OSSのVPNソフトウェア〜WireGuard〜
OSS研究室 森 彰吾
今回はVPN構築ソフト「WireGuard」を紹介します。
WireGuardについて
WireGuardはJason A. Donenfeldによって開発された次世代のVPNソフトウェアです。SSHのようにシンプルで簡単に使えることをコンセプトに開発されています。シンプルでありながらも、最新の暗号技術を利用し、通信の安全性・信頼性も高いものになっています。
VPNソフトウェアは数多く存在しますが、WireGuardは2020年3月にLinuxカーネル 5.6に取り込まれました。これはWireGuardの信頼性が認められ、また今後もメンテナンスが継続して行われることを意味します。
WireGuardの特徴
高速な動作
WireGuardは高速に動作します。当社の検証では、製品のVPN機器よりも1.2倍から最高で2倍程度高速ということがわかっています。
導入が容易
WireGuardはLinuxカーネル 5.6に取り込まれましたが、それ以前のカーネルでもカーネルモジュールとして提供されています。WireGuardは多くのディストリビューション向けのパッケージが用意されており、パッケージのインストールのみで利用できます。
VPNのサーバソフトウェアは、比較的設定が複雑です。その点、WireGuardの設定は簡単です。ひとつの設定ファイルに10行程度の設定を行うだけで設定が完了します。
クロスプラットホーム
WireGuardはLinux向けに開発されましたが、現在は多くのOSで動作します。Windows/macOS/iOS/Androidなど、一般的なOSは対応しています。つまり特別なマシンを用意することなくVPNが利用できます。
なおWireGuardは、もともとLinux向けに開発されていた経緯があり、今でもWireGuardはLinux向けとして書かれている記事が散見されます。WEB上の記事を読む場合には少し注意してください。
クライアントの設定が簡単
ネットワークやVPNの設定は、一般のユーザには非常にハードルが高いものです。Windows/macOSのクライアントは、WireGuardの設定をインポートする機能があります。管理者が設定を作成してクライアントに配布すると、クライアントは設定をインポートするだけでVPNを利用できます。またiOS/Androidでは、設定をQRコードとして読み取ることもできます。
ライセンスフリー
VPN機器やソフトウェアは、ライセンスで利用が縛られる場合がよくあります。例えばユーザ数でライセンス料金が跳ね上がったり、OSSのVPNであっても重要な機能を使うためにはエンタープライズライセンスの購入が必要になったりします。この点WireGuardは、完全なOSSとして存在しているためライセンス費が必要ありません。
WireGuardの欠点
WireGuardには次のような欠点があります。
管理面の問題
WireGuardのサーバは、コマンドラインでの設定が必須になります。クライアントへ発行する認証情報の作成や、利用の停止などの処理もすべてコマンドラインで行う必要があります。スマートフォン向けのQRコードも設定ファイルから自分で作成しなければなりません。このため管理コストが高くなっています。
認証の問題
WireGuardは公開鍵認証の仕組みで認証を行っています。このため秘密鍵・公開鍵が漏洩してしまうと、だれでもアクセス可能になってしまいます。さらに、クライアントに配布する設定ファイルに、鍵の情報がすべて記載され、参照もできるため現状は漏洩のリスクが高い状態です。
WireGuardの用途
WireGuardは通常のVPNとしても利用できますが、管理GUIの開発や鍵の有効期限の管理などが必須になります。上記の問題があるため、WireGuardは管理者だけがアクセスできるVPNシステムに向いています。具体的には拠点間のVPNやクラウド環境へアクセスするためのVPNサーバです。
特にクラウド環境については、特別な機器を設置することはできませんし、仮想アプライアンスを導入するとコストがかかります。この点WireGuardは、コストを押さえて手軽に構築でき高速です。実際AWSと社内を繋ぐVPNを構築してみましたが、非常に軽快に動作しました。クラウドでの利用には、非常に有効に働くソフトウェアといえます。
デージーネットでは
WireGuardは、欠点があるものの次世代のVPNサーバとして非常に期待が持てるソフトウェアです。デージーネットでは、この欠点を補うためのGUIソフトウェアの調査や、認証の仕組みの方法の改善などに取り組んでいきます。
また特にクラウドとの接続の用途には有効に利用できるため、ニーズに合わせて提案を行っていきます。
関連ページ
WireGuard〜OSSのVPNソフトウェア〜
リモートワークの普及に伴い、社内ネットワークに自宅などのリモート先環境から接続することが増えているのではないでしょうか。しかし、OpenVPNやIPSecなどの今までのVPNサーバーの設定は、一般のユーザには非常にハードルが高く簡単に構築することができませんでした。ここでは、OpenVPNやIPSecにかわるVPNソフトウェアのWireGuardについて紹介します。
デージーネットからのお知らせ
【Webセミナー】VPNだけじゃない! より安心・便利なリモートワーク環境改善セミナー
OSSを利用したリモートワーク環境の改善方法に関するセミナーを行います。中心となるソフトウェアの説明の他、既存のリモートワーク環境のセキュリティを強化するために役立つ事例も紹介していきます!
- 日程:2020年8月27日(木)
- 時間:15:00 〜 16:00(ログイン可能時間14:50 〜)
※ウェビナー開催OSS「BigBlueButton」を使用します。
お申込みはまだ間に合います!ぜひこの機会にご参加ください。
お申し込みフォーム↓↓
https://www.designet.co.jp/seminar/seminar.php?seminar_id=44
VPNを張らないリモート環境でテレワーク格差を解消『テレワーク環境強化セット』2020年8月20日に提供開始
https://www.designet.co.jp/info/?id=383
「CentOS 8で作るネットワークサーバ構築ガイド」を出版しました。
CentOSは安定性が高く、導入・運用しやすい環境が整っているためサーバ用途に非常に適しています。本書は、CentOS 8を使ってサーバ構築をする人のために、必要な知識や考え方などを徹底的に記載した解説書です。ネットワークやセキュリティの基礎知識から、各種サーバの構築、運用管理、仮想化やSSL/TLS証明書の作成、さらにレガシーサーバの取り扱いまで幅広く網羅しています。
https://www.designet.co.jp/books/
オープンソースの統合ログ管理ツールであるGraylog3.3の日本語マニュアルを公開しました。
https://www.designet.co.jp/ossinfo/graylog/manual3.3/
バーチャル展示会「IT総合バーチャル展示会 マジTECH 2020夏」に出展中です。
弊社はオープンソースのブースでリモートワークソリューションを展示しています!
https://lp.majisemi.com/online-exhibition
メールサーバの安全性を無料でチェックできるサイトを公開しています。
メールセキュリティへの関心が高まる中、メールセキュリティのチェック項目を整理して、誰でも簡単にチェックできるツールはありませんでした。本サイトでは、メールアドレスを入力するだけで、メールサーバのセキュリティを無料でチェックできます。