COLUMN

クラウドへのセキュアな接続方法を考える【入門編】

AWSやMicrosoft Azureは仮想サーバーの構築、アプリケーション開発、動画配信、IoT、機械学習などさまざまなサービスを提供しており、今日の企業情報システム構築や運用で欠かせないものになってきています。このクラウドサービスを利用するためには、利用者端末、もしくはオフィスのLANからクラウドに接続されている必要があります。本コラムでは、AWSとMicrosoft Azureなどのクラウド接続の基本についてできるだけ分かりやすく解説します。

クラウド接続区間における情報セキュリティ対策の必要性

AWSやMicrosoft Azure（以下、Azureといいます。）などのクラウドサービスは、基本的に、インターネットを介して提供されます。クラウド基盤上に情報システムのサーバーを構築・運用する場合でも、利用者はインターネット接続環境が必要です。利用者は、自身の端末がインターネットに接続されていれば、利用する情報システムやクラウドサービスのURLをブラウザに入力すれば良いのです。

ただ、インターネットを利用する場合の情報セキュリティ対策は基本的に自己責任です。毎日のように悪意のある者からの攻撃がインターネット上のサーバーに対して行われています。情報システム（サーバー）をAWSやAzure基盤上で構築・運用する理由のひとつとして、オンプレミス環境では実現が難しいレベルの情報セキュリティ対策が、クラウドではあらかじめ施されているということが挙げられます。

ただ、クラウド基盤上の情報セキュリティ対策が施されているだけでは不十分で、利用者端末やオフィスからクラウドへ接続する区間の情報セキュリティ対策も行う必要があります。

ここで登場するのが、VPN接続です。

VPN接続

VPNはVirtual Private Networkの略で仮想プライベートネットワークのことをいいます。

利用者がクラウドに接続するときの接続路や流すデータに仮想タグをつけることにより、他の企業や利用者が利用している接続路との識別を行います。その接続路の起点と終点で暗号化と復号化の処理を行うことによってセキュアなプライベートネットワークとして利用されます。

セキュアなクラウド接続を実現するVPN接続には大きく分けて、インターネット上で利用するInternet VPNとネットワーク事業者が運営するネットワークを利用する閉域網接続（IP-VPN）があります。

Internet VPN接続と閉域網接続の選択

Internet VPNとIP-VPNのどちらを選択するかについて大きくは、インターネットを使うか否かという観点と接続品質（接続安定性や接続帯域）確保の必要性という観点で選択すると良いでしょう。

インターネットを使うか否か

Internet VPNはすでにあるInternet接続環境にVPN接続機器の調達・設定と、クラウド側の接続サービスの選択のみで導入できることが魅力です。

ただ、Internet VPNはVPN技術でセキュアな接続が行えるとはいえインターネットを介してクラウド（にある情報システム）に接続するということに変わりはありません。Internet VPNはセキュアな接続方法のひとつですが、それでも特に機密度が高い情報を扱う情報システムへの接続の場合にはできるだけインターネット経由での接続は避けるべきと考える方もいらっしゃいます。企業での情報システム構築やクラウド導入においては社内関係者の合意が不可欠ですので、自社の情報セキュリティポリシーなども踏まえてInternet VPNを選択する必要があります。

閉域網接続

閉域網接続では回線事業者との回線契約とクラウド事業者とのプライベートネットワーク接続の契約が必要になります。クラウドに接続するオフィスなどにおいて実際に追加のハードウェアが必要かについては、現在の設備状況と利用する回線サービスによって異なります。

閉域網内の管理は回線事業者がすべて行うため、クラウド接続区間の情報セキュリティについては回線事業者が責任を持ちます。

また、閉域網接続は回線事業者が運営する（もしくは連携する回線事業者の）ネットワークのみを介してクラウド接続を行うため、接続品質の観点でIP-VPNよりもアドバンテージがあるといえます。

なお、クラウドへの閉域網接続には、AWSやMicrosoft Azure以外のクラウド接続やデータセンター接続もできるもの、IPv6が使えるものなど複数のサービスが回線事業者から提供されていますので、要件に応じて接続サービスを選択する必要があります。

外出先端末からの直接接続か、オフィス経由の接続か

従業員がクラウドにセキュアに接続する場合の大きな検討ポイントがもうひとつあります。

従業員が必ずオフィスで業務を行う場合にはオフィスからクラウドへのセキュアな接続を、上記のInternet VPNか閉域網接続から選択されると良いでしょう。

しかし、テレワークの普及が増えてきている現代では自宅からや外出先のノートパソコンなどからセキュアなクラウド接続環境の準備が必要な場合もあります。そのような場合には、授業員はオフィスに接続してオフィスのネットワーク経由でクラウド接続を行うのか、オフィス外の従業員端末から直接クラウドに接続するのか、いずれかの構成を選択します。

オフィスを経由する構成では、外出先の従業員端末からVPNでオフィスに設置された接続ポイントへ接続し、オフィスからクラウドへはInternet VPNもしくは閉域網接続でクラウドに接続するという2つのステップを踏むこととなります。

この構成では、クラウドへの接続を含めてオフィス内ですべての接続が管理できることと、すでにオフィス内ネットワーク（LAN）で施されている情報セキュリティ対策が活用できるというメリットがあります。しかし一方で、オフィス内ネットワークの帯域確保やオフィスにある接続ポイントの管理なども行う必要があります。

オフィス外の従業員端末から直接クラウドに接続する場合の多くでは、Internet VPN接続が利用されます。

この構成のメリットは、外出先従業員端末からオフィスへのVPN接続ポイントを設ける必要が無いこととオフィス内ネットワークの帯域を圧迫しないことが挙げられます。一方デメリットとしては、オンプレミスサーバーなどがオフィス内にある場合にクラウドとオフィス内オンプレミスサーバーへのアクセスそれぞれを管理する必要があること、従業員端末に必ずVPN接続設定（必要な場合にはソフトウェアインストールも。）が必要なことです。

まとめ

クラウドへのセキュアな接続方法の代表的なものとして、Internet VPNと閉域網接続があります。どちらの接続方法を選択するかは、クラウド接続をどこから行う必要があってどのようなネットワーク構成で行うべきか、必要とされる情報セキュリティレベルや帯域などの要件によって決めると良いでしょう。

また、クラウド上に情報システムを構築・運用する場合には、接続ネットワーク以外にもDNSやクラウド側の接続ポイント（ネットワークゲートウェイ）などの設定、クラウド上のネットワークの設計・設定も必要です。

クラウドで情報システムを構築・運用する場合には、さまざまな情報収集を行うとともにネットワークとクラウドに関する知見を持つ支援事業者に相談されることをお勧めいたします。

AWS導入に向けて他に知っておくべきこと

最近は企業規模の大小を問わず、AWSをはじめとするクラウドが企業でも多く導入されるようになってきました。

下記を起点にして本サイト内のページを順に読み進めていただくことで、Internet VPNや閉域網接続の他、AWS導入で必要なAWSのネットワークサービスや料金体系などを含む、企業におけるAWS活用検討で知っておきたい入門的な情報を学んでいただけます。

・AWSを活用するためのネットワーク設定や料金体系とは