接続のセキュリティ- VPN構築などのポイント
ファイルサーバには顧客情報・社員情報・案件情報・技術情報など、機密を保つべき資料が保管されていますので、これをインターネットにさらすことはできません。そこで、VPNルーターを使って、リモートアクセス用VPNを構築します。
VPNアクセスは、「何でもあり」にするか「用途を限定する」か?
VPNに接続された端末は、LAN内に接続されたと同じ扱いにすることができます。そのため、たとえばPCでLANにVPN接続できれば、リモートデスクトップや、プリンタ利用、Windowsエクスプローラでのファイルサーバ利用など、何でもできてしまいます。
何でも出来てしまうことは、便利である反面、危険でもあります。
危険を最小化するのであれば、不便にはなりますが、VPN経由で通信できるプロトコルに制限をかける方法があります。リモートアクセスVPNの用途を限定できた方が、それだけ安全性が高まります。
VPN越しのWindowsエクスプローラ利用は、耐え難く遅い
Windows PCの場合、VPN接続があるならば、エクスプローラを用いて端末PCから直接ファイルサーバの共有フォルダをネットワークドライブとして参照することが可能です。
しかし、インターネット上に構築されたVPN接続は決して速いネットワークではないので、エクスプローラでフォルダを開いても、数十のファイルがあるフォルダを開くだけで、何秒も待たされることがあります。
FileBlogを用いたHTTPによるファイルサーバアクセスの場合には、LAN内でのエクスプローラによるアクセスに近いレスポンスが得られますので、ファイル一覧を開くのにイライラすることがありません。
VPNクライアントの必要性
- iOS/Androidには標準でVPNクライアント機能(L2TP/IPSecクライアント)が備わっています。よって、L2TP/IPSecに対応したVPNルータを設置すれば、スマートデバイスから社内ネットワークへのアクセスを比較的簡単に実現することが可能です。
- PCには(ルーターのメーカが販売あるいは指定する)VPNクライアントソフトのインストールが必要になるのが普通です。設定難易度があがるもののフリーのVPNクライアントもあります。
外部公開には、固定IPかDNS名が必要
インターネットから接続を受け付けるためには、固定IPアドレスを取得するか、動的DNSサービスを使うかのいずれかの手段で、接続用サーバが見つかるようにする必要性があります。
SSL VPNゲートウェイ サービスも利用可能です
- 固定IPアドレスを取得してVPNルータを公開する代わりに、インターネット上のゲートウェイを通じてSSL通信できるようなSSL VPNアクセスサービスを用いることも可能です。
- この場合、FileBlogサーバ側にリモート接続サービスのエージェントを稼働させます。エージェントは
クライアントがアプリに接続する際には、インターネット上のゲートウェイサーバにまず接続します。
(VPNの代わりに)SSLで通信を暗号化することも可能
ある程度の安全性を確保しつつ、VPN機器・VPNクライアント無しに不特定多数の端末からのファイルサーバ・リモートアクセスを実現する方法として、ドメイン名を取得の上、FileBlog WebアプリをHTTPS(SSL)でインターネットに公開するという方法があります。
FileBlogのWebアプリケーションは、Apache HTTP サーバとして稼働していますので、このApache HTTPサーバにSSL証明書をインストールすれば、VPNルータの助けを借りることなくFileBlogの通信を暗号化することができます。
取引先との間でデータをやり取りしたいなどの理由で、社外メンバーにサーバを公開したい場合にはこの方法をとってください。
なお、ログインIDとパスワードを盗まれてしまうと、簡単にアクセスされてしまうので、くれぐれもパスワード管理にご注意ください。
