SKYSEA Client View ”強制VPN”のご紹介

製品情報2025.02.06

SKYSEA Client View ”強制VPN”のご紹介

SKYSEA Client Viewの「ITセキュリティ対策強化オプション」の機能である”強制VPN”の概要とそのメリットについて説明しています。”強制VPN”は、社外からのインターネット通信を事前に設定したVPN機器を通さなければ遮断する機能で、テレワーク時のセキュリティを強化します。

SKYSEA Client Viewでは様々なオプションを取り揃えています。このうち、「ITセキュリティ対策強化オプション」に搭載されている、”強制VPN”について、どのような機能であるかをご紹介いたします。

本機能は「ITセキュリティ対策強化オプション」の追加のほか、オンプレミス版ではEnterprise Edition、Professional Edition、テレワーク Editionに、クラウド版ではS3H Cloud Editionに標準搭載されています。^[1]

”強制VPN”の概要

”強制VPN”はあくまで通称となっており、正確には「組織外ネットワーク接続(VPN・プロキシサーバー)」アラートで実現される機能です。
このアラートは、社外からインターネットに抜ける通信について、事前に設定したVPN機器を通らなければアラートとし、通信を遮断する機能となっています。

”強制VPN”導入のメリット

テレワーク時を例にして、VPNに接続している時としていない時のインターネットへのアクセスの経路を図に示しました。

図を一見すると、VPN接続をすることにより無駄に遠回りをしており、効率を考えれば社内のファイルサーバー等を利用したいときだけVPN接続し、普段はVPNに繋がないほうが良いようにも思えます。

ではなぜ、遠回りをしてまでVPN接続をさせたいのでしょうか？

その疑問を解決するために、自宅ネットワークと企業ネットワークで、それぞれどのような経路でインターネットに接続しているのかを図に示しました。
※ 実際には光回線の回線終端装置(ONU)なども存在しますが、本図では省略しています。

見比べてみると一目瞭然ですが、ネットワーク側でのセキュリティ対策のレベルが自宅ネットワークと企業ネットワークでは段違いになっています。
したがって、テレワークで業務情報をやり取りするのであれば、セキュリティレベルの低いネットワークから直接インターネットにアクセスするより、一度社内ネットワークを経由したほうが安全と言えます。

また、組織が管理するネットワーク機器を通過させることにより、通信のログ取得や、何らかのインシデント発生時のアラート検知なども確実に行えます。

これがVPN接続を強制させるメリットです

そもそも「VPN」って何？

”強制VPN”の仕組みを説明する前に、VPNについておさらいしておきます。
これがわかっていればより仕組みがわかりやすくなるためです。

VPNは「Virtual Private Network」の略で、インターネットなど通信事業者の回線を仮想的な専用回線として利用し、物理的に分かれているネットワークを同じネットワークとして利用できる技術です。
これにより、物理的には別のネットワークにあるPCやサーバー間で、プライベートIPアドレスを用いて通信できるようになります。

また、VPN接続のうち、PCとVPNゲートウェイを接続するものを一般に「クライアントVPN」と呼びます。
”強制VPN”を提案する際に想定している「VPN」は基本的にこの方式を指します。

一方、拠点同士の接続等を目的に、VPNゲートウェイ同士を接続するものを「拠点間VPN」と呼びます。
SKYSEAで離れた拠点のPCを管理する際には、この方式でのVPNを構築いただく必要がございます。

※ ここでは「VPNゲートウェイ」という呼び方をしていますが、ルーターやUTM機器のVPN機能を使うことも多く、そういった場合には「VPNルーター」と呼ばれるケースもあります。

いずれの方式にせよ、社内ネットワークとVPN接続されている場合は、PCのネットワークカードに社内ネットワークの機器と通信できるプライベートIPアドレスが割り当てられます。

また、社内ネットワークの中にいるサーバーなどと通信できるようになります。
このことが、機能の実現を支えています。

”強制VPN”の仕組み

前提のお話が長くなり恐縮ですが、ここからSKYSEA側のお話に移ります。

理屈自体は至ってシンプルです。
社内ネットワークに繋がっていればインターネットに接続できるようにし、社外のネットワークに繋がっている場合はVPN接続するために必要な通信以外のインターネット接続を遮断することで実現します。

※ したがって、VPN接続を強制的に有効にする仕組みではない点に注意が必要です。

とはいえ、この仕組みを実現するには、以下の3つの機構が必要です。

社外ネットワークにいるときにインターネットへの通信を遮断する機構
社外ネットワークにいてもVPN接続に必要なインターネットへの通信は遮断しない機構
社内ネットワークにいるときはインターネットへの通信を遮断しない機構

この機構を実現するために、Windows OSに標準で備わっている、通信の遮断や許可を設定できるフィルター機能を利用しています。

”強制VPN”では、この機能を用いて、ホワイトリストの考え方で通信遮断を行っています。

まず、①の「社外ネットワークにいるときにインターネットへの通信を遮断する機構」は、「すべてのTCP/UDP通信を原則としてブロックする」フィルターをSKYSEAが作成することで実現できます。

次に、②の「社外ネットワークにいてもVPN接続に必要なインターネットへの通信は遮断しない機構」は「VPNゲートウェイ(他に必要な通信先があればそちらも)のグローバルIPアドレスに対する通信を許可する」フィルターを作成し、①のフィルターに穴あけをして実現しています。

最後に、③の「社内ネットワークにいるときはインターネットへの通信を遮断しない機構」ですが、こちらは次のいずれかの方法で実現できます。

「社内のプロキシサーバーへの通信を許可する」フィルターを作成する。
IPアドレスなどからネットワークカードが社内ネットワークに接続されているか判定し、「社内ネットワークに接続されているネットワークカードの通信は許可する」フィルターを作成する。

いずれにせよ、①のフィルターにさらに穴あけをして実現しています。

②と③のほかにも、幾つか除外される通信があり、それらについても①の通信を除外する形で実現しています。

社内外の判定のため、社内のプロキシサーバーを利用する場合

社内のプロキシサーバーを利用する環境では、一般的に次の流れでインターネットへの通信を行います。

PCはプロキシサーバーのプライベートIPアドレス宛に通信する。
プロキシサーバーはPCの代わりにインターネット上のサーバーと通信する。

1.から、PCがプロキシサーバーと通信するには、物理的に社内ネットワークに接続しているか、VPNで社内ネットワークに接続している必要があります。
裏を返せば社内ネットワークに接続していなければ、許可されているプロキシサーバーへの通信自体が行えないため、結果的にインターネットへの通信が遮断されます。

また、2.から、PC側のフィルターとしてはプロキシサーバーさえ許可していればインターネットへの接続が行えるため、シンプルな設定になります。

ただし、そもそも社内にプロキシサーバーが存在しない環境や、アプリケーション側の仕様によりプロキシサーバーを介して通信できないような場合には遮断されてしまうデメリットがあります。

社内外の判定でプロキシサーバーがない場合

社内にプロキシサーバーがある環境ではプロキシサーバーへの通信可否で社内ネットワークに接続されているか判定していましたが、プロキシサーバーがない環境ではこの方法での判定ができません。
そこで、代わりの手段として、「ネットワークカード」アラート機能で許可ネットワークとして定義されたネットワークに接続しているネットワークカードの通信を許可する方法があります。

事前に「ネットワークカード」アラートとして社内ネットワークを「許可ネットワーク」としてご登録いただき、この「許可ネットワーク」に接続しているネットワークカードの通信は許可するフィルターを作成することで、社内にいる間はインターネットに接続できるようにしています。

プロキシサーバー不要で”強制VPN”をご利用いただけるほか、プロキシサーバーを経由できない特殊な通信も許可できますが、一方で複数のセグメントがあるネットワークでは、許可ネットワークを漏れなく登録しておく必要があります。

ローカルブレイクアウト

ネットワークとインターネットの出入り口は通常一つに集約されています。
そして、企業ネットワークの場合、図のように他の拠点からのトラフィックもVPNトンネルを介して一つの出入口から出入りします。

出入口は、社内ネットワークの一つの出入口に集約されます。
これにより通信のチェックなどセキュリティ対策が可能になりますが、この場合VPNゲートウェイやインターネットへの出入口となるルーターへの負荷が高くなってしまう点が問題として存在します。

そこで用いられるのが「ローカルブレイクアウト」と呼ばれる仕組みです。

これはWeb会議など、通信量が大きいものをVPNを経由させず、直接その拠点のルーターなどを介してインターネットと通信させる仕組みです。

”強制VPN”でもこのローカルブレイクアウトに対応しており、通信先のグローバルIPアドレスやFQDN等を指定することによって、VPNを介さず通信できる通信として除外するフィルターを設けることが可能です。

ただし、あくまでこの設定は「宛先がここであればVPNトンネルを通らなくてもSKYSEAではブロックしません」というものとなりますので、VPN機器・VPNソフト側でのブレイクアウト設定を行っていただき、そもそもその宛先への通信がVPNトンネルを経由しないように設定いただく必要がある点にご注意ください。

注意が必要な点 ①：名前解決

VPNゲートウェイは、オンプレミスに設置したVPNルーターのように単一のグローバルIPアドレスを持っている機器もあれば、サービス提供されていて、接続するたびにグローバルIPアドレスが変わるものもあります。

Windowsのフィルター機能はその仕様上、許可する宛先をIPアドレスでしか指定できないため、VPNゲートウェイをサーバー名で指定した場合は、一度名前解決を行ってから、出てきたIPアドレスを許可する宛先として指定してフィルターを作成するのですが、後者のようにラウンドロビンなどでIPアドレスがコロコロと変わる環境では注意が必要です。

名前解決をしてフィルターを設置し、いざVPNクライアントが接続しようとすると、異なるIPアドレスに繋がってしまって遮断されることがあるからです。
IPアドレスが変われば定期的にフィルターを設置しなおしてくれますが、グローバルIPアドレスを特定できる場合は接続先となりうるIPアドレスを全て登録した方が確実です。

注意が必要な点 ②：除外対象

SKYSEAのVPN強制は、VPNに接続して社内ネットワークに接続されるまでの間、インターネットへの通信の宛先を事前に設定したVPNゲートウェイのグローバルIPアドレスだけに限定しています。
したがって、例えば公共の場のWi-Fiをご利用の際、下記のような流れでお使いになる場合は、VPNゲートウェイに加え、認証で必要な通信先のIPアドレスまたはサーバー名を除外する必要があります。