SSL-VPNとは?
ここでは、SSL-VPNの概要を説明していきます。
暗号化にSSLを用いたリモートアクセスVPN
SSLとはインターネットの送受信を暗号化する技術です。クレジットカードなどの重要なデータを送受信する際に用いられます。一方、リモートアクセスVPNは、外部からアクセスできる仮想化プライベートネットワークです。
そのためSSL-VPNは、SSL暗号技術を用いた仮想化プライベートネットワークということになります。外出先や出張先から社内ネットワークにアクセスしたい時などに利用されます。
SSL-VPNの接続方式は3種類
SSL-VPNは、SSLとさまざまな技術を組み合わせてプライベートネットワークを構築します。接続方式は、「リバースプロキシ」「ポートフォワーディング」「L2フォワーディング」の3種類です。
リバースプロキシ
リバースプロキシは、外部ネットワークからプライベートネットワークにアクセスする方法です。HTTP通信をSSL化したhttpsから始まるURLを入力して、VPN装置にアクセスします。
VPNにて発信元のクライアント情報を認証することにより、プライベートネットワークにアクセスできます。頻繁に利用される接続方式で、ウェブブラウザさえあれば構築可能です。
ただしメールサーバなど、Webブラウザに対応していないアプリケーションには使えません。そのような場合は、VPN装置がアプリケーションから手に入れた情報を画面上に出力するシステムの構築が必要です。
ポートフォワーディング
ポートフォワーディングは、Webブラウザに対応していないアプリケーションにもSSL-VPNを構築できる手法です。ただし、動的にポート番号を変更しなければならないアプリケーションには利用できません。
あらかじめ許可する端末のIPアドレスとポート番号を定義する必要があるためです。モジュールは、アクセスしてきたアプリケーションのデータを取得できるように設定されます。
【ポートフォワーディングの手順】
- 1.VPN装置にHTTPSでアクセスする
- 2.外部端末にポートフォワーディング用モジュールを追加する
- 3.VPN装置との間にSSLトンネルを確立する
- 4.アクセスしてきた端末データを取得する
- 5.データをVPN装置に送信する
- 6.受け取ったデータを復号化して抽出
- 7.予め登録されたサーバー情報と照合してアクセス先を指定する
- 8.サーバーからの応答を受け取ってデータをSSL化する
- 9.リモートアクセス端末に送信
L2フォワーディング
ポート番号を動的に変更するアプリケーションにも適用できる方式です。
IPアドレスやポート番号が記録されたパケットをカプセル化しているため、VPN装置にIPアドレスやポート番号を定義する必要がありません。SSLトンネル確立時は、全てのデータが仮想NIC内を通るように設定されます。
【L2フォワーディングの手順】
- 1.N装置にHTTPSでアクセスする
- 2.外部端末にポートフォワーディング用モジュールを追加する
- 3.VPN装置との間にSSLトンネルを確立する
- 4.アクセスしてきた端末データを仮想NICに送信する
- 5.内部ネットワーク宛の場合、モジュールによってSSL化
- 6.SSL化されたデータをVPN装置に送信
- 7.受け取ったデータを復号化し抽出
- 8.抽出したデータをサーバに送信
- 9.サーバから仮想NICに返されVPN装置に回送
- 10.PN装置がデータをSSL化する
- 11.モートアクセス端末に送信
IPSec-VPNとの違いは?
SSL-VPNとIPSec VPNでは、プロトコル階層や接続する経路が異なります。
プロトコル階層が異なる
SSL-VPNのプロトコル階層が「セッション層」なのに対し、IPSec VPNのプロトコル階層は「ネットワーク層」です。
- 【SSL-VPN】
-
- ■セッション層で実装される
- ■下位のトランスポートプロトコルに依存する
- ■SSLに対応していない場合は専用クライアントソフトが必要
- 【IPSec VPN】
-
- ■ネットワーク層で実装される
- ■上位のプロトコルに依存しない
- ■HTTPやFTPなどのアプリケーションを変更する必要がない
- ■独自開発したクライアントサーバシステムにも利用可能
接続形態が異なる
SSL-VPNは、元々ウェブブラウザからサーバにSSL通信できるように開発されたため、外部からのリモートアクセスに向いています。
一方IPSec VPNは、組織間をつなぐプライベートネットワークとして開発されました。リモートアクセスにも活用できますが、ユーザー認証方法・NAPTの仕様・接続先情報の取得方法などに問題があり、実用的ではありません。
SSL-VPNなら外部からのリモートアクセス、IPSec VPNなら組織間アクセスという使い分けができます。
SSL-VPNを利用するメリットは?
SSL-VPNを利用するメリットをご紹介します。
コストを抑えられる
SSL-VPNは、他のリモートアクセスより導入コストが抑えられます。ウェブブラウザに実装されているSSLを利用するため、専用ソフトウェアの購入が必要ありません。初期設定などの手間もかからず、導入するときの負担を大幅に抑えられます。
SSLに対応していないアプリケーションを利用する場合は、専用のソフトウェアも必要です。しかし、特別な環境設定などは必要ありません。
利用者ごとにアクセス制御が可能
SSL-VPNなら、利用者ごとに細かなアクセス制御ができます。例えば、「アプリケーションAにはAさんのみ」「アプリケーションBにはBさんのみ」といった設定が可能です。一方、IPSec VPNは幅広いアプリケーションに対応できる代わりに、細かなアクセス制御ができません。
SSL-VPNの特徴を理解し導入を検討しましょう!
SSL-VPNは、重要なデータを安全に送受信できる暗号化技術を用いたプライベートネットワークです。コストを抑えた運用ができ、細かなアクセス制御も可能です。
3種類の接続方式があり、それぞれVPN装置によってSSL化されます。IPSec VPNとは、「セッション層で実装されること」「プロトコルに依存する点」などが異なります。
それぞれの特徴をおさえて自社に合うものを検討しましょう。
