エクストラネットとは何か

インターネットを専用線のように利用する

ネットワークの威力は、メンバーが情報を共有し、時間や場所の制約を超えたコミュニケーションが可能になることで、仕事の進め方そのものに大きな革新をもたらすという点にあります。オフィス内LANやARA（アップル・リモート・アクセス）のようなダイヤルアップ接続でこれを実現し、成果を上げているところは多いでしょう。

しかし、遠隔オフィスとのネットワークの場合は専用線接続が必要となり、距離が大きくなるほど、また接続相手が増えるほど、どんどんコストが膨らんでしまいます。また、短期プロジェクトのために協力会社とネットワークを相互利用したいという場合、そのたびに専用線を用意するのも現実的ではありません。

この組織内のネットワークを、インターネットを介して相互接続してみたらどうでしょう（図1）。こうすれば最寄りのプロバイダと契約するだけで、まるで専用線のネットワークが用意されているかのようにお互いのデータやシステムを利用できるようになります。回線コストも押さえることができますし、必要なときだけ臨時のネットワークを構成するという柔軟な対応も可能です。ダイヤルアップ接続の場合も、プロバイダの回線を利用できるので、各地に自前のアクセスポイントを設ける必要がありません。

これが「エクストラネット（Extranet）」の考え方です。「エクストラ（Extra）」とは外部をあらわす接頭語ですから、外に延びた（組織の）ネットワークというような意味になります。内部を示す「イントラ（Intra）」をインターネットに引っかけた「イントラネット」を売り出したのに続く、流行に乗ったネーミングというわけですね。これまで一般にはVPN（Virtual Private Network）と呼ばれてきました。公共の空間であるインターネット上に、仮想的な専用の（プライベートな）ネットワークを作るというところからきた名称です。インターネットの技術の応用なので、組織内にもTCP/IPを使った、いわゆるイントラネットが構築されていることを想定しています。

低コストで柔軟なうまいアイデアですが、これを実現するためには、プライベートな情報をかかえたLANを、何でもありのインターネットにつなぐ場合の注意点をきちんと理解しておく必要があります。

組織の情報を守るファイアウォール

インターネットは人通りの激しい繁華街の雑踏のようなものです。ここに、社外秘の情報を満載したネットワークを直接つなぐというのは、玄関も壁もない家を大通りに面して建ててしまうようなもの。秘密も何もあったものではありません。そこで、社内ネットをインターネットに接続する場合は、情報の壁と玄関を作り、そこに門番を立てておく必要があります。これが「ファイアウォール（Fire Wall＝防火壁）」と呼ばれるものです。

ファイアウォールは、組織に出入りする情報をすべてチェックし、許されたものだけを通して後は切り捨ててしまいます。インターネットと組織のネットワークの接点をこの１カ所に集約することで、システムへの不正な侵入を防いでいるのです。

では、ファイアウォールはどうやって通行を許可された情報とそうでないものを見分けるのでしょうか。インターネット上では、データは小さく分割されて「パケット」という単位でやり取りされます。パケットはデータの小包のようなもので、アドレスやデータの種類を記した荷札（ヘッダ）が付加されています。ファイアウォールは、ゲートウェイ（Gateway）という玄関を設けてデータの荷札を調べ、あらかじめ認められているものだけを通過させるというわけです（図2）。また、規模が大きなものになると、パケット（小包）をそのまま通さず、いったん包みをほどいて内部専用のパケットに移し替えるという手続きをとります。この時点で不正なデータをチェックし、許されたものだけを内部に中継することで安全性を確保しているのです（図3）。

エクストラネットを使って情報のやりとりをするためには、データが安全なものであることをファイアウォールに知らせ、そこを通過できるようにしなければなりません。そのため、エクストラネットの交信の最初には必ず相手を確認する「認証」という手続きを行います。ファイルサーバーに接続する時のパスワードのようなものですが、悪質な侵入者に破られることのないよう、厳重な仕組みが不可欠です。

転送データを守る暗号化とトンネリング

さて、ファイアウォールによって組織内の安全は守ることができますが、秘密を要する情報をインターネット経由でやりとりするためには、これだけでは十分ではありません。インターネットではいろいろな中継点を通ってデータが伝達されるために、途中で盗聴されたり改竄されたりする危険がつきまとうのです。そこで、エクストラネットのためには、データを保護する暗号化が必要になります。通常のパケットを暗号化した上で、改めて別の輸送用パケットに詰め込んで両方のゲートウェイ（玄関）間で受け渡しするのです。

このように、パケットを別のパケットでくるんで（カプセル化して）ネットワーク上を転送することを「トンネリング」といいます（図4）。インターネットにトンネルを掘ることで、いつでも安全にデータを送ることができるというわけです。

暗号をかけるだけであれば、電子メールやＷＷＷブラウザなどのアプリケーションレベルでも可能です。しかしこの手法で情報を交換するには、相手のメールソフトやブラウザも、同じ暗号を解読できるものに変更しなければなりませんね。エクストラネットの利点の一つは、こうした暗号化を出入口（ゲートウェイ）で一括して行うので、既存のイントラネットに変更を加えず利用できるという点にあるのです。

エクストラネット上でのデータの流れ

トンネリングによる情報交換の過程をもう少し丁寧に見てみましょう。図5にあるように、発信者のコンピュータは、データを小包（パケット）に入れて相手に向けて送ります。このときの荷札は普通の社内システムと同じで、エクストラネット用に特別なものは必要ありません。エクストラネット向けのデータはゲートウェイに送られます。ここで小包は中が見えないように鍵のかかった箱にしまわれ（暗号化）、その上で社外（インターネット）に送り出される小包（パケット）として荷札を付けて、相手のゲートウェイに発送されます。

受け取り側のゲートウェイは、まず社外用の小包を解き、鍵を開けて中の小包を取り出し、もとの小包を復元してから社内の宛先に送り届けます。この仕組みによって、双方の利用者はインターネットという外の世界を経由することを意識せずに、あたかも同じ社内のネットワークを使っているかのように情報のやりとりができるというわけなのです。

エクストラネットの実際

以上のように、エクストラネットの実現には認証や暗号化の手続きが不可欠なのですが、今は標準化案が提案されている段階で、まだ統一には至っていません。すでにDEC社のAltaVista Tunnelなどの製品がこれらの技術を独自に採用して実績をあげていますが、マッキントッシュ上で動くものはないようです。

したがって現状でエクストラネットを構築するためには、いくつかの方式から自分の判断でどれかを選び、それを動かすためのUNIXやWindowsNTをサーバーとして用意する必要があります。アップルもAppleShareの次期バージョン（5.0）ではTCP/IPを導入し、インターネットとの融合を計ってくるようですから、標準的な方法が確立する頃にはマッキントッシュによるエクストラネットも実現するかもしれません。

エクストラネットは重要な考え方ですが、標準化の状況やマッキントッシュでの展開を見ると、すぐに飛び付くことはないようにも思います。今の環境では、例えば、ARAと電話の全国一律料金サービスとを組み合わせて活用しながら、様子を見るという手が賢明かも知れません。何より、内部のイントラネット自身が充実していなければ話が始まらないのですから、まず足元のネットワークに力を注ぐことが大切です。特定の方式に縛られない柔軟なイントラネットの整備を進め、標準が確立したらエクストラネットで外部と接続するという姿勢でもよいのではないでしょうか。

(MacFan 1997-04-15号)