自宅やインターネット・カフェから,安全で手軽にリモート・アクセスしたい---。そんな要望に応える製品がSSL-VPNゲートウエイだ。リモート・アクセスするパソコンにあらかじめソフトウエアをインストールしておかなくても使えるのが魅力。利用できるアプリケーションが拡大し,ウイルスや情報漏えいなどへの対策も充実してきた。
SSL(エスエスエル)-VPN(ブイピーエヌ)ゲートウエイは,インターネット上のパソコンから企業内のネットワークに安全にアクセスするためのゲートウエイ製品である(図1[拡大表示])。インターネットと社内ネットワークの境界に設置し,遠隔地からインターネット経由でアクセスしてくるパソコンの通信を中継する。SSL-VPNゲートウエイには,ハードウエア製品と,パソコンにインストールしてゲートウエイに仕立て上げるソフトウエア製品がある(表1[拡大表示])。
この記事では,まずSSL-VPNの概要と製品トレンドをチェックし,別のVPN技術であるIPsec(アイピーセック)*との違いを見ていく。そのうえで,操作方法や最近の製品が備える機能を説明する。
ソフトなしでリモート・アクセス
SSL-VPNは,Webアクセスで広く使われているSSL*を利用するリモート・アクセス技術。リモート・アクセスするパソコンは,SSLの認証や暗号化のしくみを活用してSSL-VPNゲートウエイへ安全にアクセスし,アクセス先のSSL-VPNゲートウエイが社内のサーバーなどへ通信を中継する。
インターネット経由のリモート・アクセスに使える技術は,SSL-VPNのほかにIPsecもある。IPsecも,リモート・アクセスするパソコンとゲートウエイの間を暗号化するのは同じだ。
ただし,二つの技術には,決定的な違いがある。IPsecではリモート・アクセスするパソコンにクライアント・ソフトをインストールしておく必要があるのに対し,SSL-VPNを使うときにはパソコンにソフトをあらかじめインストールしておく必要がない。
一方SSL-VPNは,パソコンのWebブラウザからアクセスするのが基本。Webブラウザを備えていれば,どんなパソコンでも,どこからでも社内のサーバーにアクセスできる。
用途を拡大してセキュリティを強化
SSL-VPNは元々,使えるアプリケーションがWebアクセスに限定されていた。それが2003年ころから,Web以外のアプリケーションも自由に使えるようになってきた(図2[拡大表示])。Webアクセスを単純に中継するだけの製品から,どんなアプリケーションでも利用できるように機能を拡張している。
さらに,セキュリティ面の強化も着実に進んでいる。
SSL-VPNは,インターネット・カフェなどにあるパソコンからでも社内ネットに接続できる。そのため,たまたま使ったパソコンがウイルスに感染している可能性もゼロではない。また,アクセスした後にデータがパソコンに残ってしまい,そこから情報が漏れる危険性もある。
そこで最近のSSL-VPNゲートウエイ製品は,アクセスしてくるパソコンのセキュリティ状態をチェックしたり,情報漏えいを防ぐ機能を充実させている(同(2))。こうしたセキュリティ機能によって,セキュリティが保証できないパソコンからでも安心してリモート・アクセスできるようになっている。
また,SSL-VPN本来の強みであるインストールが不要なことを生かした機能拡張もある。パソコンからだけでなく,携帯電話機からでも社内ネットにリモート・アクセスできるようになりつつあるのだ(同(3))。ブラウザを内蔵する携帯電話機を持ち歩いていれば,それだけで,いつでもどこからでも社内ネットにリモート・アクセスできるようになる。
IPsecとはファイアウォール越えで差
SSL-VPNゲートウエイ製品に触れる前にIPsecとの違いを押さえておこう。今まで見てきたように,SSL-VPNによるリモート・アクセスは,利用できるアプリケーションやセキュリティ対策では,IPsecによるリモート・アクセスに見劣りしないレベルに達している。携帯電話機からのアクセスはIPsecではまねができない。それ以外にも違いがある(図3[拡大表示])。
記事の冒頭でも触れたように,SSL-VPNとIPsecによるリモート・アクセスとの最大の違いは,リモート・アクセスするパソコンにソフトをインストールしておく必要がないことだ。IPsecと違い,利用できるパソコンが制限されない。
SSL-VPNとIPsec-VPNにはもう一つ大きな違いがある。アクセスする場所の制限の有無である。IPsecには制限があるが,SSL-VPNには制限がない。
SSL-VPNは,パソコンがSSLでWebアクセスできる環境なら,どこからでもアクセスできる。Web以外のアプリケーションを使うときも,SSLでWebサーバーにアクセスするのと同じTCPのポート番号*を使うため,ファイアウォールやブロードバンド(BB)ルーターからは見分けがつかない。
一方のIPsecは,ファイアウォールやBBルーターからはWebアクセスとは異なるプロトコルに見える。ファイアウォールやBBルーターが,利用できるアプリケーションをWebに制限している環境では,IPsecは使えない。
小規模だと価格は高い
ここまではいいことだらけのように見えるSSL-VPNだが,IPsecによるリモート・アクセスに比べて見劣りする点もある。それは,価格と運用のしやすさである。
まずは価格。SSL-VPNゲートウエイ製品は最低でも50万円前後する。例えば10ユーザーの小さなネットワークでは,ユーザー当たりの価格は5万円を超えるわけだ。逆に,ユーザー数が増えれば価格は割安になり,ユーザー単価が5000円を切ることも珍しくない。
一方IPsecは,ゲートウエイと10ユーザーのクライアント・ソフトが込みの製品で20万円程度から購入できる*。ただしユーザーごとにクライアント・ソフトのライセンスが必要なため,ユーザー数が増えてもユーザー当たりの価格はそれほど下がらず,1万円前後でほぼ一定になる。
SSL-VPNがIPsecに見劣りするもう一つのポイントは,ゲートウエイの設定や運用の手間だ。SSL-VPNゲートウエイには,必ずサーバー証明書をインストールしなければならない*。また,アクセスしてくるユーザーのために,アプリケーションを選ばせるメニューを作り込む必要がある。
一方,IPsecは証明書を取得しなくてもよい。すべてのアプリケーションを通すなら設定もさほど難しくない*。
| < | 目次 | 次回へ | > |
