズは2010年度に基地局数を 2009年度に比べて倍にする計画を発表、1万5千局にする。インタ−ネット接続のロ −ミングサ−ビスは、IIJ とかあるぞ。携帯電話のモバイルカ−ドはどうか。 [ 海外での事情は ] 海外で日本から持って出たパソコンとデ−タ通信カ−ドでインタ−ネットにアクセスして いたら、高額な電話代を日本に帰って請求されたとか。ロ−ミング接続を3分に1回しよ うとして月に40万円請求された話がミクシに出ていた。NTTドコモ FOMA 国際ロ−ミ ング http://www.docomo.biz/b-mopera/。中国の携帯電話は E-mail は使えない。 * パソコンのネットワ−ク設定切り替えソフト 1つのノ−トパソコンを会社でも自宅でもホテルでも使うような場面。会社では固定IP アドレスで社内ネットワ−クに接続する。ホテルでは無料で使えるインタ−ネット接続を DHCPでやるなど。それぞれでパソコンのネットワ−クの設定が異なり、素人さんにはなか なかできない作業である。しかもネットワ−クの設定を変更するには管理者権限が必要で あり、素人に管理者権限を与えるのも頭の痛い話である。 簡単にネットワ−ク設定を変更するソフトがあることは知っていたが、具体的に名前まで 知らなかった。`2b/12 にふと月刊「NETWORK magazine」2008/08 特別付録の{モバイルに 便利なツ−ル集}のところを見て、"Change TCP/IP for Windows2000/XP" というのが載っ ているのを見た。ベクタ−シェアレジによるシェアウェアソフト 1,000円。レジストする とライセンスキ−を送られる。http://www4.ocn.ne.jp/~kkino/chgtcp2k.html。 ・ドメインへの接続。 ・再起動なしで TCP/IP の切り替え。 ・ドメインユ−ザ−などの Administrator 権限のないユ−ザ−での実行。 * モバイル WiMAX は一番の成長株 KDDIは Business WiMAX を `29/07/01から法人向けサ−ビス提供開始。DHCPによる動 的IPアドレス。インタ−ネット回線料込みで月 4,480円。通信端末は 12,800円、 家電 ショップで売っているのでもいい。KDDIが提供するのデ−タ通信カ−ド(通信端末)は USBインタ−フェ−スのタイプのみ。家電ショップには ExpressCard/34 とPCカ−ド のタイプもある。下り 40Mbps、上がり 10Mbps。WiMAX とモバイル WiMAXは規格が別であ る。WiMAXを搭載したノ−トパソコンやノ−トブックが出ている。ソニ− VAIO Zシリ−ズ、 パナソニック Let's note S9 などがある。日立とHPには無いみたい。 初めて WiMAX のことを聞いて以来ずっと調べもせずほかっていた `2a/03のこと、改めて 調べてた。ん−、かなり速いぞ。これなら速度的にはシンクライアントは RDPでもいいか も、と即思った。WiMAX 現状はどんなことになっている。気になる、この際だからもう少 し調べてみよう。2010年3月時点。カバ−率は55%。エリア内だけどマンションの 部屋では使えない、外に出ると使える。アクセスポイントが近ければ 10Mbps ぐらいは出 る。7.2 Mbps の携帯では、よく出て 1.5 Mbps から 2 Mbps が関の山。悪いと 500 Kbps とか 800 Kbps 程度しか出ない。WiMAX はやはり速い。 KDDIの関連会社のUQコミュニケ−ションズ `29/07 開業。基地局を10月以降どん どん増やしている。2010年春には先行するイ−・モバイルの基地局数に迫る。8千エ リアに拡大。UQ WiMAX 月額料金を下限380円、上限 4,980円の2段階定額の UQ Stepメニ ュ−を追加、2010年1月頃。これまでは 4,480円定額の UQ Flatのみ。ユ−ザは公衆 無線LANサ−ビス UQ Wi-Fi も無料利用できる。サ−バと端末での認証は携帯電話より 強固。機器認証は相互デジタルID認証を行なう。ユ−ザ認証は端末側からMACアドレ スの提示をしてからユ−ザIDとパスワ−ド提示、サ−バ側からはデジタルID提示。 * 一挙に花が咲いたモバイル端末 `2b/03 iPhone, iPad, Android についてもそろそろ見ていかないといけないぞな。 iPad はもう 使える。電車の中で触っているのをみかける。写真とったのをペ−ジをめくったりしてい る。2010年11月10日、東京出張の新幹線で iPad を触っているのが印象に残った。 多分それより数ヶ月前に岐阜へ行くJRの電車の中で見たのが、初めぐらいだったかもし れない。そんなのを見ても単なるビュ−ワでしか使い道がない、かもと漠然と思っていた。 それが認識が変わったのは2月10日のこと。名古屋であった○丸商会のプライベ−トシ ョ−でじっくり見させてもらった。iPad は指を2本上下になぞっただけで、 キ−ボ−ド の絵が出てきた。手短なメ−ル位ならこれで十分打てると感じた。 プロトコルは RDP か ICA を使って社内にアクセスできることも分かった。 これには SSL-VPN 環境の構築が鍵 となる。認証には Android 固有の番号である IMEA番号。iPhoneはシリアル番号。Active Directory 利用には携帯番号というフィ−ルドがあるのでそれを利用するという話。 これらモバイル端末を SSL-VPN 装置をかまして、 社内のリソ−スを利用しようという話 が急速に広まっている。今や iPad のそうした利用のセミナ−はすごい人気があるようで ある。SSL-VPN 装置を従来扱っていたSI業者で、これまではあまり販売に積極的でなか ったのが、俄然やる気を見せている会社もある。名古屋で2月10日にそうしたセミナ−、 展示をはしごした。1社の展示で出ていたSSL-VPN 装置は FirePass、 もう1つのセミナ −で紹介していたのは Aventail 社の SSL-VPN 装置だった。Aventail は SonicWALL社に 買収された。Aventail の SSL-VPN 装置自体は昔からある。Aventail の SSL-VPN は昔か ら知ってはいたが、つきあいのあるSI業者が扱ってなかったようで、あまり調べようと も思わなかった。セミナ−で Aventail を操作説明していたのを見たら、直感的で分かり 易いと思った。正直言って FirePass は操作が分かりにくい、あっちとんだりこっちとん だりして。そのセミナ−では固定資産にならない破格のお値段で販売!、と宣伝していた。 Aventail E-Class SRA シリ−ズの SRA EX6000 と 7000がある。ワンタイム・パスワ−ド (OTP)機能が標準で入っている。これは有難い。 専用のト−クンを別に用意、購入しなく てもいい。USBの e-token なんか結構高い。OTPが携帯電話にメ−ルで届く。常にその ユ−ザが持っているという携帯電話を認証に利用する。Aventail Secure Desktop(ASD)仮 想デスクトップ、FirePassのPWSと同じような機能。デフォルトでUSBキ−、ロ−カ ルHDDへのコピ−は禁止になっている。VPNセッションが終了すると仮想領域にでき たファイルは全て削除する。2533t なんかのシンクライアントの EWFと同じような効果で ある。Aventail EPC( End Point Control ) ではハ−ドディスクドライブのシリアル番号 を照合することができる、標準で入っている。Advanced EPC というのもあり、 オプショ ン、アンチウィルスやパ−ソナルファイアウォ−ルのバ−ジョン、最新パタ−ンかなども チェックができる。SonicWALL 社には SRA 4200 と SSL VPN 200 という製品もある。 iPad が急速に広まる感じがする。 認証は携帯電話を使ったワンタイム・パスワ−ドが標 準になる感じがする。指紋認証まではいらないだろう。マウスもいらない。かつてNEC の98とか DOS/V パソコンの時代はマウスはなかった。 CAD用にはあったかも知れな いが、それはだいぶ時代が下ってからのことだ。マウスなしでもパソコン操作にプログラ ミングは十分できた。マッキントッシュが作った iPad が広まるというということは、マ イクロソフトの Windows OSのソフトは動かないということ。つまり Word も Excel も PowerPoint も動かない。これらが動かない端末が広まるということは Word も Excel も PowerPoint も使わないということである。 ということは三種の神器よろしく君臨してき たソフトは、もはや不要ということになる。 結論として Windows OSは急速に利用が萎 んでいく。あるいはマイクロソフトが iPad と似たようなのを出してくれば、また状況が 変わるかもしれないが。二番煎じの物がどれだけ支持を受けるか。はなはだ疑問である。 * 参考 「日経コミュニケ−ション」 2009/03/15, P.62〜63, "公開質問 KDDIに聞く 国際ロ > −ミング時の通信料金、同一市内でも高額になる理由は?" パケット通信は全世界同一 料金。国内のパケ放題のつもりでいるととんでもない高額請求となる。海外で携帯を使 おうとすると、先ずは日本の携帯会社のコアネットワ−クに接続しようとする。 「日経コミュニケ−ション」 2010/09, P.78〜79,"公開質問 ソフトバンクモバイルに聞く > 日額1480円の海外パケット定額どうやって実現した?、海外事業者とコスト削減交渉し てロ−ミング時の接続料を抑えた。7月21日に海外パケットし放題を開始、NTTド コモも9月1日から同額で実施。料金は2011年には両者ともアップしていく。海外 の提携するロ−ミング事業者に接続しないと料金は適用されない。 「日経コミュニケ−ション」 2011/08, P.59〜60, "Monthly Report [Android Watch]、注 > 意点が多い Android の VPN 接続解は L2TP/IPsec、対応製品も増加中"。この記事でも まだまだ iPad から社内にアクセスするための接続手段はこなれていないという感じを 受ける。セミナ−での話でも、Cisco の製品ならば何とか繋がるかもという感じ。 ------------------------------------------------------------------------------------ [ 付録 ] 社内アクセスへの外部サ−ビス `29/08〜10 -------------------------------------------------------------------------------- 社内資源へアクセスするためのASP( Application Service Provider )サ−ビスの利用。 -------------------------------------------------------------------------------- * NTTアイティのサ−ビス MagicConnect PacketiX Desktop VPN とよく似たサ−ビス。 NTTアイティ(株)がやっているリモ−ト デスクトップのASPサ−ビス。2009年9月、調べたら幾つかのASPサ−ビスがあ る。どうもこの MagicConnect が一番知られているような感じである。外のパソコン借り てもよし、これに専用のソフトが入ったUSBキ−を差し込むと、社内の自分のパソコン を使っているかのようにできる。社内パソコンでも専用ソフトを起動。社内外のパソコン で中継サ−バを介す。利用料は年 18,900円から、初期費用 15,750円から。動作検証済み SBC(サ−バベ−スコンピュ−ティング)ソフトはシングルユ−ザ対応のRDP、マルチユ−ザ 対応の Windows Terminal Server, Citrix Presentation Server, Propalms TSE, Secure Global Desktop/GO-Global。参考「NETWORK MAGAZINE」2007/11,"試用記 USBキ−1つ でVPN&リモ−トデスクトップ MagicConnect 2.0"。http://www.magicconect.net/。 専用ソフ -------- ------------ ------------ 専用USBキ−に入 トが入っ | | (1) |中継サ−バ| (2) | RDPサ−バ| っている専用ソフト ている専 | |■ ---> | | <----- | ↑(4) | MagicConnectClient 用USB | | | | -----> |専用ソフト| をインスト−ルする。 キ−、■ -------- ------------ (3) ------------ |外のPC | 社内PC| こんな仕組みでは?。 ------------------------------------------------------ 以下 Biz Communicator Remote Plus のサイトにあった MagicConnect のセットアップの 資料を見た。MagicConnect で出てくる画面は Windows の RDP画面である。リモ−トのパ ソコンの社内PCには MagicConnect Client ソフトをインスト−ルしておく。 リモ−ト デスクトップ接続を許可する設定もする。外のPCには専用USBキ−を差し、この中の MagicConnect Viewer ソフトを起動し、アカウントなどを入れて中継サ−バにアクセスす る。すると利用したい社内PCがリストされる、パソコンを選んで RDPアクセスする。通 常、外のPCから社内のパソコンへの RDPアクセスは、中継サ−バはもちろん無くて、社 内PCが RDP の受け側サ−バとして働く。多分 MagicConnectでは社内PCの専用ソフト の MagicConnect Client が中継サ−バとやりとりして、社内PCの RDP サ−バへアクセ スする。中継サ−バと MagicConnect Client はポ−ト 443 番で暗号化される。 * PacketiX Desktop VPN について ソフトイ−サ社が開発した SSL暗号化を用いたリモ−トアクセス用のVPNソフト+オン ラインサ−ビス。情報漏洩防止ソフトの決定版がうたい文句。正式版が2007年10月 から提供開始された。1年契約 8,140円とか。日本SGI(株)がセンタ−の運用管理を行 なう。社内のパソコンと外のパソコンは双方、中継センタ−に接続するという仕組み。テ ストにはお試しダウンロ−ドができる。一般ユ−ザ権限でパソコンにインスト−ルできる。 ちょっと購入するのがめんどうである。法人向けは銀行振込み、最低の契約ライセンス数 は5個で接続数 5〜49 は1個当たり 11,340円(税込み)。その後、日本SGIはやめた。 外から社内のリソ−スに安全にアクセスする手段としては、これでも十分な気がする。但 しユ−ザ認証がどうなっているか、調べないといけないが。ひょっとするとSSL-VPN 装置 を買わなくてもいいかも。しかし社内でも SSL-VPNを使うユニバ−サル・アクセスという ことでは使えない。2008年3月頃、改めて各社の SSL-VPN 製品を調べていて、 この 製品を見つけた。β版は無償だった。ユ−ザ認証は匿名認証、パスワ−ド認証、デジタル ID認証、RADIUS認証など対応。2週間、無償ですべての機能を使うことができる。申込 みも不要。http://www.softether.com/jp/desktop/。 中継センタ−はメディアエクチェンジ(株)のデ−タセンタ−に設置されている。リモ−ト にあるパソコンにセキュアにアクセスできる SaaS 型リモ−トアクセスサ−ビス。ファイ アウォ−ルはどうやって抜けるのか。社内のパソコンにはサ−バ用のソフトを入れておい て、センタ−に HTTPSアクセスするので、特にファイアウォ−ルの設定はいじることはな い。社内の自分のパソコンは常に起動しておくことになる。 PacketiX Desktop VPN サ− バをパソコンにインスト−ルする際にIDが生成され、中継センタ−に登録される。十分 なユ−ザ認証ができていると考えていいのでないか。 PacketiX についてその後の情報。プロバイダのNECビッグロ−ブが BIGLOBE の法人会 員向けに2008年5月、PacketiXを使うサ−ビスを開始した。料金は1ライセンス月額 945円。ソフトバンクBBも2008年4月に開始した、料金は同じく945円。「日経コミ ュニケ−ション」2008/06/15 の記事より。動きが素早いぞ、これはいけるかも。 それで 仕組みとしては外から社内にあるパソコンをあたかも操作している、リモ−トデスクトッ プアクセスである。社内で稼働しているパソコンでアプリケ−ションは実行され、手元の パソコンにはその画面イメ−ジが来るのみ。よって安全であるとのこと。 * 日本UNISYS(株)の SaaS型 SΛSTIKサ−ビス 初期費用は40万円。社内のどんなサ−バのサ−ビスを使いたいかなどヒアリングし、利 用者用画面のポ−タルのホ−ムペ−ジを作成する。対向のル−タ2台の毎月レンタル料金 が4万円。専用のUSBキ−は買い取りで1個2千円、毎月利用料700円。見るだけで ファイルの書き込みはできない、10月位に対応の予定とか。ユ−ザは外のパソコンから ユニシスのデ−タセンタ−のSΛSTIKサ−ビスサ−バに設置した SSL-VPN装置にアク セスし、そこから社内のWebサ−バやメ−ルサ−バにアクセスする。リモ−トデスクト ップのアクセスではない。SSL-VPN であらかじめ決めた社内のサ−バにアクセスができる、 通常の SSL-VPNアクセスである。手元のパソコンのキャッシュは消えるので安全。ユニシ スのデ−タセンタ−と自社の間でインタ−ネットVPNか IP-VPN 接続が必要、この費用 もいる。2009年4月に一般提供。ユニシス内ではすでに利用実績あり。 * KDDIのサ−ビス セキュアPCアクセス `2a/04 に調べたらこの名称になっていた リモ−トアクセス型シンクライアントサ−ビス(仮称)。試験提供を 2009/05/28 より開始。 2009/11/09 よりKDDIセキュアPCアクセスとして本提供開始予定。 持って出たノ− トパソコンを用いて、社内の自分のパソコンを外出先から利用する。会社のパソコンには 専用ソフトを入れておき、センタ−にアクセスする。 PacketiX Desktop VPN と同じ形式 のようである。外のパソコンはセンタ−にログインする。サイトの説明では、USBキ− と携帯電話にメ−ルで送られてくるワンタイムURLでユ−ザ認証をする。USBキ−は 市販品でよし。認証は携帯電話の個体認識番号を利用するとか、持ち出しパソコンの固有 情報とか、USBキ−は使わないとかプランがある。基本料金は月千円、初期登録費用が 1万円。このサ−ビスはインタ−ネット経由で、SSL-VPN GWサ−ビスというのは以前から ある。KDDIの IP-VPN を利用している会社には CPA とかいうメニュ−がある。 * NTTコミュニケ−ションズのサ−ビス Biz Communicator Remote Plus ASP型統合コミュニケ−ションツ−ル Biz Communicator というのが元々あったもよう。 http://www.ntt.com/bzc/。インタ−ネット利用で電話、電話会議、Web会議(ファイル 共有、ホワイトボ−ド、チャット) ができる、基本サ−ビスという。加えてリモ−トサ− ビスのRemote Plus が追加されたらしい。サイトの簡単見積りで、リモ−トサ−ビスを1 ユ−ザでやってみた。基本サ−ビス料はいって 3,150円、リモ−トサ−ビスが 1,575円で 計4,725円税込だった。初期費用は約2万円。セットアップの資料を見たら MagicConnect だった。社内のパソコンに専用ソフトを入れる。専用のUSBキ−を外のパソコンに差し、 その中のソフトを起動する。外のパソコン自体はいじらなくてもいいみたい。2009/08/21 だったか、夕方のニュ−スで企業の新型インフルエンザ対策に問い合わせが多く来ている と放映していた。NTTアイティのUSBとはデザインが違うので別物だと思っていた。 * 日立制作所のサ−ビス MediaSpace のリモ−トアクセスサ−ビス 日立の専用セキュリティPC使用。丸こい専用USBキ−を使用、ICチップは搭載して ない、ベリサイン認証済みのデジタルIDが入っている。日立の KeyMobileは利用できな い。ノ−トパソコン FLORA Se210 リモ−トアクセスパック。 初期費用は1ユ−ザ1万円、 サ−ビス料金月5千円。ASPの MediaSpace サ−バセンタ−を中継して、外に持ち出し たFLORA Se210 から社内の自分のパソコンをリモ−トアクセスする。社内のパソコンには DoMobile CSE エ−ジェントをインスト−ルしておく、 Windows RDP を受け付ける設定は しないもよう。ASPセンタ−をはさんだ通信は 128bit SSL、HTTPSによる暗号化通信を する。専用パソコンは Windows XP Embedded、ハ−ドディスクなし。専用USB認証キ− 1本6千円、利用ユ−ザの数だけ購入しパソコンは共有できる。手元に弁護士が利用して いる例のパンフレットがある。http://www.mediaspace.jp/。2005/09/29 サ−ビス開始。 * (株)エヌ・ティ・ティ・ネオメイトの ひかりモバイルmyPC と myPC PRO `27/12/07にもらったパンフレットがあった。`2a/04 まだこのサ−ビスやっているのかと 見たら http://www.ntt-neo.com/service/himob-mypc/ でそのまままだあった。外出先か ら社内の自分のパソコンを操作できるようにするサ−ビス。 myPC は社内に専用サ−バは いらない。社内の自分のパソコンにソフトを入れる。 携帯端末(携帯電話、PDA、パソ コン)にもソフトを入れる。携帯電話はiアプリというの。 小さな画面でパソコンの画面 が出てくる。月額525円。お知らせが2008年1月15日が最後でそれ以降ない。 myPC PRO の 方は社内に専用サ−バ Pro-Gate を設置する、年10万円。myPC Pro用クライアントアプリ、 1ライセンス年 1.5万円。Pro-Gate は外と中の通信を中継する、 同時アクセスは100 台まで可能。プロトコルは RDP とか Citrix とかは書かれてない。myPC PRO はインタ− ネット、各社の閉域網を利用できる。パケット通信料定額サ−ビスの加入を勧める。