Select language:
  • en
  • us
  • de
  • zh-hans

Secomea のソリューション VS 従来の VPN

従来の VPN の限界を乗り越えるには

Secomea のリンクサービスの目的は、基本的に VPN と同じです。いずれも、2つの IP 対応デバイスが同じ物理ネットワーク上でつながっているかのように、インターネットを介して安全な相互通信をできるようにするものです。VPN は広く利用されており、リモートネットワークの相互接続という一般的な目的には非常に適している一方、リモート・デバイスのモニタリングと管理に関しては、いくつかの深刻な弱点を抱えています。Secomea の第1世代の製品も従来型のVPNに基づいていましたが、トンネルの作りやすさを最大限まで高めた改善版となっています。現在の第3世代のソリューションは、インターネットベースのテクノロジーに進化しており、サービス・エンジニアと産業機器をリンクさせる際の安全性と使いやすさにこだわっています。

1. サブネットの問題:

― VPNを介してつながったネットワークは、同じローカル・サブネットを使用することができません。しかし、何百という客先の設備を管理している機械メーカー/システム・インテグレータは、複数の場所で同じサブネット・アドレスに遭遇することがあります。お客様にアドレス割当法の変更をお願いするのは無理な場合が多く、既存のアドレス割当法を扱うために NAT 規則と格闘するのは大変な負担です。

― Secomea のリンク・サービスでは、すべてのサイトが同じサブネットを使用することができ、すべての機器の IP アドレスも同じです。エンジニアとリモート・デバイスはシンプルに IP アドレスを介してつながっています。

2. 接続に事前設定が必要:

― VPN のピア間では、要求に応じて動的に接続をすることはできず、事前の設定が必要です。これには毎回 IT 担当者の関与が必要であり、時間がかかります。

―  LinkManager クライアントをもつエンジニアが、自分のx.509証明書で GateManager 上にアカウントを設定すると、GateManager アドミニストレータはポイント&クリックにより、そのアカウントがアクセスできるサイトや機器群と結びつけます。LinkManager クライアントがアクセスできるサイトのリストは即時に更新されます。

3. アドバンスト・ルーティングの課題:

―  中央の VPN コンセントレータを介して2つのリモートネットワークをVPN接続するには、高度な前方ルーティング規則の設定と管理が必要です。また通常、ルーティング装置は NAT-T と UDP カプセル化に対応していなければなりません。

―  リンクサーバーはルーティングを使用しないため、NAT 規則は必要ありません。IP アドレスは、単純に中央のプロキシ・サーバーを介してリンクされます。VPN は「1対1」または「多数対1」の接続には適していますが、「1対多数」(1人のエンジニアと多数のサイト)や、「多数対多数」(多数のエンジニアと多数のサイト)の接続には向いていません。Secomea のリモートアクセス・ソリューションは、何千人ものエンジニアによる何千ものサイトへのアクセスを簡単に管理することができます。個人のアクセス権限を設定したり、特定の種類の機器、特定のプロトコルや装置のサービスへアクセスを限定することも可能です。

4. ファイアウォール開放の課題

―  IPSecベースの VPN は、通信をおこなうために、ファイアウォールに特別なポートとプロトコルの開放部を必要とします。

―  SiteManager および LinkManager からの接続はアウトバウンドに限定され、標準のウェブポートのみが使用されます(443など)。これらの暗号化された接続は、すべて中央にあるインターネットベースの GateManager サーバーで終端しています。このような暗号化された接続を通じ、エンジニアとデバイスのリンクがダイナミックに確立されています。

5. ファイアウォール・ブロッキングの課題:

―  労力をかけて多くのファイアウォール規則を設定・管理しない限り、VPN は必要なプロトコルに限定せず、すべてをルーティングします。

―  SiteManager 上に定義されたデバイス・エージェントは、自動的に、エージェントタイプごとに定義されたポートやサービスに限定してアクセスを許可します。たとえば、 SiteManager 上で Beckhoff PLC エージェントを定義した場合、開放されるポートは TCP port 987、5120、48897-48899 、UDP 48898-48899 となります。LinkManager が  Beckhoff PLC エージェントに接続すると、上記のポートのみが作動します。

6. 証明書の管理:

―  適正なVPNは通常、認証局(CA)が確認、署名する x.509 の証明書に基づいていますが、これにより個々の接続のセットアップが煩雑化してしまいます。

―  GateManagerは、SiteManager と LinkManager のクライアントに対し、CAの機能を果たします。クライアント・アクセスの安全性は、ネットバンキング・ソリューションでも使われている2要素認証(証明書およびパスワード)によって守られています。しかし、Secomea ソリューションのx.509証明書は、安全性だけを目的としたものではありません。LinkManager インスタント・アクセス の導入により、Secomea は証明書にすべての詳細設定を含め、ユーザーによる設定を一切不要としました。LinkManager と証明書をインストールすれば、LinkManager は、追加の設定をしなくても、正しい接続先とつながることができます。

7. アクティビティ・ロギング:

―  VPN は、2つのネットワークを接続し、両者の間ですべてのアクセスを可能にすることが原則です。そのため、ロギングはせいぜい接続確立時しかおこなわれず、接続が成立したあとは何も記録されません。

―  GateManager サーバーは、誰がどこに接続したかだけでなく、いつ接続が確立し、どのサービスにアクセスがあったかも、一元的に記録します。ログは GateManager に一元的に保存され、管理者がこれを削除することはできないため、法的論争の場でも証拠として使用することができます。

8. ”コンセントレータ”の管理:

―  IPSecベースの VPN ソリューションはネットワーキングの知識を要するため、IT管理されたコンセントレータを要するケースが多くみられます。また通常は、複雑な三角ルーティングやファイアウォールの設定を避けるため、サービス・プロバイダーごとに個別のコンセントレータを設置する必要があります。SSL VPN ベースのソリューションでは、こうした問題の一部は解消されますが、Secomea がホストするソリューションを利用する場合、お客様がアドバンスト・ルーティングやファイアウォールの設定ルールに関わることは一切ありません。

Secomea のリモートアクセス・ソリューションにおける”コンセントレータ”は、GateManager サーバーという形態をとった一元的なサービスであり、各サービス・プロバイダーは独立したアカウントを取得します。アドミニストレータはアカウントの証明書を発行し、ドメイン構造によって機器やユーザーを整理して、各サービス・エンジニアがどの工場、どの機器にアクセス権をもつべきかをダイナミックに管理します。ネットワーキングや他のITスキルは必要ありません。

推奨事項
すべて読む
“Having the remote access will save us time and money so we don’t always have to send out an engineer to the site for support visits."

- Nigel Kitchen, Managing Director
アライアンスパートナー
すべてのパートナーを見る
Call us
国際販売代理店

- Read more here -