SSL-VPN入門
本連載では、リモートアクセスの手段として注目されているSSL-VPN について解説します。
これまでの連載
- 第1回 リモートアクセスとVPN
- 第2回 SSL-VPN の基本動作と実現方法その1(リバースプロキシ)
- 第3回 SSL-VPN の実現方法その2 (ポートフォワーディングとL2フォワーディング)
- 第4回 SSL-VPN のセキュリティ向上(認証とアクセス制御)
第1回 リモートアクセスとVPN
リモートアクセスに対するセキュリティの脅威
パソコンやモバイル端末の普及に伴い、自宅や出張先から、いつでも企業のイントラネットにアクセスして、オフィスにいる時と同じように仕事をしたい、というリモートアクセスに対する要求が高まってきています。
これまでは、リモートアクセスのため、企業のイントラネットにRAS(Remote Access Server)を設置し、ダイヤルアップで接続する方法が使われてきました。しかし、この方法では利用者数や距離に応じてコストが高くなることや、回線速度が遅いためアプリケーションが使いづらいなどの問題がありました。そこで、最近ではインターネットでブロードバンド回線が普及し、安価で高速通信が可能になってきたことを背景に、インターネットを通じて企業のイントラネットにアクセスしようとするケースが増加しています。
しかし、インターネットを通してリモートアクセスをしようとした場合、以下に示すようなさまざまな脅威が潜んでいます。
図 1. インターネットに潜む脅威
| 脅威 | 説明 |
|---|---|
| 盗聴 |
コンピュータやネットワーク上のデータを不正に取得する行為です。 リモートアクセス時に、特に対策もせず平文で情報のやり取りをしていると、第三者に情報を盗聴された時に、パスワードや機密情報を判読されてしまい、不正侵入につながってしまう可能性があります。 |
| 不正侵入 |
コンピュータへ許可なく侵入する行為です。 侵入されたコンピュータが被害を受けるだけでなく、他のコンピュータへの不正侵入やSPAMメール送信への中継として使われ、加害者(踏み台)となってしまう場合があります。 <不正侵入で受ける被害>
|
企業のネットワークシステムがこのような脅威による被害を受けると、正常な業務が続行できず多額の損害を被り、さらには社会的な信用まで失墜してしまいます。
リモートアクセスの手段としてのVPN
インターネットでの脅威を防ぎ、安全なリモートアクセスを実現するために使用されるのが、VPNです。
不特定多数が使用する共有ネットワーク上に、あたかも専用線のようなネットワークを作り出すことです。VPNに厳密な定義はなく、技術、方法および作り出されたネットワークをまとめてVPNと呼んでいます。
当初は電話回線が対象でしたが、最近ではインターネット上にVPNを構築すること(インターネットVPN)を単にVPNと呼ぶこともあります。本連載でも、特に指定しない場合は、このインターネットVPNをVPNと呼びます。
VPNでは、
- トンネリング
- 暗号化
- 認証
などの複数の技術を用いて、インターネット上で安全な通信を実現します。
図 2. VPNを使ったリモートアクセス
トンネリングとは、通信したいコンピュータとの間に、仮想的な経路を作ることです。
例えば、リモートアクセス端末から企業イントラネット内のサーバにアクセスする場合、まずリモートアクセス端末に搭載されたVPNソフトが、サーバに送るパケットを別プロトコルのパケットで包み (カプセル化)、宛先としてVPN装置のアドレスを付けて、異なるプロトコルやアドレス体系でも通過できるようにします。企業イントラネットに設置されたVPN装置は、送信されてきたパケットから本来のパケットを取り出し、アクセス対象のサーバに送信します。この処理により、リモートアクセス端末とサーバ間にトンネルを掘って直接つないでいるように使うことができます。
また、カプセル化を行う際に内容を暗号化することにより、盗聴されてもデータの内容や送り先を判読できないようにすることができます。 さらにVPN 通信を開始する前に、通信相手との間で認証の方法を決めておき、パケットに認証の情報を付けておくことにより、不正な通信を遮断できるようにします。
図 3. VPNで使われる技術
VPN を実現する主な方法としては、IPsec( Security Architecture for Internet Protocol ) を使用したIPsec-VPNと、SSL(Secure Socket Layer)を使用したSSL-VPNがあります。
IPsec-VPN とSSL-VPN
IPsec-VPNとは、IP層で暗号化・認証を行うIPsecを用いてVPNを構築する方法です。IPsec-VPN では、企業イントラネット側のVPN装置との間にVPNトンネルを作るため、リモートアクセス端末に専用のソフトをインストールする必要があります。また、暗号化や認証のための設定など環境設定項目が多く、ユーザに負担がかかります。
SSL-VPNは、リモートアクセス端末と企業イントラネット側のVPN装置間でSSL暗号通信を行うことによりVPNを構築します。SSL機能は、WEBブラウザやグループウェアにあらかじめ搭載されているため、専用ソフトのインストールの必要がなく、使用可能機器の範囲も広くなっています。また、特別な環境設定を行う必要はありません。
IPsec-VPN とSSL-VPNのどこが違うのか、表にまとめると以下のようになります。
| IPsec-VPN | SSL-VPN | |
|---|---|---|
|
リモートアクセス端末への 専用ソフトインストール/環境設定 |
× 必要 環境設定も複雑 (専用ソフトは、IPsec-VPN装置と同一メーカーの製品が原則) |
○ 不要 専用ソフトが必要な場合は自動インストール、自動環境設定 |
|
リモートアクセス端末機器 (各社の製品ごとにサポート機器は異なります) |
△ 専用ソフトが対応している装置(パソコンが中心) |
○ パソコン PDA、携帯電話(WEBブラウザ使用) |
|
コンテンツやサーバに対する アクセス制御 |
△ 難しい |
○ 容易 |
| 初期導入コスト |
○ 低い |
△ 高い |
| 運用管理コスト |
△ 高い |
○ 低い |
| 既存ネットワークへの適用性 |
△ NAT(アドレス変換)、ファイアーウォール越えなどの考慮が必要 |
○ シームレスに導入可能 |
| 性能(処理速度・アクセス速度) |
○ SSL-VPNより高速 |
△ IPsec-VPNより低速 |
このように、リモートアクセスにおいては、SSL-VPN がIPsec-VPNよりも適していると言えます。ただし、リモートアクセスのように拠点と不特定多数の地点ではなく、拠点と拠点といった決まった地点を接続する場合には、専用ソフト管理などの運用コストが抑えられるため、高速なIPsec-VPNの方が適しています。
本連載では、SSL-VPN について、SSL通信の仕組みや、SSL-VPNを実現する具体的な方式、また安全性を高めるために必要な認証やアクセス制御について説明していきます。
これまでの連載
- 第1回 リモートアクセスとVPN
- 第2回 SSL-VPN の基本動作と実現方法その1(リバースプロキシ)
- 第3回 SSL-VPN の実現方法その2 (ポートフォワーディングとL2フォワーディング)
- 第4回 SSL-VPN のセキュリティ向上(認証とアクセス制御)
IPCOM Sシリーズ ラインナップ
(注) 下図の各モデルの画像をクリックすると、仕様紹介のページが表示されます。
