本文へジャンプします。

TOP
クラウド トップ>クラウドナビ>基礎知識>外部からクラウド環境へ安全にアクセスする手段とは?

基礎知識

外部からクラウド環境へ安全にアクセスする手段とは?

2019年3月14日


外部からクラウド環境へ安全にアクセスする手段とは?

従来のオンプレミス環境ではサーバーが自分たちの管理下にあり、プライベートネットワークで直接アクセスすることが可能でした。それに対してクラウド環境では、サーバーはクラウド事業者のデータセンターに存在します。ハードウェアを自分達で管理する必要がなくなった反面、物理的に離れた地点に存在するサーバーへ、安全にリモートアクセスする方法を考える必要が出てきました。

今回はクラウド環境へ安全にアクセスする方法を、大きく4つのケースにわけて紹介します。

各アクセス方法の特長について

インターネットを利用したアクセス

クラウドへのもっともシンプルなアクセス方法が、インターネット回線を利用したアクセスです。この方法のメリットは、サーバーがインターネットからアクセス可能でさえあればよいという点です。つまり特別な機器や手続きなしで、すぐに使いはじめることができます。

デメリットは、サーバーをインターネットに直接晒すことになる点です。そのままでは世界中の誰もがサーバーにアクセスできてしまうため、別途ファイアウォールを設けてアクセスを制限するなど、セキュリティを確保する必要があるでしょう。

例えば、ファイアウォールで必要のないポートを遮断したり、アクセス元IPアドレスを制限するといった対策が一般的です。ただしIPアドレスを制限してしまうと、不特定多数からのアクセスは防げるものの、接続のたびにIPアドレスが変化するPPPoE環境や、スマートフォンなどのモバイル環境からのアクセスがしづらくなるという問題も出てきます。また継続して許可IPアドレスリストをメンテナンスし続ける手間もかかります。

低コストで手軽に使いはじめられますが、安全性はそれほど高くなく、運用にも一定の手間がかかる方法です。

端末からVPNを利用したアクセス

公衆のネットワークであるインターネットでは、第三者による通信の盗聴や改竄の危険があります。そこで特定のユーザーのみが使用できる暗号化した通信経路を確保し、あたかもプライベートネットワークで接続されているかのように通信を行う技術がVirtual Private Network(VPN)です。特にインターネット回線上に仮想的な通信経路を確保するVPNを「インターネットVPN」と呼びます。

ユーザーとクラウド環境の間の通信経路をVPNで確保すれば、前述の「インターネットを利用したアクセス」の問題であった、第三者による不正なアクセスや盗聴、改竄を防ぎ、安全に通信が可能です。また、回線そのものはインターネットを利用するため、後述する閉域網を利用したアクセスに比べてコストが非常に安く済みます。

ユーザーとクラウド環境の間でVPNを張れるようにするには、クラウド環境側にVPNの受け口となるゲートウェイを設置する必要があります。また、ユーザーの端末にVPN接続を開始するクライアントソフトをインストールする必要があります※。ユーザーはクラウド環境に接続したくなったタイミングでクライアントソフトを起動し、クラウド環境との間のVPN接続を確保します。

この方法ではユーザー認証のみで安全な通信経路を確保できるため、接続元を問いません。そのためアクセス元IPアドレスが常に変化するモバイル環境からでも利用できます。

ただし、クラウド環境に接続する際には、手動でVPNの接続/切断を行わなければならないため、他の方法に比べて余計なひと手間がかかってしまうという欠点もあります。また新規ユーザーの作成や不要になったユーザーの削除といったメンテナンス作業も必要となります。

※ VPNはポイント間で仮想的な通信経路を確保する技術の総称であり、実際に使用されるプロトコルはさまざまです。その中でもSSLを利用したSSL-VPNはWebブラウザーで利用できるため、専用のクライアントソフトは必ずしも必須ではありません。ただし、SSL-VPNはメジャーなIPsec VPNに比べ、パフォーマンスで劣る場合があります。

拠点間VPNを利用したアクセス

個人の端末とではなく、オフィスなど利用者の拠点のネットワーク全体を、クラウド環境のネットワークとVPNで繋いでしまう方法です。ネットワーク同士を常時接続するため、各端末にVPNクライアントをインストールする必要も、手動で接続/切断を行う必要もありません。利用者はVPNの存在を意識することなく、社内LANの延長のようにクラウド環境にアクセスできます。

この方法では、クラウド環境のVPNゲートウェイと対になるVPN接続機器が利用者の拠点に必要となります。そのぶん初期導入コストや設定の手間はかかりますが、導入さえしてしまえば日々の運用は楽な方法でもあります。

当然ですが拠点同士を繋ぐため、スマートフォンなど拠点外からのアクセスはできません。前述の端末からVPNを利用したアクセスとは、利用スタイルに応じて使い分けるとよいでしょう(設定次第で併用も可能です)。

閉域網を利用したアクセス

インターネット上に仮想的な経路を作るVPNとは異なり、専用の回線を用意して拠点とクラウドを接続する方法です。物理的に専用の回線を用意するため、そもそも第三者が介入する余地がなく、セキュリティ的にもっとも堅牢な方法です。また、インターネットは複数のユーザーの通信が混在しているため、利用者が増えるとパフォーマンスが落ちることがありますが、専用の回線であればこうした問題も起こりません。

パフォーマンス面、セキュリティ面ともにメリットのある方法ですが、通信キャリアに専用の回線を用意してもらう必要があるため、非常に大きなコストがかかってしまうのがデメリットです。

【まとめ】どの方法を選択するのがよいか

方法 アクセス元 導入コスト 運用コスト 安全性 パフォーマンス
インターネットを利用したアクセス 不特定
端末からVPNを利用したアクセス 不特定
拠点間VPNを利用したアクセス 特定の拠点
閉域網を利用したアクセス 特定の拠点 × ×

紹介した4つの方法の特長を表にすると、このようになります。それぞれの方法にはメリット/デメリットがあるため、一概に「これを選べばOK」とは言えません。おおまかに各方法がどのようなケースに向いているのかをまとめると、以下のようになります。

  • 強固なセキュリティが要求されない案件で、低コストでスタートしたい場合:インターネットを利用したアクセス
  • 低コストでセキュリティを確保したい場合や、モバイル環境からのアクセスが必要な場合:端末からVPNを利用したアクセス
  • 社内サーバーをクラウドに移行したい場合:拠点間VPNを利用したアクセス
  • セキュリティとパフォーマンスを重視し、コストが許容できる場合:閉域網を利用したアクセス

要件やコストに応じて適切な方法を選択、あるいは組み合わせて使う必要があるでしょう。

  • このエントリーをはてなブックマークに追加