VPNサーバー機能は慎重に運用しよう2

　小規模なオフィスや個人事務所などでは、家庭用として販売されているWi-Fiルーターを使っているケースも珍しくありません。

　こうした環境で注意したいのが「VPNサーバー」機能の利用です。前回に続き、家庭用のVPNサーバーをテレワーク用に使う場合の注意点を見ていきましょう。

4.事前共有キーとユーザーの管理

　さて、ここまでにWi-FiルーターのVPNサーバー機能の使い方を紹介しましたが、肝心なのはここからです。

　VPNで外部からWi-Fiルーターへと接続すると、そのクライアントはオフィスのLANに接続されているときと同等の状態となります。

　名前解決の問題があるためIPアドレスで接続先を指定する必要はありますが、オフィスのLANに接続されているファイルサーバーへアクセスしたり、オフィスのサーバーで動作している業務アプリケーションに接続することなどができます。

　このため、便利な一方で、第三者に接続されてしまうと、情報漏えいなどの被害につながる危険性もあります。

　法人向けのWi-Fiルーターであれば、認証に証明書を利用したり、発信元のIPアドレスを固定することなどで、接続できるWi-Fi子機を制限することができますが、家庭用のWi-Fiルーターには、こうした機能がない製品が多いため、事前共有キーとユーザーとをしっかり管理することが重要です。

　VPN接続に接続するための事前共有キー、ユーザーのIDとパスワードは、できるだけ長く、複雑なものにしておきましょう。

　また、本当に必要なユーザーのみに接続を許可し、使わないユーザーが登録されている場合は、設定画面から削除しておくことも大切です。

パスワードは複雑なものにしておく

5.フィルターの活用

　一部のインターネット接続環境（例えば「auひかり」など）は、ユーザーに割り当てられるWAN側のグローバルIPアドレスが固定されており、変更されることはほとんどありません。

　接続するWi-Fi子機（つまり在宅勤務の環境）側がWANに固定的なIPアドレスを利用できる場合は、オフィス側のWi-Fiルーターのフィルター機能を使って、VPN接続するユーザーを限定できます。

　具体的には、L2TP/IPsecで利用するポートのいずれか（例では「1701」を利用）を遮断するフィルターと、特定の送信元アドレスからの「1701」を通過させるフィルターを併用します（上に許可するフィルターを配置）。

　ただし、家庭向けのインターネット接続環境は、いつグローバルIPアドレスが変更されるか分かりません。変更されるたびにフィルターを更新する必要があり、さらに変更されたことを知らずに放置しておくと、許可したIPアドレスが割り当てられた別のユーザーに対して接続を許可してしまうことになります。

　無差別な接続試行を排除することはできますが、弊害があることも理解して設定するといいでしょう。

6.そのほかの注意点

　Windows 10からVPNサーバーに接続する場合は、VPN接続のプロパティの設定が必要です。

　標準では証明書を使った認証が選択されていますので、プロパティの［セキュリティ］タブにある［VPNの種類］の［詳細設定］ボタンから［認証に事前共有キーを使う］を選択し、設定した事前共有キーをWi-Fiルーターに登録しましょう。

　機種によっては、同時に［次のプロトコルを許可する］で［MS-CHAP v2］を有効にしないと接続できない場合もあります。

7.事前共有キーの方式を変更

　また、VPNサーバーに接続する際、環境によってはWindows 10のレジストリの追加が必要になる場合があります。

　ルーターをVPNサーバーに設定する場合は該当しませんが、オフィス側のネットワーク構成によっては必要になる場合もあります（別のルーターが存在しNATがかかっている場合）。もし、接続できないときは、Microsoftサポートにある以下のウェブページを参考に、レジストリの項目を追加しましょう。

• Windows Vista および Windows Server 2008 で NAT-T デバイスの背後に L2TP/IPsec サーバーを構成する方法（Microsoftサポート）

Windows 10でNATの内側にあるVPNサーバーに接続する場合は、レジストリへの追加が必要