第2章

第2章
リモートアクセスのシステム形態

本章ではリモートアクセスの導入を検討するときの参考として、リモートアクセスを実現するシステムの構成要素について説明します。具体的には、接続方式の種類と接続に必要なソフトウェア、リモートアクセスで使用される主要なアプリケーションとクライアント機器、および実際の接続事例を紹介し、最後に今後のリモートアクセスとして考えられる問題点とその解決の方向性の一案を提示しています。
　もう一つの主要な構成要素であるネットワークについては、第3章に記述しています。

　また、本章の最初にリモートアクセスの接続方式やセキュリティ対策を理解するために必要なネットワークに関する予備知識を解説しています。ネットワークを介した通信を実現するための階層モデルと、階層モデルのネットワーク層で使われるアドレスに関する知識です。
　

2.1
2.1 予備知識

2.１.1 通信の階層モデルについて

　ここでは、第2章以降の説明を理解するのに必要な予備知識を簡単に説明します。

多種多様なコンピュータがネットワークを介して相互通信を行うためには、通信に必要な決め事を標準化する必要があります。このため通信の構造をモデル化して標準化することが行われました。
　この通信モデルとして、ISOで制定したOSI（Open Systems Interconnection）の７階層モデルが有名ですが、インターネットでは上記の５階層モデルを用いています。

　この階層モデルでは、送受信双方のコンピュータ上のアプリケーションを通信主体とし、この通信主体間の通信に必要な通信路を階層化して設定し、その通信路ごとに情報を送受信する規約（プロトコル）を決めています。また、ネットワークに接続されている通信機器やコンピュータをノードと表現することがあります。
　

・ハードウェア層はMODEM（変復調装置）やLANアダプタなどの通信ハードウェアと通信主体とのインターフェースです。
・ネットワークインターフェース層は通信主体が存在するコンピュータと隣接する通信ノード（ルーターなど）との間の通信路、具体的にはLANやWAN（公衆通信網）であり、プロトコルとしてLANの仕様またはPPP（Point to Point Protocol）（2.3.4（1）参照）が用いられています。
・インターネット層は通信主体が存在するコンピュータ（エンドノードという）間の通信路であり、プロトコルとしてIP（Internet Protocol)が用いられています。IPのアドレスによりコンピュータが特定されます。
・トランスポート層はコンピュータ上に存在するソフトウェア（通信主体）間の通信路であり、プロトコルとしてTCP（Transmission Control Protocol）またはUDP（User Datagram Protocol)が使われています。TCPやUDPが持っているポート番号により、コンピュータ上のアプリケーションが特定されます。
・アプリケーション層はトランスポート層を使ってアプリケーションソフトウェア同士が情報をやり取りするためのプロトコルです。WebではHTTP（Hypertext Transfer Protocol）、メールではSMTP（Simple Mail Transfer Protocol）が用いられています。

以下、ネットワークインターフェース層、インターネット層（ＩＰ層と略す）、トランスポート層、などと記すのは、この階層モデルの層を表しています。
　

コース（A B C D E）

2.1.2 アドレス体系の相違と解決方式について

インターネットの世界では任意のノード間で通信ができるように、インターネットに接続されている全世界の全ての機器（コンピュータやルーターなどでノードという）にユニークな（一つしかない）IP層のアドレス（ＩＰアドレスという）が割り付けられています。このユニークなＩＰアドレスをグローバルアドレスといいます。
　一方企業や公共団体などでは、インターネットと直接接続する一部のノード（上図のファイアウォールやリモートアクセス用業務サーバーなど）以外のノードには内部ネットワークだけで通用するIPアドレスを割り付けています。これをプライベートアドレスといいます。
　このような使い分けは、内部で使用しているＩＰアドレスを外部に知られたくないというセキュリティ上の理由とグローバルＩＰアドレスが従来のIP（IPv4)では不足してきたという理由によります。
　プライベートアドレスは、個々の内部ネットワークだけで通用するものですから、このアドレスを持っているノードは、そのままではインターネットのノードと通信することができません。そのため、オフィス情報システムの一部にグローバルアドレスを使うＤＭＺ（非武装地帯）（2.3.5（4）参照）と呼ばれているネットワークを用意することがあります。DMZに接続されたサーバーはグローバルアドレスを持っていますから、インターネットと通信する事ができます。1.3.1⑤の利用形態は、この領域に置かれたサーバーを利用します。
　一方、内部ネットワークに接続されているサーバーはプライベートアドレスを持っていますから、これを利用するリモートアクセスでは、アドレス体系の相違を何らかの方法で解決しなければなりません。解決方法は大別するとトンネリング方式とアドレスマッピング方式とがあります。1.3.1①～③の利用形態はこのどちらかの方式でサーバーに接続します。
　または、直接アドレス体系の相違を解決せず、一旦DMZのサーバーに接続し、このサーバー上のアプリケーションで情報の意味を解釈して内部ネットワークに中継するような方式もあります。このような方式をプロキシといいます。1.3.1④はこの方式を使います。
　各方式の概要を以下に説明します。
　

（1）トンネリング方式

アプリケーションが使用するデータにトランスポート層のプロトコルのためのＴＣＰヘッダーを付け、これにＩＰ層のプロトコルのためのＩＰヘッダーを付けたものをＩＰパケットといいます。
　トンネリング方式は、内部ネットワーク形式のIPパケットをインターネット上ではデータとして扱い、これをインターネットの通信路の何処か、すなわち前述した5階層モデルのインターネット層（3層）、トランスポート層（4層）、またはアプリケーション層（5層）のいずれか、またはそのいくつかを使って通信する方式です。リモートから見た時、インターネット上でのIPパケットの宛先アドレスは、リモートアクセスサーバーになり、クライアントソフトで扱う内部ネットワーク形式のIPパケットで最終の相手先のプライベートアドレスを指定します。
　内部形式のIPパケットから見れば、インターネットをトンネリングするといい、インターネットのIPパケットから見れば、内部形式のIPパケットをカプセル化するといいます。

実際の運用では、トンネリングでカプセル化したIPパケットを暗号化してセキュリティを強化する場合が多いのですが、この方式のことをＶＰＮ（仮想私有網）（2.2.1参照）と呼びます。VPNの方式には、トンネリングに使う階層、および、カプセル化する範囲により色々な方式が実用化されています。その主なものは、次の通りです。

（2）アドレスマッピング方式

アドレスマッピング方式は、リモートのクライアントソフトはインターネット形式のIPパケット（グローバルアドレスを使用）を使う方式で、このIPパケットの何らかの情報をもとに内部アドレスにマッピングすることにより内部との通信を可能にする方式です。

アドレスマッピングにはNAT（ Network Address Translation）とNAPT （ Network Address and Port Translation））の二つの方式があります。
　NATはリモートアクセスを許可する内部のサーバーにグローバルアドレスも用意しておき、これを内部のプライベートアドレスに変換する方式で、NAPTはインターネットのIPアドレスとトランスポート層のポート番号を組み合わせたものを内部のIPアドレス（プライベートアドレス）にマッピングする方式です。 NAPTはIPマスカレードともいわれています。
　NATではリモートからアクセスするコンピュータ１台に一つのグローバルアドレスが必要ですが、NAPTではポート番号を併用することにより複数のコンピュータに一つのグローバルアドレスで済むことになります。
　

（3）プロキシ

インターネットからは一旦DMZ内のサーバーにアクセスし、このサーバー上のアプリケーションが、あらかじめ決められているIPパケット内の情報を解釈して内部形式のIPパケット（プライベートアドレス）にリレーすることにより内部のサーバーとも通信を可能にする方式です。このようなアプリケーションを搭載しているサーバーをプロキシサーバーといい、代表的なものとしてWebプロキシがあります。
　データ領域に内部のURLで処理すべきことを特定できる情報があり、これを解釈して内部のIPパケットを作成し、この情報を内部のサーバーにリレーします。VPNとの相違は、VPNはすべての情報を内部のサーバーに中継しますが、プロキシはプロキシサーバー上のアプリケーションが意味を解釈し、自分で処理するものと内部のサーバーにリレーするものとを判別することができることです。
　リモートアクセス用業務サーバーでフィールドの業務を支援し、必要に応じて内部のサーバーを利用してオフィスの業務を行うといったシステムを構築できます。

コース（A B C D E）