VPN (Virtual Private Network、仮想プライベートネットワーク) は、安全なリモートワークのために必須の手段です。遠隔地にいても、オフィスにいるのと同じように会社のネットワークに接続でき、オフィスと同じレベルのセキュリティとサービスが受けられます。これは、テレワークが例外ではなくデフォルトになったコロナ禍時代には特に重要です。在宅勤務者は、会社のリソースを脅威にさらすことなく、リソースに自由にアクセスできる必要があります。
暗号化されたトンネルを通じて、無数のユースケースにセキュアな通信を提供する、数多くの VPN アプリケーションがあります。
VPN については、Cisco が次のように定義しています。「仮想プライベートネットワーク(VPN)は、デバイスからネットワークへのインターネットを介した暗号化された接続です。暗号化された接続は、機密データが安全に送信されることを保証するのに役立ちます。許可されていない人がトラフィックを盗聴するのを防ぎ、ユーザーがリモートで作業を行えるようにします。」
VPN 監視とは?
VPN は、Virtual Private Network の頭字語であり、プライバシーのために暗号化された接続を行いますが、安全なのは、当然、正常に動作している場合に限られます。リモートのユーザーは、VPN が動作していなければ適切な作業ができません。IT 部門は、どの VPN 機器、ソフトウェア、サービスが導入され、どのように使用されているか、それらのステータスがどのようであるのかについて、確実に把握している必要があります。
そのために行われるのが VPN 監視です。VPN 監視を使用すると、仮想プライベート ネットワーク (VPN) 接続、そのパス、使用可能なすべてのトンネルを追跡できます。VPN が稼働しているかどうかだけではなく、パフォーマンス KPI、トンネルフラップ(VPN の急速なアップダウン)、遅延などのメトリクス情報を収集できます。VPN のパフォーマンスはエンドユーザーのパフォーマンスを左右します。たとえインターネットに問題がなく、ユーザー接続が良好でも、VPN が遅延すればユーザーから見たパフォーマンスは悪化します。
VPN 監視は、プライベートネットワークを構成するすべての関連 VPN デバイスの状況をチェックし、VPN トラフィックを監視して、VPN ネットワークを介したデータ移動が遅延なく行われているか、すべての情報が暗号化されているかを確認します。
ネットワークトラフィックも監視し、最も多くの VPN リソースを消費しているユーザーなどを検出できるので、それに応じて帯域幅割り当ての変更も可能になります。
VPN 監視とネットワーク監視
個別の VPN 監視ツールを購入する選択肢もありますが、ファイアウォール監視の場合と同様、それは最善のアプローチとは言えません。より優れたアプローチは、ネットワーク全体のコンテキストで VPN を監視し、1 つのダッシュボードを通じてすべてのネットワーク構成要素の状況を表示できる、統合されたネットワーク監視ソリューションです。
VPN 監視のポイント
VPN が適切に稼働し、高い可用性とパフォーマンスを維持しているかどうかを確認するには、VPN 監視が必要です。VPN の入出力コントローラーとしてファイアウォールが適切に機能していることも確認するべきです。VPN 帯域幅問題に対処するには、可用性の監視だけでは不十分です。TechTarget の “Best practices for VPN traffic monitoring" というブログには、次のように記述されています。「VPN トラフィックを監視するネットワークチームは、アプリケーションの使用状況やオーバーヘッドなどの要因を検討する必要があります。…VPN やその他のリモートアクセステクノロジーの需要の高まりで、帯域幅使用がパンデミック前のレベルから劇的に増大しました。この需要の増加は、ネットワーク管理者が、帯域幅の使用レベルを注意深く監視および分析して、すべてのユーザーが帯域幅を利用できるようにし、必要に応じて過剰な帯域幅を使用しているデバイスを特定して調整する必要があることを意味します。」
デバイスの監視だけでなく、ネットワーク全体で何が起こっているかを確認できないと、VPN を適切に監視することはできません。「帯域幅とパケットルーティングのメトリックを分析して、VPN 全体のネットワークトラフィックを測定する必要があります。カスタマイズ可能なパラメータを事前設定して、ネットワークトラフィックを追跡し、状況を表示できる必要があります。アラートも、異常な状態を識別できるようプログラム可能である必要があります。すべてのルートとデバイスを表示することで対処すべき問題をすばやく特定できるので、ネットワークインフラストラクチャ全体をマッピングできることが望ましいでしょう。」と、TechTarget のブログで指摘されています。
VPN 監視のためにネットワークトラフィック分析を行うことで、帯域幅の容量を追加したり、トラフィックの優先順位を調整したりして、トラフィックフローを最適化できます。
VPN のパフォーマンスに関しては、WAN にも配慮する必要があります。プログレスのブログ「 誰もが自宅から仕事をしている状況での VPN 関連の考慮事項」では、次のように説明しています。「WAN 帯域幅の使用状況と VPN アクセスを注意深く監視する必要があります。どの監視ツールを使用しても SNMP ポーリングやトラップを使用して VPN トンネルのアップ/ダウン状況は監視できるはずですが、それに加えて、可能な限り、ユーザー名、IPアドレス、ローカルアドレス、クライアントバージョン、接続時間、開始/終了時間などの情報も収集する必要があります。そうすることで、VPN 接続全体の状況を把握し、帯域幅の大量消費があればそれを特定できます。注意深く分析して、パフォーマンス悪化が顕在化する前に帯域幅容量を追加する必要がある時期を判断できます。」
Cisco ASA VPN を監視するには
VPN テクノロジーのリーダーは恐らく Cisco であり、企業に VPN アクセスを提供する Cisco ASA は世界中で最も一般的に使用されているデバイスの1つです。WhatsUp Gold の第一人者である Jason Alberino が「WhatsUp Gold で Cisco ASA VPN を監視する方法」というブログで説明しているように、Cisco ASA が想定どおりに作動していることを確認する必要がある担当者は、ネットワーク監視ソリューションである「WhatsUp Gold に送信される SNMP トラップを使用」して、VPN 監視することができます。「VPN トンネルのステータスが変化したり、何らかの理由で失敗したりすると、SNMP トラップが WhatsUp Gold に送信されます。WhatsUp Gold の機能を使って、警告送信(例:電子メールアクション、SMS アクション)、修正アクション(例:SSH アクション、PowerShell アクション)、両方のアクションの組み合わせなどを実行するよう設定することができます。」詳しくは、この ブログをご参照ください。
(このブログの次のポイントは、特記するに値します。「WhatsUp Gold を使用すると、データを入力できるすべてのものを監視できます。そのデータが、ルーター、スイッチ、サーバーなどのオンプレミスシステムからのものか、AWS、Azure、Meraki などのクラウド環境からのものか、Zoom、WebEx、Office 365 などの SaaS (Software as a Service) からのものか、といったことは関係ありません。」)
VPN アクティビティの監視
VPN アクティビティ監視では、基本的な接続情報、IP アドレス、接続先の Web サイト、および転送されたデータの量を確認してログに記録できます。
WhatsUp Gold ライブアクティビティでは、ほぼリアルタイムでネットワーク監視環境にわたってアプリケーションのあらゆる領域で発生しているアクティビティを表示できます。
- [カテゴリ] - 個々のアクティビティが発生した WhatsUp Gold の領域 (モニタ、ログ、システムなど)。
- [コンポーネント] - アクティビティが生成された特定のカテゴリ内の個々の要素項目 (デバイス/モニタの名前、ログエントリ、サービスなど)。
- [重大度] - アクティビティを情報、警告、または重要として報告するかどうかを指定します。
- [メッセージ] - 発生した特定のアクティビティに関する追加の詳細を提供します。
- [経過時間] - 特定のアクティビティが発生してから経過した時間を報告します。
VPN 監視を含む WhatsUp Gold ネットワーク監視
WhatsUp Gold は、包括的で使いやすいアプリケーションとネットワーク監視を提供します。重要なネットワークデバイスとサービスをプロアクティブに監視し、業務に悪影響を与える前に問題を検出して解決することが可能になります。複雑化するネットワーク環境を、使いやすく直感的な Web ベースのインタフェースから効率的に監視してコントロールでき、高い投資収益率が得られます。