グローバル（国際）IP-VPNについて

グローバル（国際）IP-VPNについて

やや専門よりの質問で申し訳ありません。

日本の企業で海外に拠点を作り、単純業務をするセンターを構築しようとしています。
免許の取得や、ビザ関係の就労についての課題、ファシリティの確保や、
敷設するインターネットなど、様々な問題はほぼクリア出来ているのですが、
1つだけ不明なのが、掲題の件の「グローバルIP-VPN」です。

現地から日本のWebやサーバへアクセスしても、特にストレスを感じないのですが、
日本にある社内システムへ対しアクセスさせる際に、
「IP-VPNを導入すべきなのではないか？」という会話があります。

セキュリティ面では確かにやや不安はあるものの、SSL通信が出来ていますし、
個人的には月に数十～数百万だしてIP-VPNを導入する意味があるのか？
と思っている次第です。

やってみてダメなら導入というように出来れば良いのですが、
当然、そういうわけにもいかず、、、

グローバルIP-VPNは国際的な通信の際、導入は必須と思われますか？
ご意見やアドバイスを頂ければ非常に幸いです。

＃自分で調べろ、詳しい人に聞け、入れてみれば？などのご意見はご遠慮下さい。

No.4 回答者： koi1234 回答日時： 2010/01/17 07:56

私の認識が違ってたらすいません

IP-VPNって聞くと専用線や閉塞網内でのVPNのイメージがありますが違いますでしょうか？
国内と海外だと多分専用線って感じになるのではないかと思います

私の場合VPN導入に当たってIP－VPNとインターネットVPN両方を検討しましたが
コストの面で専用線は断念しました
閉塞網VPNはNTTでありますが確か当時東西またいでのサービスが
無かったためこれも断念しました

議題になっているVPNがインターネット回線をバックボーンとしたVPN
の事を指しているのであればSSL通信とVPNどちらで通信を行うか
ということですよね？
インターネットVPNの構築自体にそれほど極端なランニングコストはかかりませんし
各拠点固定固定IPにすればセキュリティも高まります
（PPTPよりIPSecのほうが良いでしょう）

SSL通信余り詳しくありませんが特定IP以外からもアクセスできる
（ポートだけ）ってことであればVPN（IPSec）の方がリスクは
減るのではないかと思います

私はRTX1000で国内2拠点常時接続しています

No.3 回答者： nnori7142 回答日時： 2010/01/16 09:39

　他の方の回答もありますが、方法的にはキャリア型VPNと、VPNゲートウェイ機器を利用したインターネット型VPNがありますが、拠点が海外拠点がありますので、VPNゲートウェイ機器を双方設置し、IPsec通信設定若しくはPPTP通信設定を実施する方法があります。

　日本拠点（サーバ側）と海外拠点、拠点数に応じて構築方法が変わりますが、PPTP通信ですと推奨拠点数が5拠点程といった部分があり、それ以上になるとPPTPサーバやVPNルーター等の仕様により接続が不安定になる場合も経験しております。
　お勧めはIPsecによるトンネリング構築ですが、対応機器及び構築が比較的容易、通信安定性・信頼性の観点から、日本拠点（サーバ側）にYamaha製「RTX1100」や「RTX1500」、海外拠点側に「RT107e」等がお勧めです。それと、拠点毎グローバルIPアドレスの固定が出来ない場合には、NetvolanteDNS取得・更新設定を実施、サーバ及び海外拠点PCがルーターのNAT配下でしか動作出来ない環境の場合には、IPsec NATトラバーサル設定を実施若しくは、ルーターのESPパケットを送受信するように構築する方法となりますね。
　もう一つの方法は、コレガ製「VPNゲートウェイシステム」の導入ですが、これはしたことがないので、やってみないと解りません。
　他方法としては、仮想VPNソフトウェア等の導入ですが、Softether社「PacketiX VPN Server 2.0 」等の導入ですが、サーバにかかる負荷やクラスタリングまで考慮するのであれば、 Enterprise Editionとなりますね。（拠点数及び接続端末台数によりライセンス追加契約が必要です）

No.2 回答者： wakaba2010 回答日時： 2010/01/16 04:03

規模（海外の端末台数）や用途によりますが、IP-VPNを構成するより、SSL-VPNとかでは用途は満足できないのでしょうか？

例えば、ファイルサーバやグループウェアへの接続であれば、今時のSSL-VPN装置で対応できます。
Juniper社のSAや、F5のFirePassが有名です。
国内側の公開セグメントにアプライアンス機器を設置し、海外からはインターネット経由でSSLアクセスします。

海外が固定IPであれば、SSL-VPNゲートへの接続も海外の固定IPからのみに限定すると安全ですね。

また、他の方法は、L2VPNって手法や、ファイアウォールのリモートVPN（JuniperのSSG、FortiGate等々）

No.1 回答者： WPY11_4548 回答日時： 2010/01/16 03:13

必須かどうかは環境に依存するかと思います。

例えば国内側のネットワークでも機密性の高いデータへのアクセス権が制限されていたり、そもそも別のネットワークに入っているなどの場合で、外部からの(不正も含めた)アクセスで国内の機密情報を盗まれることがない場合に、
海外拠点とやりとりされるデータの機密性が全て低いのならばVPNの導入は必須ではないでしょう。

逆に海外拠点とやり取りするデータの機密性も高い、海外拠点からアクセルされる国内側ネットワークのセキュリティも脆弱(機密性の高い情報に容易にアクセスできる)な状態ならば、VPNの導入はごくごく一般的に妥当な対策だと思います。

ざっくり言えば、VPNはインターネット網を通じてアクセスしてくる端末のうち、予め登録しておいた端末(例えば海外拠点のPCや出張用ノートPCなど)のみをローカルなネットワークの世界(今回の場合は国内拠点内のネットワーク網)の一員として扱うための手法です。
（ですからグローバルIPを仮想的にプライベートIPに変換して、第三者によるグローバルIPへの直接のアクセスのリスクを低減できるわけです。）

不正アクセスによる情報漏えいの可能性はVPNの導入により大きく下がりますが、それ以外の要因(機密性の高い情報に社内の誰でもが容易にアクセスできてしまう、など)での情報漏えいについては効果はありません。
理想を言えば、両輪で進められるのが宜しいかと思います。