企業で採用が広がる「マルチクラウド」。同環境で多いのが、VPN(仮想私設網)関連のトラブルだ。ありがちな盲点と効果的な対処方法を紹介する。

 要件や予算などに応じて複数のクラウドサービスを適材適所に使い分ける「マルチクラウド」の採用企業が増えてきた。この際、データの漏洩や改ざんなどを防ぐため、オンプレミス環境とクラウドサービス間、複数のクラウドサービス間をインターネットVPNで接続することが多い。インターネットを介して直接つなぐ場合に比べてセキュリティーが高く、専用線接続よりも安価で済むからだ。

 だが、インターネットVPNにまつわるトラブルは尽きない。特にマルチクラウド環境では接続先のクラウド事業者ごとに仕様が微妙に異なったり、機能が突然変更されたりして思わぬ落とし穴にはまることがある。今回はマルチクラウド環境で陥りやすいトラブルと、クラウドならではの効果的な解決アプローチを紹介する。

同じ設定でも仕様が違う

 A社はSaaS(ソフトウエア・アズ・ア・サービス)の利用拡大に伴い、インターネットVPNを拡張することにした。SaaSは既存のX社に加え、Y社とZ社のサービスを新たに採用。それぞれとIPsecで接続したところ、Y社との間で「IPsec SA」と呼ぶ通信路の確立に必ず失敗する事象が発生した。

図 認識違いによるトラブル
設定の「常識」がクラウド事業者と異なっていた
[画像のクリックで拡大表示]

 IPsec SAの確立が失敗する要因としては、VPNゲートウエイに設定すべきパラメーターが抜け落ちていたり、対向のゲートウエイ間でパラメーターが一致していなかったりするケースが考えられる。そこでVPNゲートウエイのデバッグ機能を使い、IPsec SA作成時の挙動を確認することにした。VPNゲートウエイ間のメッセージのやり取りを見ると、相互認証のフェーズで想定と異なるパケットを受信しており、パラメーターの不一致が原因の可能性が高いことが分かった。

 さらに調査を進めて判明したのは、「ピア識別子」と呼ぶ接続相手の認識に使う識別子のミスマッチだった。一般に接続相手のVPNゲートウエイがファイアウオール配下にある場合、接続相手の識別子にはNAT(Network Address Translation)変換前のIPアドレス(ファイアウオール)を指定する。しかし、Y社側のVPNゲートウエイはNAT変換後のIPアドレスを設定する仕様となっていた。この仕様に従い、設定を変更することで解決できた。

 このようにクラウド事業者によっては、一般の認識と異なる仕様を採用しているケースがある。さらに細かい点を挙げれば、パラメーターの名称や説明、設定方法なども事業者ごとにバラバラなことが多い。このため、マルチクラウド環境では事業者ごとにパラメーターを整理し、事前に統一化を図っておくことが重要である。

この先は有料会員の登録が必要です。「日経コンピュータ」定期購読者もログインしてお読みいただけます。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら