明日からテレワーク! 最低限チェックしたいNAS&ルーター安心・便利設定

ルーター編 第8回

VPNサーバー機能は慎重に運用しよう2

 小規模なオフィスや個人事務所などでは、家庭用として販売されているWi-Fiルーターを使っているケースも珍しくありません。

 こうした環境で注意したいのが「VPNサーバー」機能の利用です。前回に続き、家庭用のVPNサーバーをテレワーク用に使う場合の注意点を見ていきましょう。

4.事前共有キーとユーザーの管理

 さて、ここまでにWi-FiルーターのVPNサーバー機能の使い方を紹介しましたが、肝心なのはここからです。

 VPNで外部からWi-Fiルーターへと接続すると、そのクライアントはオフィスのLANに接続されているときと同等の状態となります。

 名前解決の問題があるためIPアドレスで接続先を指定する必要はありますが、オフィスのLANに接続されているファイルサーバーへアクセスしたり、オフィスのサーバーで動作している業務アプリケーションに接続することなどができます。

 このため、便利な一方で、第三者に接続されてしまうと、情報漏えいなどの被害につながる危険性もあります。

 法人向けのWi-Fiルーターであれば、認証に証明書を利用したり、発信元のIPアドレスを固定することなどで、接続できるWi-Fi子機を制限することができますが、家庭用のWi-Fiルーターには、こうした機能がない製品が多いため、事前共有キーとユーザーとをしっかり管理することが重要です。

 VPN接続に接続するための事前共有キー、ユーザーのIDとパスワードは、できるだけ長く、複雑なものにしておきましょう。

 また、本当に必要なユーザーのみに接続を許可し、使わないユーザーが登録されている場合は、設定画面から削除しておくことも大切です。

パスワードは複雑なものにしておく

5.フィルターの活用

 一部のインターネット接続環境(例えば「auひかり」など)は、ユーザーに割り当てられるWAN側のグローバルIPアドレスが固定されており、変更されることはほとんどありません。

 接続するWi-Fi子機(つまり在宅勤務の環境)側がWANに固定的なIPアドレスを利用できる場合は、オフィス側のWi-Fiルーターのフィルター機能を使って、VPN接続するユーザーを限定できます。

 具体的には、L2TP/IPsecで利用するポートのいずれか(例では「1701」を利用)を遮断するフィルターと、特定の送信元アドレスからの「1701」を通過させるフィルターを併用します(上に許可するフィルターを配置)。

 ただし、家庭向けのインターネット接続環境は、いつグローバルIPアドレスが変更されるか分かりません。変更されるたびにフィルターを更新する必要があり、さらに変更されたことを知らずに放置しておくと、許可したIPアドレスが割り当てられた別のユーザーに対して接続を許可してしまうことになります。

 無差別な接続試行を排除することはできますが、弊害があることも理解して設定するといいでしょう。

6.そのほかの注意点

 Windows 10からVPNサーバーに接続する場合は、VPN接続のプロパティの設定が必要です。

 標準では証明書を使った認証が選択されていますので、プロパティの[セキュリティ]タブにある[VPNの種類]の[詳細設定]ボタンから[認証に事前共有キーを使う]を選択し、設定した事前共有キーをWi-Fiルーターに登録しましょう。

 機種によっては、同時に[次のプロトコルを許可する]で[MS-CHAP v2]を有効にしないと接続できない場合もあります。

7.事前共有キーの方式を変更

 また、VPNサーバーに接続する際、環境によってはWindows 10のレジストリの追加が必要になる場合があります。

 ルーターをVPNサーバーに設定する場合は該当しませんが、オフィス側のネットワーク構成によっては必要になる場合もあります(別のルーターが存在しNATがかかっている場合)。もし、接続できないときは、Microsoftサポートにある以下のウェブページを参考に、レジストリの項目を追加しましょう。

Windows 10でNATの内側にあるVPNサーバーに接続する場合は、レジストリへの追加が必要

清水 理史

製品レビューなど幅広く執筆しているが、実際に大手企業でネットワーク管理者をしていたこともあり、Windowsのネットワーク全般が得意ジャンル。最新刊「できる Windows 10 活用編」ほか多数の著書がある。