リモートアクセスの手段として使われるVPNには、PPTP/L2TP、そして、IPsecの3つがある。特に、企業に求められるセキュリティニーズを十分に満たすなら、IPsecが最適であることは、前回解説した通りだ。

　だが、IPsecの認証の仕組みはかなり複雑である（詳細については本連載第2回の記事を参照）が、それに加えてさまざまな問題がある。実は、IPsecの仕様では、リモートアクセスに必要なユーザー認証の仕組みや、ユーザーのアクセス環境に応じたネットワーク情報の設定に関する機能などが規定されていない。

　このため、IPsecでリモートアクセスを行うため、IKE（Internet Key Exchange）の仕様を拡張し、ユーザー認証やネットワーク情報の自動設定のための「IKE-CFG（The ISAKMP Configuration Method：リモートアクセスでIKEを利用するために拡張されたもの）や「XAUTHExtended Authentication within IKE：ワンタイムパスワードやRADIUS認証を行うためのもの）などの仕組みを追加して利用している（図1）。

　これらの具体的な実装についてはベンダーによって差があるため、LAN側とリモートアクセス側とは、同じアクセス環境を用意しておかないと接続できない。単にIPsecだからと言っても相互接続性は保証できないのだ。クライアント側に、ベンダーから配布されるIPsecクライアントソフトをインストールする必要が生じるのは、このためだ。

図1 IPsecの問題点(1)
IPsecクライアントソフトの相互接続性と共に、 バージョンによる接続障害などの問題が発生する

　IPsecでのリモートアクセスには、もう1つの問題がある。いわゆるルータ越え問題である。たとえば、自宅から会社にIPsecでアクセスしようとした時、自宅のADSLルータやブロードバンドルータは、自宅LANのプライベートアドレスとグローバルアドレス、およびポート番号をNATで相互変換して通信を行っている。

　しかし、IPsecのパケットをNATが書き換えると、パケットが改ざんされたものとして取り扱われてしまう。また、送信元のポート番号やチェックサムなどは暗号化されているため、NATで書き換えることができない。結果として、IPsecで会社に接続することは不能となってしまうのだ。 　この問題を解決するため、「IPsecトンネリングモード」や「IPsec NATトラバーサル」といった仕組みが考え出された。しかしながら、これらの技術の実装方法にもいくつかの手法があり、ベンダー間での相互接続性の問題が生じる。さらに問題なのは、これらの仕組みに対応したルータが必要、という点だ（図2）。これを回避する設定方法はあるが、家庭用のルータ製品では設定できないものが多い。つまり、IPsecで接続するためには、今使っているネットワーク機器を買い直さないといけないのだ。

　さらに、リモートアクセスの利用者が接続しているLANにファイアウォールが導入されている場合は、当然ながらIPsecでの通信は不可能だ。IPsecではUDPポート500番、4500番といった特別なポートの通信を許可する必要があるためだ。

図2 IPsecの問題点(2)
IPsecでのアクセスは環境を選ぶ。コネクティビティの問題は モバイルユースでは深刻なものとなる