前回の記事では,「SSL-VPN」の概要と具体的な利用手順などについて解説した。今回の記事では,SSL-VPNの特徴を説明したい。他のリモート・アクセス方法と比較すると,「ユーザーが理解しやすい」「コストを抑えられる」「アクセス制御を細かく設定できる」——といった特徴があるといえるだろう。
特徴は3種類
リモート・アクセスの手段は複数存在するが,現在メジャーなのは「RAS」と「IPSec VPN」である。RASは電話回線や専用線を使用することでセキュリティを確保するリモート・アクセス方式。
IPSec VPNは,IPSec(Security Architecture for Internet Protocol)と呼ばれるプロトコル(規格)を使ったVPN。OSI参照モデルのネットワーク層に当たる「IP」層においてデータの暗号化や認証を実施する。VPNを構築する点ではSSL-VPNと同じだが,SSL-VPNで利用するSSL(Secure Sockets Layer)は,トランスポート層に当たるTCP層で暗号化および認証を実施する。
これらのリモート・アクセス方法と比較すると,SSL-VPNには以下のような特徴があると筆者は考える。
特徴1:ユーザーが理解しやすい
前回の記事にも書いたように,SSLはある程度普及しているので,プロトコルの概要や使用目的,基本的な使い方などについて知られているというメリットがある。つまり,ユーザーがSSL-VPNを理解しやすい。管理者からすれば,ユーザーにSSL-VPNを説明しやすいので,啓蒙などにかかるコストを抑えられるだろう。
また,専用のソフトウエアなどを必要としないので,そういったものの使い方を教える必要やサポート体制を用意する必要がない。
特徴2:コストを抑えられる
他のリモート・アクセスに比べれば,導入コストを比較的抑えられることもSSL-VPNの特徴の一つである。
前回の記事に書いたように,クライアント・マシンでは,SSL-VPN を使うために必要なソフトはWebブラウザだけである。このため,専用ソフトを購入する必要がないことはもちろん,インストールや設定変更の手間がかからない。この特徴は,クライアント・マシンの台数が多い環境では重要である。
一方,RAS や IPSec VPN の場合には,事前にクライアント・マシンに専用ソフトをインストールしたり,設定変更などを行ったりする必要がある。
また,SSL-VPNではインターネットを利用するので,専用線や電話回線などを使用する必要がないので,回線費用を抑えられる。もっとも,回線費用を抑えられることは,SSL-VPNに限らずVPN全般の特徴である。
特徴3:アクセス制御を細かく設定できる
アクセス制御を細かく設定しやすいことも,SSL-VPNの特徴である。他のリモート・アクセス方法に比べて,ユーザーごとにアクセスを許可するアプリケーションをきめ細かく設定することが容易である。
例えば,「A さんは Web アプリケーション A のみリモートアクセス可能,B さんは Web アプリケーションA と C にリモートアクセス可能」といった設定が容易である。
一方,IPSec VPN はネットワーク層でVPNを実現している。つまり,より低い層で暗号化の「トンネル」を作る。このため,社内LANとクライアント・マシン間で接続を確立すれば,どのようなアプリケーションにもアクセスできる場合が多い。ユーザーごと,アプリケーションごとにアクセス制御を施すことが難しい。ユーザーとしてはIPSec VPNのほうが便利かもしれないが,管理者の観点からはSSL-VPNのほうがアクセス制御に優れているといえるだろう。
前回および今回ではSSL-VPNの概要や特徴を簡単に解説した。これらをきっかけにSSL-VPN に関する理解が進めば幸いである。
井上 秀 (INOUE Hiizu)
NECソフト株式会社 プラットフォームシステム事業部
Linux システム G
IT Pro Securityが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。
