死角はないのか？リモート・アクセスの新定番「SSL-VPN」

松原敦

2003.11.12

　今年の頭に日本市場に上陸した，リモート・アクセスの新技術「SSL-VPN」が着実に根付き始めている。導入企業が登場し始め，サービスとしてもNTTコミュニケーションズ，パワードコムといった大手が提供を始めた。しかも既に使い始めているユーザーからは問題点を指摘する声がほとんどない。絶賛と言ってもいいくらいの状態だ。そこで，今日はSSL-VPNがどうしてそんなに受けているのか，死角はないのかを検討してみよう。

　SSL-VPNとは，Webブラウザのセキュリティ保護に使われているSSL（Secure Sockets Layer）を，企業が従業員などによるリモート・アクセスに使おうというものだ。クライアント側は普通のWebブラウザだけで済むのが特徴だ。Javaアプレットなどを使い，Web以外のアプリケーションの通信にも利用できる。

従来のリモート・アクセス手段は2つ

　従来，リモート・アクセスの手段は大きく2種類あった。1つは企業がモデムを用意し，ユーザーがダイヤルアップでつなぐ形式のもの。もう1つはインターネット上に暗号化を施した安全な通信路（VPN：Virtual Private Network）を作り，それを通じて社内LANにアクセスするもの。「インターネットVPN」と言う。

　前者のダイヤルアップによるリモート・アクセスは傍受される危険が少ないが，モデムや電話回線にかかる費用や，ダイヤルアップの電話代が問題になる。また，ISDNを使っても速度は高々128kビット/秒。LANにアクセスする速度としては物足りない。そもそも自宅からアクセスする場合，既にブロードバンドの回線を使っていてダイヤルアップは用意していないというケースも少なからずあるだろう。こういった状況を考えるとダイヤルアップはやや時代遅れになりつつあると言える。

　代わって伸びているのがインターネットVPN。暗号化の技術には，Windowsに標準で備わっている「PPTP（Point-to-Point Tunneling Protocol）」などいくつかあるが，業界標準と言っていいのが「IPsec（IP Security Protocol）」である。IETF（Internet Engineering Task Force）で標準化している。特にインターネットVPNのもう1つの（というか本来の）用途である企業の拠点間の接続ではIPsecが圧倒的に強い。

IPsecの利用は相当やっかい

　ただ，このIPsecはなかなかやっかいものでもある。IPsecの認証機能はかなり複雑だが，単に複雑なだけでなくてオプションが数限りなくある。例えば固定IPアドレスからの認証と動的なアドレスからの認証では別の手順になる。こういったことからIPsecはサーバー側とクライアント側で同じ機能を用意していないと接続できない。つまりベンダー間の相互接続性は低いのである。企業がリモート・アクセスに使う場合，ユーザーに専用のソフトを配布する必要がある。ソフトの設定も面倒なものが多いという。

　クライアント側のパソコンがブロードバンド・ルーターの内側にあると，さらに問題が増える。IPsecはIPパケットのヘッダ部分を大きく拡張しているため，ルーターのアドレス変換機能（NATやIPマスカレード，NAPTという）と相性が悪いのだ。IPsecトンネリング・モードやNATトラバーサルといった機能を持つルーターでないといけない。しかも，家庭のルーターは従業員が個人で購入したものだから，機種はさまざまだ。

　こういった様々な面倒なことを，各ユーザーに周知して設定してもらうことを考えると，システム部にとっては大きな負担になる。ルーターが対応できないときは，ルーターを買い換えてもらうのか？　それとも会社が対応ルーターを貸与するのか？といった問題もあるだろう。

そこで登場したSSL-VPN

　そこで登場したSSL-VPNであるが，前述のように暗号方式はSSLを利用する。設定は特にいらない。クライアントとサーバー間の通信はHTTPのSSL通信と同じポート443を使うのでクライアント側でのルーターの設定は不要である。ソフトの配布と設定というIPsecの悩みの種を解決してくれるのだ。

　Web以外のアプリケーションのサポートは多少面倒。前述のようにSSL-VPNのサーバー側でJavaアプレットやActiveXコントロールなどを用意し，それを媒介としてサーバーとやり取りする。対応しているアプリケーションに制限があったり，クライアント側のアプリケーションやOSの設定を多少変えなければいけなかったりする場合もある。この辺りがSSL-VPNの一番の弱点と言えそうだが，この半年くらいで随分改善されたと聞く。

業界の動きは急

　SSLを使ってWebメールなど社内の公開サーバーにアクセスするものは以前からあった。それが改めてSSL-VPNとしてクローズアップされたのは，2002年ころからSSL通信を高速化し，社内のサーバーへのゲートウエイとして動作するようなSSL-VPNの専用装置（アプライアンス）が続々登場したから。前述のようなWeb以外のアプリケーションのサポートや様々な認証機能との連携，サーバーへのアクセス制御などの機能も備える。

　米Aventailなど以前から，同様の製品を出しているベンダーはあったが，「SSL-VPN」という製品分野として確立したのは2001年。2003年10月にはファイアウォールで知られるNetScreenが有力ベンダーのNeoterisを買収して話題になった。このほか夏から秋にかけて，アンチウイルス・ソフトで有名なSymantecがSafeWeb（関連記事），ロード・バランサなどのF5 NetworksがuRoamと相次いで買収があり，この分野における業界内の関心の高まりが分かる。

登場したサービスや事例

　これらの機器が日本に入ってきたのは2003年の春ころ。約半年で実際にサービスを始めたり，ユーザーの声が聞こえてくるようになった。

　サービスとして始めたのはNTTコミュニケーションズ（NTTコム）とパワードコムの2社。NTTコムはデータ・センターに装置を設置。データ・センター・ユーザーのリモート・アクセス手段として提供する。パワードコムは企業に装置を設置・管理するサービスを提供する。データ・センターでのホスティングも行う。事前に1カ月半営業したところ約20社から引き合いがあったという。

　ユーザーとして使い始めたのは古河電気工業。IPsec製品を販売している同社であるが，それでもユーザーへのソフトの配布や設定のサポートでは随分悩まされていた。そこでNeoterisのSSL-VPN機器を導入したところ，トラブルがほとんどなくなったという。IPsec時代は約3年で300ユーザーだったのが，SSL-VPNに変えてからは宣伝もしていないのに口コミで広がり，半年で550人も使うようになった。

　現在はまだ検討中だというN社はダイヤルアップからの置き換えを狙う。BlasterやNimdaのようなワームの侵入対策になるのではないかと期待しているという。SSL-VPNではSSL-VPNサーバーがサポートするアプリケーション（プロトコル）だけしか通信を通さない。このため例えば，TFTP（Trivial File Transfer Protocol）を使って広がるBlasterやNimdaをくい止めることができる。ダイヤルアップやインターネットVPNでは，基本的にIP通信はなんでも通すので，ファイアウォールを置かないと，こうしたワームを遮断できない。

エクストラネットで使う例も

　SSL-VPNの用途としてはイントラネット（社内LAN）へのリモート・アクセスのほかにエクストラネットもある。SSL-VPN機器がLAN内のサーバーへのアクセスを制御できるため，特定のサーバーだけのアクセス許可が可能になる。これはIPsecと比べた大きな利点だ。実際Aventailは以前はエクストラネット向け製品として販売しており，日本でも三洋電機の流通を担当する三洋セールス＆マーケティングが2001年に導入している。

　これは三洋電機の製品を販売する電器店が在庫確認や発注に使うもの。以前はダイヤルアップとファクシミリだったが，やはりインターネット経由にしたいという要望が多く，導入したという。公開Webサーバーにすることも検討したが，システムの変更が大変であり，イントラネットのサーバーを置いたまま利用できるSSL-VPNを使うことになった。ダイヤルアップのユーザーが1000店だったのに，こちらは2年で2000店以上と好調だ。

SSL-VPNに死角はないのか

　ではSSL-VPNに問題はないのだろうか。

　1つにはIP電話や動画通信といった最近企業内で増えている用途にどこまで対応できるか，今のところ検証されていない。IPsecではすでにビデオ会議やIP電話に使っている例もあり，一歩遅れている。

　IPベースのアプリケーションは何でも使えるというIPsecの自由度が欲しいユーザーも，もちろんいるだろう。SSL-VPNでは100％すべてのアプリケーションが動くわけではないし，すべてのサーバーにアクセスできるわけでもない。

　認証の部分も進歩が必要だろう。IPsecは面倒だが確実な認証手段を用意している。SSL-VPNの場合，標準で用意しているのは単純なユーザーIDとパスワードによる認証が普通。なりすましの危険がないとは言えない。ほかの認証手段と組み合わせて使えばいいし，実際導入企業はそうしている^（注1）のだが，導入を検討する際には，考慮しなくてはいけないことが1つ増える。SSL-VPN自体がもっと強力な認証を持ち，ワンストップで導入できるようにならないと，利用は案外広がらないかもしれない。