新時代のリモートアクセス管理のコツは?目指せ! ネット時代の幸せな管理者(9)(2/2 ページ)

» 2008年07月22日 12時00分 公開
[川村 聖一,@IT]
前のページへ 1|2       

1つのシステムにすべてをやらせようとしない

 リモートアクセスの装置やソフトにはいろいろな付属機能が付いていることがあります。

 これらの機能に、過大な期待を寄せるのは禁物です。FW(ファイアウォール)機能が付属していたり、検疫機能が付属しているものなどありますが、基本的に「おまけ」と考えましょう。本当にイントラネットの防御を考えるならば、それに特化した装置やサービスを導入する方がよっぽど安全です。それらを補完するものとして付属機能を利用するのはよいですが、コストを意識し過ぎて、1つの装置のおまけに頼るのはよくありません。

 なぜならおまけ機能には、ベンダがサポートしなくなるリスク、脆弱性やバグが多発するリスクがあるからです。2007年ころから統合セキュリティ装置が流行していますが、これらは例外です。ただし、統合セキュリティ装置でリモートアクセスをしようというのも、これまた「おまけ機能」に頼るパターンです。

 もちろんリモートアクセスにセキュリティ強度は必要ですが、基本的にインフラセキュリティとリモートアクセスは、別物と考えるのが無難でしょう。

アプリケーションの特質を考慮している

 どんな素晴らしいリモートアクセスシステム/サービスを導入したとしても、アプリケーションがきちんと動作しなければ意味がありません。実は成功するリモートアクセスの最大のポイントはここにあります。一番簡単で分かりやすい例はFTPです。

 FTPはPORTモード(アクティブモード)とPASVモードの2種類あります。PORTモードは、制御通信はサーバのTCP21番あてで通信が開始されますが、データ通信はサーバのTCP20番から接続クライアントあてに通信が戻ってきます。リモートアクセスには、先述したように、LAN間接続に適しているものもあれば、アプリケーションを限定して許可するものもあります。

 アプリケーションを限定して許可するものであれば、「外から中」という通信は許可できても、「中から外」はうまく通信を許可できないものもあります。こうなった場合、FTPのPORTモードは使えません。ではPASVモードを使えばOKかというと、PASVモードでの通信はデータ転送ポートがWindowsでもUNIXでも、標準はかなりの広範囲でサーバ側の都合で決定されてしまいます。

 これを絞り込む運用に変更しなければなりません。WindowsやUNIXで一般的に使われているサーバソフトであればOKでしょうが、アプライアンスなどに付属するような「おまけのFTP」を使っている場合に、リモートアクセスでは利用できないケースが生じることがあります。FTPだけに限らずUNIXのX Window Systemや、リモートコンソールシステムでもFTP同様のトラブルに遭遇することが多いのです。

 ファイル共有サーバにリモートアクセスする、というケースで最も陥りやすいのが、WindowsとUNIXの違いです。UNIXベースのファイル共有サーバ(アプライアンスにこの手の製品が多い)は、SAMBAで構築されていることが多く、Windowsサーバとは挙動が異なります。パソコンと直接やりとりするケースではあまり問題が発生しませんが、リモートアクセスシステムがNetBIOSを処理できなかったり、認証スキームの違いを吸収できなかったりするなど、問題が発生し得る落とし穴がたくさんあります。いずれにしろ、仕様の確認と事前検証を十分に行うことが必要です。

維持計画と管理スキームを決めている

 最後は何といっても導入後の状況管理と、利用計画を考えることです。リモートアクセスは一度導入しても、Windowsのパッチを当てたら動かなくなったり、新しいWebブラウザのバージョンにしたら使用できなくなったり、社内で導入した新しいアプリケーションとの親和性が悪く、パソコンに不具合が発生するなどのトラブルが発生することがあります。

 導入後も、定期的にベンダやSI(システムインテグレータ)と打ち合わせを行い、「今度こういうソフトを入れてみようと思っているんだけど、リモートアクセスとの相性はどうかな?」などとぜひ聞いてみてください。そんなところに、運用のヒントが隠れているかもしれません。

著者紹介

▼著者名 川村 聖一

2001年 日本電気株式会社入社。キャリア営業、法人顧客SEに従事。

2004年 同社ISP部門へ異動。ISPネットワーク設計・構築、新技術導入、ISMS取得に従事。

2006年 NECビッグローブ株式会社へ出向。法人向けアウトソースサービスのコンサルティング・設計・運用を担当。Internet Weekプログラム委員。

2007年 JANOG運営委員として活動。

▼著者名 仲西 亮子

2000年 三井情報開発株式会社(現:三井情報株式会社)入社。

2000年 外資系ISPの技術部へ出向、IPアドレス管理やドメイン名管理業務に従事の後、同社iDCのバックボーン運用業務従事。

2002年 三井情報開発株式会社でiDC事業開始と共に出向解除。同社でASの管理・運用業務に従事。

2005年 同社のiDC事業部がMKIネットワーク・ソリューション株式会社として子会社化。これに伴い、MKIネットワーク・ソリューションズ株式会社へ出向、現在に至る。

2007年 JANOG運営委員として活動。

▼著者名 山崎 佑司

1999年 ソニーシステムデザイン株式会社(現:ソニーグローバルソリューションズ株式会社)入社。ソニー本社をはじめとした、大規模エンタープライズネットワークの設計、構築、運用を担当。

2001年 ソニーグループのショールームや、ソニーグループが主催する各種イベントにおけるネットワークシステムの企画、設計、構築、運営を手掛ける。

2003年 ソニーグループiDCのネットワーク運用業務に従事。データセンターインフラの設計、構築等の業務を行う。

2006年 テオーリアコミュニケーションズ株式会社入社。システムインテグレーション全般を担当する。

2007年 JANOG運営委員として活動。


「目指せ! ネット時代の幸せな管理者」バックナンバー
前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ