リモナビ：VPNとは異なるリモート接続

リモナビSaaSとは？

株式会社リモナビが提供する 『リモナビ』 は、「SaaS で実現するリモート接続のインフラ・サービス」で、「どこからでも、どこへでも繋ぐ」ことができます。

リモナビが提供するリモート接続

リモナビは、Peer to Peer、２点間のセキュアな通信接続を提供します　

• 接続レイヤは　TCP/IP(L4) , UDP/IP(L4) , TLS(L6)
• http, https 通信はリバースプロキシ（URL変換）設定を介した通信
• インターネット間はすべて TLS通信(暗号化)

リモナビは、SaaS提供で他一切を必要としません

• VPN機器等の設置は不要
• FireWall 設定も不要

利用シーン

図は、ネットワーク的に繋がっているように見えますが、実際の接続は P2P で特定の TCP | UDP の IPポート間のみの接続です。　これについて、専門的な説明をします。

🔹リモートデスクトップ を例に説明します

　まずリモートデスクトップがどう動作しているかなのですが、それは以下のように「双方のアプリが一つのTCP/IP通信を介する」ことで実現しています。

通信の観点だけで言うのなら、リモートアクセスされるPCの IPポート [3389] にTCP/IP接続できればリモートデスクトップはできるのです。

※リモートアクセスされるPCは「WindowsPro リモートデスクトップ利用」の設定が必要です。

🔹会社のリモートワークで使っている VPN は？

詳細に話すと、VPN は接続している通信レイヤが TCP/IP などより更に下位のレイヤで接続されています。　それが何を意味するかと言えば、会社のネットワークにWiFi接続しているのと同じ状態になります。

その方が便利では？　確かにその通りですが、別の側面もあります。

• 在宅時にマルウェア感染してしまったら、会社の全てのシステムやリソースにアクセスされてしまいます。
• 会社が「VPN機器」を費用負担して設置しているから接続できるのです。
  • 会社から家、への接続ができないのはそうした設備がないためです。
• 例えば、以下のような詳細な設定は、VPN機器では容易ではなく、社内ネットの改善が必要になります。
  • 協力会社の人には「特定のシステムしかアクセスさせたくない」
  • 一時的な保守業者には「保守対象のシステムにしかアクセスさせたくない」

🔹リモナビの接続には何が必要なの？

リモナビは SaaS でリモート接続のインフラを実現しますので、VPN機器などは一切必要ありません。必要な設定は、

• リモナビSasSに「接続先の通信設定情報」を登録すること
• 以下は必要に応じてですが
  • 送信側PCあるいは踏み台サーバに「リモナビ送信アプリ」をインストールし、利用設定すること
  • 受信側PCあるいは踏み台サーバに「リモナビ受信アプリ」をインストールし、利用設定すること

だけです。
以下に具体的な接続イメージを説明します。

リモナビを使った接続イメージ

🔹ブラウザからWEBアクセスする

リモナビを使ったリモートへのWEBアクセスは、ボータル画面から操作が可能です。

上図を参考に接続の設定イメージを解説していきます。

• ① リモナビSaaS で Gateway登録します。これでインターネット上に通路が作られます。
• ② 接続先の環境に Receiver をインストールし、利用設定をします。
  • もし接続先の Webシステムがクラウド配備で、リモナビSaaSから直接接続できる場合は、この操作は必要ありません。　①にて「直接接続」か「Receiver経由」かを設定します。
• さあ接続です。リモナビSaaSのポータル画面からアイコンをクリックします。
  • リバースプロキシの制限
    • ホスト名等を変換しますが、プログラムでのURLリンク作成などURL変換できないケースでは当該URLへのアクセスに失敗します。
    • アクセスするHTMLファイルに外部からアクセス不能なURLへの参照がある場合、そのURLへのアクセスに失敗します。

🔹TCP, UDP, SSH, リモートデスクトップなどの通信をする

上図を参考に接続の設定イメージを解説していきます。

• ① リモナビSaaS で Gateway登録します。これでインターネット上に通路が作られます。
• ② 接続先の環境に Receiver をインストールし、利用設定をします。
• ③ 自分の環境に Sender をインストールし、利用設定します。
• さあ接続です。Sender インストールしたホストと設定したポートを宛先にして通信をします。
  • scpコマンドを例にすると、以下のようなコマンドパラメータとなります。

    scp -P {*1} {転送するファイル名前} {user}@{SenderのHost名*2}:{転送先のファイル名}
    
        *1) ポート番号は、Sender の利用設定で設定します。
        *2) 通常なら{接続先ホスト名}を設定するところに{Senderのホスト名}を設定します。
        
    Sender--リモナビ--Receiver の接続設定をして、Sender を宛先とすることで接続を実現します。
    

🔹リモナビSaaS から提供される Sender と Receiver アプリについて

Sender , Receiver は リモナビSaaSからダウンロードすることができます。
また、これらのアプリは当該にネットワークに１つだけインストールすることで、皆で共有することが可能です。一点制約もあります。一つのマシンには一つのアプリしかインストールできません

• Windows用は、msi ファイルで提供します。
• Linux, MAC用は、docker で提供します。

Docker はホストとDockerコンテナのアドレス解決、特に「localhost」などの扱いや、Senderで利用するIPポート番号の設定に一定の知識を必要としますので、コンテナ技術を持った方の利用、あるいはリモナビSaaSに表示される内容の通りに利用する必要があります。

リモナビ の「メリット・デメリット」と「提供背景」

🔹リモナビが接続できるのは、「設定したアプリやシステム」に限定されます。

• セキュリティインシデントによる影響範囲はVPN接続と比べれば限定的です。
• [a] 接続するすべてのアプリやシステムへの接続、人別にアクセスできるシステムを制限することができます。

• [a] 接続するすべてのアプリやシステムへの接続設定登録をしなけれなりません。

この詳細なアクセス制限をメリットに「脱VPN」などと言われたりもします。
ただ、私どもは、VPN の必要性も肯定しており、リモナビは「脱VPN」ではなく、「VPNとは異なるリモート接続」と位置付けています。

🔹「経済化」と「導入の容易性」

VPN機器などのハード一切が不要

• 社内の事業体等による異なる閉域網をネットワーク構築なしに限定的接続を実現
• 「家 <-> 家」「家 <-> 出先」「会社->出先」などでも利用可能

🔹「脱VPN」が叫ばれる理由

繰り返しますが、私どもは VPN を否定しませんし、正直に言うのなら、必要な領域では VPN を必要とします。ここでは、なぜ「脱VPN」が一部で叫ばれているのか、について簡単に触れておきます。

個人情報等の漏洩、による罰則が世界的に強化されおり、より「詳細なアクセス制限」による漏洩リスクを下げる必要がある

• 日本では制裁金の罰則はありませんが、欧米の制裁金はあまりに巨額（数百億の事例も）です。

VPN接続は、会社にいるのと同じ状態をネットワーク的に再現します。

• つまりは侵入による犯罪リスクに対して、リターンが極めて大きいのです。（ネットワーク的に接続できるシステムやデータ全てを不正に得られる可能性があるのです）