GTM-MML4VXJ
Skip to main content

SSL-VPN入門

本連載では、リモートアクセスの手段として注目されているSSL-VPN について解説します。


掲載日:2005年5月17日

これまでの連載

第1回 リモートアクセスとVPN

blue_dot.gifリモートアクセスに対するセキュリティの脅威

パソコンやモバイル端末の普及に伴い、自宅や出張先から、いつでも企業のイントラネットにアクセスして、オフィスにいる時と同じように仕事をしたい、というリモートアクセスに対する要求が高まってきています。

これまでは、リモートアクセスのため、企業のイントラネットにRAS(Remote Access Server)を設置し、ダイヤルアップで接続する方法が使われてきました。しかし、この方法では利用者数や距離に応じてコストが高くなることや、回線速度が遅いためアプリケーションが使いづらいなどの問題がありました。そこで、最近ではインターネットでブロードバンド回線が普及し、安価で高速通信が可能になってきたことを背景に、インターネットを通じて企業のイントラネットにアクセスしようとするケースが増加しています。

しかし、インターネットを通してリモートアクセスをしようとした場合、以下に示すようなさまざまな脅威が潜んでいます。

インターネットに潜む脅威

図 1. インターネットに潜む脅威

脅威 説明
盗聴 コンピュータやネットワーク上のデータを不正に取得する行為です。
リモートアクセス時に、特に対策もせず平文で情報のやり取りをしていると、第三者に情報を盗聴された時に、パスワードや機密情報を判読されてしまい、不正侵入につながってしまう可能性があります。
不正侵入 コンピュータへ許可なく侵入する行為です。
侵入されたコンピュータが被害を受けるだけでなく、他のコンピュータへの不正侵入やSPAMメール送信への中継として使われ、加害者(踏み台)となってしまう場合があります。

<不正侵入で受ける被害>
  • 情報漏えい
    個人情報や企業の機密情報を外部に流出させる行為です。
    例)顧客情報が流出し、クレジットカード番号などが悪用されてしまう。
  • データ改ざん
    コンピュータのデータを不正に書き換える行為です。
    例) WEBサイト内容が提供者の意図していない情報に変更されて、多くのWEBサイト利用者に誤った情報が公開される。
  • 破壊
    コンピュータ上のデータやプログラムを故意に消す行為です。
    例)企業が蓄えた膨大な情報(顧客情報や企業ノウハウなど)を一瞬に失う。
その他にも、スパイウェア等を埋め込まれて盗聴が行われる、Dos攻撃のためのバックドアが仕掛けられるなどの危険があります。

企業のネットワークシステムがこのような脅威による被害を受けると、正常な業務が続行できず多額の損害を被り、さらには社会的な信用まで失墜してしまいます。

blue_dot.gifリモートアクセスの手段としてのVPN

インターネットでの脅威を防ぎ、安全なリモートアクセスを実現するために使用されるのが、VPNです。

VPN(Virtual Private Network)とは
不特定多数が使用する共有ネットワーク上に、あたかも専用線のようなネットワークを作り出すことです。VPNに厳密な定義はなく、技術、方法および作り出されたネットワークをまとめてVPNと呼んでいます。
当初は電話回線が対象でしたが、最近ではインターネット上にVPNを構築すること(インターネットVPN)を単にVPNと呼ぶこともあります。本連載でも、特に指定しない場合は、このインターネットVPNをVPNと呼びます。

VPNでは、

  • トンネリング
  • 暗号化
  • 認証

などの複数の技術を用いて、インターネット上で安全な通信を実現します。

VPNを使ったリモートアクセス

図 2. VPNを使ったリモートアクセス

トンネリングとは、通信したいコンピュータとの間に、仮想的な経路を作ることです。
例えば、リモートアクセス端末から企業イントラネット内のサーバにアクセスする場合、まずリモートアクセス端末に搭載されたVPNソフトが、サーバに送るパケットを別プロトコルのパケットで包み (カプセル化)、宛先としてVPN装置のアドレスを付けて、異なるプロトコルやアドレス体系でも通過できるようにします。企業イントラネットに設置されたVPN装置は、送信されてきたパケットから本来のパケットを取り出し、アクセス対象のサーバに送信します。この処理により、リモートアクセス端末とサーバ間にトンネルを掘って直接つないでいるように使うことができます。

また、カプセル化を行う際に内容を暗号化することにより、盗聴されてもデータの内容や送り先を判読できないようにすることができます。 さらにVPN 通信を開始する前に、通信相手との間で認証の方法を決めておき、パケットに認証の情報を付けておくことにより、不正な通信を遮断できるようにします。

VPN で使われる技術

図 3. VPNで使われる技術

VPN を実現する主な方法としては、IPsec( Security Architecture for Internet Protocol ) を使用したIPsec-VPNと、SSL(Secure Socket Layer)を使用したSSL-VPNがあります。

blue_dot.gifIPsec-VPN とSSL-VPN

IPsec-VPNとは、IP層で暗号化・認証を行うIPsecを用いてVPNを構築する方法です。IPsec-VPN では、企業イントラネット側のVPN装置との間にVPNトンネルを作るため、リモートアクセス端末に専用のソフトをインストールする必要があります。また、暗号化や認証のための設定など環境設定項目が多く、ユーザに負担がかかります。

SSL-VPNは、リモートアクセス端末と企業イントラネット側のVPN装置間でSSL暗号通信を行うことによりVPNを構築します。SSL機能は、WEBブラウザやグループウェアにあらかじめ搭載されているため、専用ソフトのインストールの必要がなく、使用可能機器の範囲も広くなっています。また、特別な環境設定を行う必要はありません。

IPsec-VPN とSSL-VPNのどこが違うのか、表にまとめると以下のようになります。


  IPsec-VPN SSL-VPN
リモートアクセス端末への
専用ソフトインストール/環境設定
×
必要
環境設定も複雑
(専用ソフトは、IPsec-VPN装置と同一メーカーの製品が原則)

不要
専用ソフトが必要な場合は自動インストール、自動環境設定
リモートアクセス端末機器
(各社の製品ごとにサポート機器は異なります)

専用ソフトが対応している装置(パソコンが中心)

パソコン
PDA、携帯電話(WEBブラウザ使用)
コンテンツやサーバに対する
アクセス制御

難しい

容易
初期導入コスト
低い

高い
運用管理コスト
高い

低い
既存ネットワークへの適用性
NAT(アドレス変換)、ファイアーウォール越えなどの考慮が必要

シームレスに導入可能
性能(処理速度・アクセス速度)
SSL-VPNより高速

IPsec-VPNより低速

このように、リモートアクセスにおいては、SSL-VPN がIPsec-VPNよりも適していると言えます。ただし、リモートアクセスのように拠点と不特定多数の地点ではなく、拠点と拠点といった決まった地点を接続する場合には、専用ソフト管理などの運用コストが抑えられるため、高速なIPsec-VPNの方が適しています。

本連載では、SSL-VPN について、SSL通信の仕組みや、SSL-VPNを実現する具体的な方式、また安全性を高めるために必要な認証やアクセス制御について説明していきます。

これまでの連載

富士通のSSL-VPN装置(IPCOM)のラインナップ

富士通のSSL-VPN装置 IPCOMシリーズは、システムに合わせて搭載機能を追加し、段階的な統合を可能にすることにより、常にシステムに最適なネットワーク環境を実現します。

lineup_moreinfo.gif
GTM-5X9NS8