#9　リモートアクセスの通信制御はどうする?IIJ情シスの活用術

飯島

「スプリットトンネル」という、Teamsビデオ会議の通信を直接インターネットへオフロードさせる機能を使っています。

飯島

いえ、最初は使っていませんでした。フレックスモビリティはビデオ会議のようなリアルタイム性を求められる通信でもサクサク使えることが特徴の1つです。
それが2020年春頃の緊急事態宣言以降、Teamsビデオ会議の利用者が増えるにつれて、「ビデオ会議の品質が悪い」と社内から言われるようになったんです。ボトルネックはリモートアクセス設備ではなく、インターネットゲートウェイなど別の箇所にありました。

関

対応の一環として、社内ネットワークの帯域増強やインターネットゲートウェイの強化などを行いました。更にフレックスモビリティのスプリットトンネル機能を利用して、通信をオフロードさせることにしました。

飯島

音声とカメラ映像の通信だけがオフロードされます。チャットやファイルの通信はオフロードさせず、社内ネットワークを経由していますね。

飯島

はい。それ以降、大きな問題は起きていないですね。インターネットゲートウェイを増強すれば済む話でしたが、無尽蔵に増え続けるビデオ会議のトラフィックに合わせて増強するコストをかける必要もなくなりました。

飯島

セキュリティ上、Teams音声・映像の通信はオフロードさせるけれど、チャットやファイルの通信はオフロードさせない、というルールを書きたかったんです。
少し細かくなりますが、フレックスモビリティでは1から65535までのポート単位で通信制御できます。
リモートアクセス製品の中には、アプリケーションの指定や、広範なポートしか指定できないものがあります。そういった製品では、セキュリティ上、あるポートを閉じたい場合には、広範なポートを閉じなければなりません。その範囲内にシステム管理者側で利用したいポートがあっても使えないんです。
フレックスモビリティはポート単位で細かく通信制御できるので、非常に便利ですね。今まで、こういう製品はありませんでした。

飯島

他にも、ユーザ端末へ設定ファイルを配信するときなどに、必要ポートだけ利用するといった活用法があります。セキュリティと管理性を両立できるんです。

飯島

接続するデバイス・ユーザによって、アプリケーションや接続先を制御する機能を利用したいと思っています。

飯島

現在、IIJ社員のみがフレックスモビリティを利用していますが、今後はIIJに勤務しているパートナー企業の皆さんにも利用してもらう予定です。
デバイス・ユーザによってアクセスできるアプリケーションやIPアドレス範囲を指定し、権限制御をしたいと思っています。

飯島

あとは、クライアント側のアプリケーションの状態を見て、接続可否を制御する機能も利用したいですね。例えば、ディスク暗号化のBitLockerの有無をチェックして接続可否を制御するなど、更にセキュリティを強化していきたいと思っています。