Blog

通信事業者のコスト削減を実現する仮想プライベートインターネット

2022年7月6日

VPNからVPIへ:仮想プライベート・インターネットにより、顧客構内設備とエッジ・デプロイメントのプロビジョニングと保守のためのトラックロールをいかに少なくすることができるか

オンプレミス機器は、通信事業において不可欠な存在であり、ハードウェア対応のサブネット、セキュリティ、ルーティングなどを顧客のために構築しています。エッジ展開の増加に伴い、エッジまたは顧客構内の機器を現場でサービスする必要性が高まっています。しかし、顧客構内設備(CPE)の設定、保守、アップグレードのために熟練技術者を派遣するコストは、特に国内外をカバーする電気通信事業者にとっては膨大なものになります。CPEは、顧客が持っていない高度な設定や構成を必要とすることが多く、熟練した技術者を現地に派遣することが必要になります。このため、技術者の生産性は大幅に低下します。なぜなら、技術者は、CPEの作業に費やす時間に加えて、乗り換えの時間も加えなければならないからです。

当然ながら、CPEにログインすることをお勧めしますが、それは通常、CPEにポートフォワーディングを設定するか、顧客のファイアウォールに穴を開けることを意味します。多くのIT部門は、ファイアウォールに穴を開けるとCPEへのリモートアクセスが容易になるため、ポートや外部からのアクセスを防ぐ方針をとっていますが、その代償は大きく、ハッカーはツールを使ってIPv4アドレス空間全体を1時間ほどでスキャンし、デバイスを発見すると、そのデバイスを簡単に調べ、オープン通信ポートを悪用するクラックツールを使用できるようになっています。

逆に、CPEを顧客のファイアウォールの背後に置くと、通信ベンダーにとって便利で時間のかからないリモートアクセスができなくなります。では、通信会社はどうすればいいのでしょうか。

しかし、この場合、多くの中小企業にはないVPN戦略が必要であり、LANやWANへのアクセス権管理に高度な技術が必要となり、VPNが侵害された場合には、顧客ネットワークのかなりの部分が不正アクセスにさらされる可能性があります。

さらに、接続ソリューションとして注目されつつあるモバイルネットワークは、PCIなどの規格に準拠するため、より安全なキャリアグレードNAT(CG-NAT)とグローバルIPアドレスをデフォルトとしており、通常VPNでは機能しません。

最近、VPNをさらに進化させ、安全なリモートアクセスを実現する新しい技術として、VPI(Virtual Private Internet)ソフトウェアが登場しています。

VPIかVPNか?

仮想プライベートインターネットは、VPNとは様々な点で異なります。

  1. CG-NATを含むモバイルネットワークで動作します。
  2. インターネットと保護対象機器間の通信を監視・選別するアプライアンスは存在しない。
  3. ポート、サービス、デバイスに接続許可を明示し、所定の「スイムレーン」へのトラフィックの流れを厳密に制御します。
  4. トラフィックは、直接接続、またはVPIルーティングサービスによって指示されたピアツーピアトンネルを介して流れるため、VPIデバイスは、明示的にコンタクトを許可されたポート、サービス、デバイスにのみ到達することができます。
  5. 接続されたデバイスは、複数の内部ネットワークで同時に安全にプロビジョニングすることができます。

TCP/IPには、核戦争を生き抜くために設計されたプロトコルとしての起源から受け継いだ、基本的な協調性が備わっています。デバイスは、ネットワーク上でブロードキャストしている他のデバイスに応答し、接続を行うことができるようになります。これは、リクエストに応答することでデバイスがハッカーのターゲットとして特定される可能性がある、セキュリティ重視のシナリオではあまり望ましくありません。

VPI上のトラフィックは、TCP/IPのようにルーティング・テーブルとパケットのブロードキャストとパッシングによって管理されるので、VPI対応デバイスは、TCP/IPメッセージに対する自動応答を停止して、"ドロップ状態 "と呼ばれる状態に切り替わることができる。これにより、ハッカーが使用するIPスキャンやポートスキャンから、デバイスを効果的に見えなくすることができるのです。DDoS攻撃やインターネットワームも同様に、ドロップ状態にあるVPIデバイスは、悪意のあるトラフィックに反応しないため、影響を受けることはありません。同時に、デバイスは、VPI上で認可されている他のデバイスとの通信も可能です。

VPIが通信事業者のコスト削減を実現する理由

電気通信事業者は、熟練した技術者を顧客先に派遣するために多大なコストがかかっています。移動時間に加え、移動スケジュールに起因するサービスの遅延が発生し、顧客をイライラさせる。VPN、セキュアシェル(SSH)、リモートデスクトップソリューションは、機能するために顧客サイトのセキュリティに穴を開ける必要があり、通信事業者はこれまでリモートメンテナンスのメリットを享受できずに生きてきました。

VPIは、通信事業者が、機器や顧客ネットワークを侵入者にさらすことなく、ハードウェアに安全に通信する方法を提供します。現場のハードウェアに確実にアクセスする安全な方法によって、通信事業者は顧客サイトへの派遣を減らし、応答時間を短縮することができ、経費を削減し、顧客満足度を向上させることができるのです。通信事業者が数千の顧客サイトを持つ場合、従業員の何千時間もの移動時間を回避し、応答時間の短縮を通じて顧客満足度に広く影響を与えることができるのです。

また、通信業界にとっても、VPIが役立つ極端なケースもある。通信事業者が無線基地局を製造する場合、セキュリティ上の理由から、その基地局はインターネット・トラフィックを通過・ルーティングしてもインターネットには接続されない。このようなシナリオでは、技術者が常に現場に配備されていなければなりません。しかし、WiFi または LTE を搭載したモバイルデバイスに VPI ソフトウェアをインストールすれば、より若い技術者や熟練度の低いエージェントが基地局の現場に行き、VPI デバイスを基地局に接続し、LTE デバイスを使って一時的に安全な VPI 接続を確立し、熟練した技術者がその基地局にアクセスして保守できるようになります。メンテナンスが完了すると、若手技術者はデバイスのプラグを抜き、基地局がインターネットハッカーにさらされないように再び切断し、効果的にエアギャップを作り出します。

高度な技術を持つ技術者が、輸送中の無駄な時間を減らしている

通信事業者は、すでにVPIソリューションを活用して、技術者がリモートでアクセスできるCPEへの安全で不可視の管理された接続を実現しています。また、WiFiやLTEを搭載したVPI対応機器を使用して、エアギャップされた機器を一時的に安全なVPIネットワークに接続し、熟練技術者がリモートで機器にアクセスし、作業できるようにしている例もある。この2つのケースを含め、通信事業者はより迅速に対応し、中継車の費用を削減し、最も貴重な技術者の時間をトラックに座ったままではなく、CPE作業に充てています。

BullsEye Telecom社によるremote.itのVPI活用についてのプレスリリースは、こちらをご覧ください。

BullsEye Telecomの事例をご覧になりたい方は、こちらまでお問い合わせください。

関連ブログ