ソフトウェア型VPNの強みとは?

ソフトウェア型VPN

ネットモーションのVPNは ソフトウェア型 なので、プロフェッショナルなモバイル用途に最適です。VPN はブロードバンドルーターに無償で付属するものもありますが、プロのモバイル用途には機能不足なので、注意が必要です。

米国の警察車両でも数多く利用されている、ネットモーションの ソフトウェア型VPN の強みとは?  
プロユースの過酷な環境にも耐えられる機能が数多く実装されている

今回はネットモーションのソフトウェア型VPNの強みを厳選してご紹介します。会社支給のモバイルデバイスから社内ネットワークへのリモートアクセスを検討する上で、ご活用いただければと思います。

NetMotionのシステム概要

アーキテクチャーの「強み」

リバースプロキシ型

モバイルから社内への通信を中継

どのような構造か?
VPN (仮想プライベートネットワーク) は、トンネリングというテクノロジーを使い、モバイル端末から送受信されるデータをカプセル化して社内側ネットワークに転送します。
ネットモーションのトンネリングはリバースプロキシ型なので、モバイル端末から社内システムにアクセスする際のソースIP (発信元のアドレス) が、社内サブネットのアドレスになります。つまり、発信元であるモバイル端末は、社内の端末であるかのように通信できるのです。モバイルユーザーは、社内にいる時と全く同じ操作で、ファイルサーバーにアクセスしたり、メールを取得したり、イントラネットのグループウェアやWebサーバーに、どこからでもアクセスできます。入力するURLは、社内にいる時と同じなので、違和感がありません。
 
モバイル端末の電源が入り、Mobilityサーバーに最初に接続(ログイン)する時に、社内アドレス(仮想IP)が1つずつ割り当てられる仕組みです。仮想IPアドレスは、アドレスプール(管理者が設定したアドレスのリスト)や 既存のDHCPサーバーを利用して、自動で割り当てられます。その後、モバイルデバイスを再起動しても、同じ仮想IPアドレスが割り当てられます。
モバイル端末が利用するWi-Fiアクセスポイントが変わるなどして、物理的なIPアドレスが変化した場合でも、仮想IPアドレスは、変わりません。
メリット
社内のネットワーク機器(ルーターやUTMなどのセキュリティ装置)で、IPアドレスベースで、通信したモバイルデバイスを識別できます。そのため、アクセス分析やトラフィック制御が容易です。
注意点
ネットモーションを使用しない場合は(例えば、ルーターに付属されるVPN機能で社内にリモートアクセスすると)、ソースIPがルーターの社内IPアドレスになってしまうので、識別が困難です。
製品によって動作が異なりますので、開発メーカー各社にお問合せ下さい。
 
 

ユーザビリティ(使い勝手) の「強み」

接続の維持

接続を切れさせない(ように見せる)テクノロジー

ネットモーションの「モビリティ」VPNで接続しているデバイスは、すべての通信が 仮想NIC (NIC: ネットワークインターフェースカード) と呼ばれるソフトウェア制御のマイクロルーターで中継されます(仮想NICは、モバイルデバイス上で動作する非常に小さなソフトウェアです)。
 
モバイル端末で動作しているアプリケーションが、社内やインターネットに向けて通信を開始すると、Wi-Fiなどのネットワークに直接出ていくのではなく、一度、仮想NICで中継されます。つまり、アプリケーションから見ると、ネクストホップは仮想NICになります。この仮想NICがリンクアップ(イーサーネットケーブルが接続しているような、アクティブ状態)になっていれば、Wi-FiやLTEの回線状態は、アプリケーション自身が検知することは不可能です。
 
このように、アプリケーションとネットワーク状態を分離することで、接続を安定化させます。

さらに

TCP や ICMP(pingやDNS問合せ) の通信に対して、独自のフロー制御を行います。回線の能力以上に送信しないように調節し、最適なスピードで通信させます。この制御をスロットリングと言い、インターネットの基幹システムのネットワーク装置などで利用されている技術です。この技術がモバイル端末でも利用できるのです。また、欠損したパケットがあれば検知して、アプリに伝達することなしに、仮想NICが自動で再送します。
 
ビデオ会議や音声通話で利用されるUDPプロトコルに対しては、リアルタイム性を損ねないように、前方誤り訂正(FEC) というエラー補正が働きます。再送信を行うと、映像や音声が乱れたり、音飛びが起こるので、再送信しなくて済むようにチェックサムを重ねて通信させて、欠損された部分をリアルタイムに補修します。この機能は、送信と受信の両方に効果があります。ディスクストレージのRAIDのように、チェックサムを利用して計算することで、通信データを補修・補正します。チェックサムの量は、アプリケーション単位や通信先単位で、管理者が指定できます(ポリシー設定)。

さらに (その2)

モバイルデバイスの接続が一時的に切れていた(電波が届かない、端末がスタンバイ状態など)としても、TCP/IP や UDP の通信が生きているかのように、社内サーバー側には認識されるので、再認証などのエラーの発生を防ぐことができます。
 
 

セキュリティ面の「強み」

通信の暗号化

すべての送受信を保護。通信先の覗き見は許さない。

モバイル端末のすべての通信は自動で暗号化され、中継先の Mobilityサーバーに転送されます。会社支給のモバイル端末がインターネットにアクセスするときに、中間者攻撃 (MITM) やポートミラーリングなどで悪意のある行為があっても、通信先を漏洩させません。

ポイント:

  • Mobility VPN の通信は、AES 方式で暗号化され、独自の方式でカプセル化されているため、第三者が解読するのは極めて困難です。
  • 仮想NICが、ファイアーウォールのように動作するため、モバイル端末の物理IPアドレスに対する着信を拒否します。

さらに

出張の移動中や昼休みなどで、モバイル端末をスタンバイ/レジュームしても、トンネリングを自動で維持します。
 
Windows デバイスの場合は、Wi-Fiアクセスポイントの認証を、VPNを解除せずに行うことができます(キャプティブポータル検知機能)。ホテルなどのWi-Fiに接続するためのWebベースの初期認証を、スムーズに行えます。
 
 

まとめ・関連記事

 
このように、プロフェッショナルなモバイルワーカーが必要とする、利便性とセキュリティを両立しているのが、ネットモーションのVPN機能です。

月刊テレコミュニケーション
あらゆる通信環境で『切れない』ソフトウェア型VPN ~ 高度な分析と可視化で効果的に活用 ~(記事はここをクリック