2013-04-12

OpenVPNをお勧めできる6つの理由

By Taro Yamazaki  |  17:30 No comments


「VPNっていろいろあるけど、OpenVPNのメリットって何?」という疑問は多くの方が持たれますよね。この点は公式サイトなどにもいろいろ書かれているのですが、実際に使ってきたユーザー側としてメリットと思う部分をまとめてみました。



幅広い対応OS

PC向け主要OSとも言えるWindows、Linux、MacOSXはもちろん、BSDやSolaris、現在ではAndroidiOSでも利用できます。やっぱり、スマートフォンで使えるっていうのは大きいですね。

各OSとも同じコードベースなので、OSが異なる場合でもまったく問題なく相互接続が可能です。同一VPN上にLinux、MacOS、Windows、iOSを混在、なんてことも簡単です。設定ファイルも基本的には共通です。IPsecなどで時々起きる「機器間の相性の問題」がまったくないのは本当に便利ですよ!

Johan Larsson / Foter.com / CC BY

比較的低コストで実現可能

オープンソースであることのメリットの一つは、ライセンス費用がかからないということですね。自分で導入、設定してしまえばほとんどコストはかかりません。ライセンス費用がかからないのは、ユーザー数が多い場合には特に大きなメリットになります。

もう一つ、OpenVPNサーバーを設置するために使用するPCもそんなに高スペックじゃなくても大丈夫、という点もコスト削減につながります。「とりあえず試験運用なので、社内にあった余ったPCで立ててます」なんてケースもそんなに珍しくありません。

OpenVPNはソフトウェアVPNですので、PCのスペックがVPNのスループットに直接影響しますが、それでもそれなりのスペックのサーバーでも実用的には問題ないスループットが期待できます。

PCのスペックとスループットについては、「OpenVPNのスループット」、「OpenVPNのスループットと最適化 - 1」と「OpenVPNのスループットと最適化 - 2」もご参照ください。

bitzcelt / Foter.com / CC BY-NC-ND

高い柔軟性

設定の自由度が高く、さまざまな運用スタイルやネットワーク構成に柔軟に対応できます。

たとえば、OpenVPNは認証部分についても、標準的な証明書認証だけでなく、プラグイン形式での拡張にも対応しています。ですから、既存の認証データベースやLDAPサーバーと連携させたり、ワンタイムパスワードを導入したりといったことも柔軟に対応できます。

OpenVPNで利用できる認証方法については、「OpenVPN 認証方法についてのまとめ - 前編」や「OpenVPN 認証方法についてのまとめ - 後編」もご参照ください。

また、ネットワーク構成も、モバイルPC⇒社内LANといった形式はもちろん、複数拠点のLAN同士をVPNでつなぐ(LAN⇔LAN)こともできますし、VPNに接続してきたクライアントPCの通信をすべてVPN経由にするといった設定も可能です。

さらに、同一PC上で複数のOpenVPNを起動することもできますので、接続するクライアントによってセキュリティレイヤーを分割したい場合などにも柔軟に対応できます。

最近ではOpenVPNをAWSなどのクラウド環境に導入するケースも増えてきています。これもハードウェアベースのVPNでは実現できない利点ですね。

Foter.com / GNU Free Documentation License

安全性と安定性

OpenVPNのセキュリティ機能は広く使用されているセキュリティ基盤であるSSLに基づいています。また、OpenVPN自体のセキュリティについても、公式サイトのFAQにもあるように、OpenVPNバージョン1.1.0の公開以降、脆弱性の指摘はありません。さらに、ここ数年でOpenSSLに見つかった脆弱性に関するトピックでも明らかになったように、仮にOpenSSLなどのSSLライブラリに脆弱性があっても、その悪影響がOpenVPNに及びにくいような設計になっていることも注目できます(OpenSSLで見つかった脆弱性がOpenVPNに与える影響については、このブログでも 2011年9月2012年5月2013年2月 に取り上げましたが、すべてOpenVPNは脆弱性の影響を受けないとの結論です)。

手軽に使えるVPNとして以前はPPTPもよく使われていましたが、使用されている認証プロトコルであるMS-CHAPv2の脆弱性が公表されたことは記憶に新しいところです。

VPNシステムにおいて特に重要となる安定性についても、OpenVPNは世界中で広く使用されており、長期間の連続稼動や大規模なVPNでも安定した稼働を続けてきた実績があります。

DaveBleasdale / Foter / CC BY

回線やキャリアの制限なし

OpenVPNは回線やキャリアの制限がありません。回線付帯のVPNサービスの場合はその回線でしか利用できませんので、回線の切り替えが難しくなります。

OpenVPNはサーバー/クライアントともどんな回線やキャリアでも利用できます。ダイナミックDNSを利用することで、DHCPのようにアドレスが変化する環境でサーバーを立てることもできます。

FutUndBeidl / Foter.com / CC BY

設定が(そんなに)難しくない

最後のこれには「おいおい、簡単じゃないだろ!」と異論がある方もいらっしゃるかもしれませんね。確かに、テキストファイルでの設定になりますので、慣れるまではちょっとハードルが高いところもあるかもしれません。ただ、どうしても設定しなければいけない項目はそれほど多くないので、とてもシンプルな構成から初めて、徐々に設定を追加していくという方法が取れるのは大きなメリットです(クライアント側の設定についてはvpnux Connector Liteなどをお使いいただくことで簡単になりますよ!)。

もう一つ、VPNを構築する際に考慮する必要がある点は、VPN自体の設定とは別に、VPNサーバーを設置するネットワーク上の設定(ファイアウォールの設定など)が必要になる、ということです。この点でもOpenVPNは比較的簡単です。たとえば、複数のポートを使用するIPsecとは異なり、OpenVPNは単一のポート(TCP、UDPのいずれかで、好きなポートを使用可能)だけで接続できます。このメリット、地味ではありますが、設定の難易度が下がると同時に、トラブルシュートの難易度も格段に下がるんです!

Éole / Foter.com / CC BY-NC-SA



いかがでしょうか? 正直なところ、OpenVPNについては国内にまだまだ情報源が少ないという点がハードルではありますが、OpenVPN.JPだけでなく、インターネット上には実際に導入された方の設定例などもたくさん出てきています。こういった参考情報も助かりますね。

もちろん、「あらゆるケースでOpenVPNが最適!」とまでは言い切りませんが、VPNの導入や切り替えを検討するときには、一度試してみる価値はあるソリューションだと思います。プラムシステムズ株式会社でも、導入や運用にあたってのコンサルティングなどもご提供していますので、どうぞお気軽にお問い合わせください。

Image courtesy of Master isolated images / FreeDigitalPhotos.net

Author: Taro Yamazaki

0 コメント:

© 2015 yamata::memo | Distributed By My Blogger Themes | Created By BloggerTheme9
TOP