従来の VPN の限界を乗り越えるには

Secomea の目的は、基本的に VPN と同じです。いずれも、2つの IP デバイスが同じ物理ネットワーク上で繋がっているように、インターネットを介して安全に相互通信をできるようにするものです。VPN は広く利用されており、相互接続という一般的な目的では非常に適している一方で、リモート・デバイスのモニタリングと管理に関しては、いくつかの深刻な弱点を抱えています。Secomea の第1世代の製品も従来型のVPNに基づいていましたが、現在の第3世代のソリューションでは、インターネットベースのテクノロジーも進化しており、サービス・エンジニアと産業機器をリンクさせる際の安全性と使いやすさに注視しています。

1. サブネットの問題

VPNを介してつながったネットワークは、同じローカル・サブネットを使用することができません。しかし、何百という客先の設備を管理している機械メーカやシステム・インテグレータは、複数の場所で同じサブネットに遭遇することがあります。お客様にアドレス割当の変更をお願いするのは無理な場合が多く、最終的にはNAT等の技術で回避し、結果、現場の方々の負荷は大きくなります。

Secomeaでは、すべてのサイトが同じサブネットを使用することができ、すべての機器の IP アドレスも同じです。エンジニアとリモート・デバイスはとてもシンプルに インターネットを介して繋がります。

2. 接続に事前設定が必要

既存のVPN では、要求に応じて動的に接続をすることはできず、事前の設定が必要です。これには毎回 IT 担当者の関与が必要であり、時間がかかります。

管理者は、アクセスさせたいエンジニア(LinkManagerユーザ)をGateManager 上に作成し、さらに、アクセスできるサイトや機器群と結びつけます。LinkManagerユーザがアクセスできる対象リストは即時に更新されます。

3.アドバンスト・ルーティングの課題

VPN コンセントレータを介して2つ以上のリモートネットワークをVPN接続するには、高度なフォワーディング・ルーティング設定と管理・運用必要です。また通常、ルータには NATと UDP カプセル化に対応していなければなりません。

Secomeaの技術ではルーティングを使用しないため、NATルールは必要ありません。 IPアドレスは、中央プロキシサーバーを介して単にリンクされます。 従来のVPNは、1対1または多対1の接続に適していますが、1対多(1人のエンジニアが多くのサイトに)または多対多(多くのエンジニアが多くのサイトに)には適していません。Secomeaが提案するソリューションは、個々のアクセス権の管理など、数千のサイトへのアクセスを必要とする数千人のエンジニアを容易に管理し、特定のタイプの機器、または特定のプロトコル/機器のサービスへのアクセスを制限します。

4.ファイアウォール開放の課題

従来のIPSecベースのVPNでは、ファイアウォールを開放して通信するために特別なポートとプロトコルの設定が必要です。

Secomeaの通信においては、SiteManagerとLinkManagerからのすべての接続は内から外に向けて確立され、標準のWebポート(443など)のみが使用されます。これらの暗号化された接続はすべて、中央のGateManagerサーバーで終端し、これらの暗号化された接続を通じて、エンジニアとデバイス間のリンクが動的に確立されます。

5.ファイアウォール・ブロッキングの課題

従来のVPNは、ファイアウォールルールの作成と管理に専用の知識を必要として多くの時間と労力を必要とします。

SiteManagerで定義されたデバイスエージェントは、エージェントタイプに定義されたポートまたはサービスへのアクセスのみを許可するように自動的に制限されます。たとえば、SiteManagerでBeckhoff PLCエージェントを定義する場合、開かれるポートはTCPポート987、5120、48897-48899、およびUDP 48898-48899です。 LinkManagerがBeckhoff PLCを表すエージェントに接続すると、これらのみがアクティブになります。

6.証明書の管理

適正なVPNは通常、認証局(CA)が確認、署名する x.509 の証明書に基づいていますが、これにより個々の接続のセットアップが煩雑化してしまいます。

GateManagerは、SiteManager と LinkManager のクライアントに対し、CAの機能を果たします。クライアント・アクセスの安全性は、ネットバンキング・ソリューションでも使われている2要素認証(証明書およびパスワード)によって守られています。しかし、Secomea ソリューションのx.509証明書は、安全性だけを目的としたものではありません。LinkManager インスタント・アクセス の導入により、Secomea は証明書にすべての詳細設定を含め、ユーザーによる設定を一切不要としました。LinkManager と証明書をインストールすれば、LinkManager は、追加の設定をしなくても、正しい接続先とつながることができます。

7.アクティビティ・ロギング

VPN は、2つのネットワークを接続し、両者の間ですべてのアクセスを可能にすることが原則です。そのため、ロギングはせいぜい接続確立時しかおこなわれず、接続が成立したあとは何も記録されません。

GateManager サーバーは、誰がどこに接続したかだけでなく、いつ接続が確立し、どのサービスにアクセスがあったかも、一元的に記録します。ログは GateManager に一元的に保存され、管理者がこれを削除することはできないため、法的論争の場でも証拠として使用することができます。

8.コンセントレータの管理

IPSecベースの VPN ソリューションはネットワの知識を必要としIT管理されたコンセントレータが必要なケースが多くあります。また、通常は、複雑な三角ルーティングやファイアウォールの設定を避けるため、サービス・プロバイダーごとに個別のコンセントレータを設置する必要があります。SSL VPN ベースのソリューションでは、こうした問題の一部は解消されますが、Secomea がホストするソリューションを利用する場合、お客様がアドバンスト・ルーティングやファイアウォールの設定ルールに関わることは一切ありません。

Secomea のリモートアクセス・ソリューションにおける”コンセントレータ”は、GateManager サーバーという形態をとっ中央管理型のサービスであり、それぞれが独立したアカウントを取得します。アドミニストレータはアカウントの証明書を発行し、ドメイン構造によって機器やユーザーを整理して、各サービス・エンジニアがどの工場、どの機器にアクセス権をもつべきかをダイナミックに管理します。ネットワーキングや他のITスキルは必要ありません。