上記の UDP ホールパンチングを有効にした (デフォルトで有効になってします) VPN Server を会社のパソコンにインストールしてから自宅に帰宅したときに、会社のパソコンに VPN 接続するためには、会社の LAN がインターネットに接続されているところのグローバル IP アドレスの入力が当然必要です。会社の現在のグローバル IP アドレスは、たとえば自分が会社にいる間に IP アドレス確認くん などにアクセスすることで取得でき、それをメモしておけばだいたいは間に合うのですが、ときどき、突然グローバル IP アドレスが変化してしまう場合があります。もし会社のインターネット接続が「固定 IP アドレスプラン」で ISP に接続されている場合はグローバル IP アドレスが変化する心配はありませんが、多くの会社では Web サーバーを同一の回線で運用するといった予定がない場合は「可変 IP アドレスプラン」を契約している場合が多いでしょう。このような場合に、会社の現在の IP アドレスを、自宅に帰宅した後でも知ることができれば便利です。

そこで、PacketiX VPN 4.0 には新たに「ダイナミック DNS 機能」を搭載しました。VPN Server 側にダイナミック DNS の設定をしておけば (設定は簡単です)、「好きなホスト名.softether.net」というホスト名と、現在の会社の LAN のグローバル IP アドレスとが関連付けられます。

そして自宅に帰り、先ほどの「好きなホスト名.softether.net」というホスト名を宛先として VPN クライアントに入力して接続設定を行い、「接続」をクリックすると、会社の自分が立ち上げた VPN サーバーに接続されます。

「ダイナミック DNS 機能」はこれまで色々な会社が小額料金やフリーで提供してきました。しかしどれも設定方法が異なり、たいていの場合は英語で設定する必要がありました。また、変な常駐アプリをインストールしておく必要がありました。こういった状況のため「ダイナミック DNS 機能」は初心者にとって敷居が高いものだったと思います。PacketiX VPN 4.0 では以下の画面のように、VPN Server の設定ツールにダイナミック DNS が統合されましたので、初心者の方でも簡単に設定できます。

会社の自分のパソコンを普段は一般ユーザーとして使用している場合は多いと思います。そのパソコンに、上記のような新機能を活用して「自宅から会社に VPN 接続したい」と思った場合、VPN Server をインストールする必要があります。しかし、SoftEther 1.0 や PacketiX VPN 2.0 / 3.0 ではインストール時に Administrators 権限のユーザーである必要がありました。

これでは、たとえば会社で使っている自分のパソコンの Admin ユーザーのパスワードを忘れてしまった場合に VPN サーバーのインストールを行うことができず不便です。VPN サーバーをインストールするためだけにパソコンを再インストールして管理者ユーザーのパスワードを再設定しなければならなくなります。

このような手間を避けるために、PacketiX VPN 4.0 ではインストール時に以下のように「ユーザーモード」を選択することができるようになりました。ユーザーモードを選択すれば、Admin 権限がないユーザーでもインストールが完了し、VPN サーバーはタスクトレイに常駐します。タスクトレイのアイコンが邪魔だと感じる場合は、希望により非表示にすることもできます。(非表示にするときには、本当に非表示にして良いかどうかの確認メッセージが表示されます。)
ユーザーモードの VPN Sever プロセスはユーザー固有のスタートアップに登録されます。Windows にログオンしている間だけ動作します。ログオフすると動作は停止します。再度ログオンすると動作が再開します。実用上は、Windows にログオンしたまま、画面をロックして帰宅するのが良いと思います。

Admin 権限なしに VPN サーバーをインストールし常駐させることができる機能は、単に「Admin 権限のパスワードを忘れた場合に便利」というだけに留まりません。実は一般ユーザー権限で VPN サーバーを動すことができる本機能は、セキュリティを向上させることにつながるすばらしい機能なのです。一般的に、Windows や UNIX などの OS では、サーバープロセスを「root 権限」、「システム権限 (Admin 権限と等価)」で常駐させることはセキュリティ上あまり好ましくないと言われています。これは、万一プログラムにバグがあった場合は暴走してシステム全体を停止させてしまったり、脆弱性があった場合はシステム全体にわたって影響が生じたりするためです。もしプロセスを一般ユーザー権限で立ち上げておけば、たとえバグや脆弱性があった場合でもセキュリティ上の影響は最小限に留まります。
そのため、PacketiX VPN 4.0 が「ユーザーモードでのインストール・常駐」をサポートしたことは、単に便利だというだけではなく、セキュリティを向上させるために念のため一般ユーザー権限で常駐させたいという、セキュリティ意識の高い方の需要も満足することができる大変良い改良点だと思います。

なお、「ユーザーモードで動作している VPN Server の仮想 HUB 内の VPN クライアントが、社内の物理的な LAN 上のコンピュータとの間で通信ができるようにする」ことを実現するのには大変な苦労を要しました。こちら にあるような、「逆 TCP/IP プロトコルスタック」というようなものをソフトウェアで実装し、VPN Server 内に組み込んであります。この技術により、VPN Server プロセスは一般ユーザー権限のみで、VPN クライアントと物理的なコンピュータとの間で TCP/UDP/ICMP での通信を実現しています。

これまでに書いてきた、PacketiX VPN 4.0 の強力な「ファイアウォールの貫通」機能の解説は、ユーザーの側の視点から見たものです。一方、ネットワーク管理者側の視点から見たとき、一部の管理者には、ユーザーの通信をすべて監視・管理したいとか、ユーザーが管理者に無断で VPN 通信を行えないようにしたいといった需要がある場合もあるかと思います。

そこで、今度はネットワーク管理者の立場に立って、PacketiX VPN 4.0 を「社員が無断で勝手に利用してしまう」ことを防ぐ方法について解説したいと思います。

従来の方法として、ファイアウォールに「IPsec や PPTP は通さない」といったフィルタを書くという方法があります。この方法を用いれば IPsec や PPTP などのレガシーな VPN プロトコルを遮断できます。しかし、PacketiX VPN や OpenVPN などのモダンな VPN プロトコルは TCP や UDP を用いて通信をしますので、単に特定のプロトコルだけをフィルタするという手法ではうまく遮断できません。PacketiX VPN や OpenVPN はポート番号も変更することができますので、「OpenVPN のデフォルトポートである 1194 を遮断する」という方法では遮断できません。

OpenVPN や Windows に付属している VPN サーバー機能であれば、会社のファイアウォールで「外側から内側に対して始動される通信はすべてブロック」する設定にすれば、会社内に VPN サーバーを立てても、外からアクセスすることはできなくなります。従来は、社員が無許可で「社内に VPN サーバーを設置し、外からアクセスできるようにされてしまう」ことを防止するためには、この方法でだいたい十分でした。

しかし、PacketiX VPN 4.0 からは上記の「NAT トラバーサル」や「VPN Azure」といった機能が新たに追加されました。これらの機能は、前述のとおり、日本国内の 約 95.7% のファイアウォール・NAT を「外から内に」通過することができます。「外側から内側に対して始動される通信はすべてブロック」する設定にしていても、やはり通過できます。(原理は Skype と同じです。) そのため、別の対策が必要になります。

「社内の PC すべてをシステム管理者が管理し、社員には Admin 権限を渡さない」という運用方法は、これまでかなり有効でした。SoftEther や PacketiX VPN をインストールしたり、Windows 付属の PPTP VPN サーバー機能を有効にしたりするためには Admin 権限である必要があるためです。しかし、今回リリースされた「PacketiX VPN Server 4.0」には上記のとおり「ユーザーモードインストール」機能が搭載されていますりで、Admin 権限がなくてもインストールすることができます。グループポリシー機能で Windows Installer の実行を禁止している場合でも、PacketiX VPN Server 4.0 のユーザーモードインストーラは Windows Installer を用いていませんので、やはりインストールできます。したがって、「社員には Admin 権限を渡さない」という方法だけでは、無許可の VPN サーバーを立ち上げることを防止できなくなりました。
なお、Windows 7 以降の法人向けエディションを使用している場合で Active Directory を導入している場合は、AppLocker 機能を使用すれば、許可されたアプリ以外は、たとえユーザーモードのものであっても一切動作させないといった設定が可能です。これはとても有効に機能しますので、検討の余地があります。ただし、許可されたアプリ以外を禁止してしまうと、社員が業務のために利用したいと考える小さなユーティリティソフトなど (ZIP 解凍ソフトなど) が動作しなくなり、動作させる必要があるソフトを 1 つずつ洗い出して許可なければならない、というデメリットもあります。
AppLocker 機能などを用いて、OpenVPN や PacketiX VPN の EXE のハッシュ値を指定してブロックするというのも 1 つの方法です。しかし OpenVPN はオープンソースですし、PacketiX VPN 4.0 も間もなく GPL のオープンソースとして公開される予定ですので、ユーザーはいつでも自分の環境でリビルドすることができます。そうすると EXE ファイルのハッシュ値が変化しますので、この方法ではブロックできません。

「プロトコルの挙動を監視し、特定の性質が発見された場合は通信を遮断する」という仕組みのファイアウォールを導入することが 1 つの方法です。ネットエージェント社の One Point Wall はそのような製品の 1 つです。この製品は従来の SoftEther, PacketiX VPN, OpenVPN, IPsec, PPTP などの VPN プロトコルを遮断してきた実績があります。
しかし、残念ながらこのような高度なファイアウォールを導入しても確実に VPN を遮断することはできません。OpenVPN はオープンソースで公開されていますので、誰でもソースコードを修正して、挙動を変更することができます。変更された挙動は既存のファイアウォールでは検出できなくなります。ソフトイーサ社の「PacketiX VPN 3.0」も筑波大学との共同研究によってオープンソース化 (GPL) されており、UT-VPN (University of Tsukuba VPN Project) としてソースコードも公開されています。ソースコードを改良するだけで、ユーザー自らの手でいかようにもプロトコルを改良することができますので、ファイアウォールで確実に検出することはほとんど不可能だと思います。

なお、上記のような強力なファイアウォール貫通機能を有する「PacketiX VPN 4.0」も間もなくほとんどの機能を搭載した状態でオープンソース化され、GPL ライセンスで公開される見込みです。

それでも、ネットワーク管理者の方が「確実に無許可の VPN を遮断したい」と考える場合、1 つだけ、とても有効な方法があります。以下の図のように、ファイアウォールの制限を厳しくして、通信を「ホワイトリスト許可制」にするのです。

通常、ファイアウォールは社内から始動されたほとんどの通信を通してしまいます。通すポート番号を「80」、「443」に限定すれば HTTP のアクセスのみ通しそれ以外はフィルタすることもできるようになりますが、PacketiX VPN では「Ethernet over HTTP」を実現していますので、通過してしまいます。また、「VPN over ICMP」、「VPN over DNS」を実装した PacketiX VPN 4.0 では ICMP や DNS の通信を許可している場合はその上で VPN を構築できます。大抵のファイアウォールは ICMP や DNS の「内から外」への通信を許可していますので、通過してしまいます。

そこで、ファイアウォールの制限をいっそう厳しくし、「ホワイトリスト許可制」を導入します。これまで「内から外」の通信を原則として許可していたのを、「原則として禁止」というルールに変更します。その上で、社員に対してアクセスを許可する Web サイトの IP アドレスのみを通過できるようにルールを書きます。上図であれば、たとえば www.jal.co.jp と www.askul.co.jp という 2 つのサイトは社員が仕事でアクセスする可能性があるため通過させ、それ以外の IP アドレスは不明なサーバーがある可能性が高いのでフィルタします。このようにすれば、確実に「社員による無許可の VPN の通信」を禁止することが可能です。そして、ほとんどのファイアウォールはこのような設定が可能です。とても安価なコンシューマ向けブロードバンドルータでさえも可能であったりします。そのため、ここで解説した方法は、新たにほとんどコストはかかりません。ただし、社員は許可された Web サイトしか見れなくなりますので、たとえば Skype やメッセンジャーを利用したり、Web で情報を検索したりすることはできなくなるという制限事項もあります。