Webブラウザなどで利用するSSL(Secure Sockets Layer)を使って社外から社内サーバーへの安全なアクセスを実現する「SSL-VPN装置」が増えてきた。最大の特徴はクライアントに専用ソフトが不要なこと。導入や運用が容易なので,リモート・アクセスだけでなくエクストラネットの構築にも適する。

表1●国内で販売されているSSL-VPN装置の例
 SSL-VPN装置は以前から国内で提供されていたが,テクマトリックスが今年2月,ノーテルネットワークスが4月に新製品を出荷開始し,ここにきて選択肢が一気に増えた(表1[拡大表示])。

 最大の特徴は,クライアントに専用ソフトが不要なこと。IPsec(IP security protocol)などを利用したリモート・アクセスの場合,クライアントに専用ソフトをインストールする必要があるため,導入や運用管理に手間がかかる問題があった。これに対し,SSL-VPNではWebブラウザが使える環境があれば,どこからでも社内のサーバーに接続できる。

 仕組みは単純で,DMZ(De-Militarized Zone)に設置したSSL-VPN装置が社内に対するプロキシのように動作して社外からの通信を中継する。ただし,そのまま中継するとセキュリティが問題となるので,一度装置でユーザー認証を実施し,許可したサーバーへのアクセスのみを通す。

クライアントレスは用途が限定

図1●SSL-VPNで社外から社内のサーバーにアクセスする形態
クライアントレスで接続できるのは,Webアプリケーションとファイル共有だけ。それ以外のアプリケーションはJavaアプレットや専用ソフトを使う必要がある

 ベンダー各社は専用ソフトが不要なことを“クライアントレス”と称しているが,それは特定用途に限られる。アプリケーションの種類によって,(1)Webブラウザで直接アクセス,(2)Javaアプレット経由でアクセス,(3)専用ソフトを使ってアクセス――の3つの接続形態があり,クライアントレスは(1)になる(図1[拡大表示])。

 すべてのアプリケーションを(1)で利用できればよいのだが,POP3やSMTP,telnetなどを使うアプリケーションからWebブラウザのSSL機能を利用することはできない。そこで考えられたのが,(2)の方法である。

 (2)は,SSL-VPN装置からダウンロードしたJavaアプレットがサーバーの代わりとなってクライアントの通信を受け取り,SSLでカプセル化してSSL-VPN装置に渡す。この部分は製品によって実装が異なり,米Neoterisの場合はHTTPSトンネル(ポート番号は443),米Aventailや加Nortel Networksの場合はSSL over Socks(同1080だが,変更可能)を使う。

 Javaアプレットなのでインストールは不要だが,サーバーへの通信をJavaアプレット経由にするため,クライアント・アプリケーションの設定変更が必要になる。例えば“mail_server”というメール・サーバーに接続する場合,メール・ソフトのサーバーの設定を,Javaアプレットあてを意味する127.0.0.1やlocalhostなどに変更しなければならない。ポート番号を変更しなければならない製品もある。

 Neoterisの場合はダウンロードしたJavaアプレットがクライアントのhostsファイルを一時的に書き換えることでこうした手間を省いている。前述の例であれば,mail_serverのIPアドレスが127.0.0.1であるという情報を一時的にhostsファイルに登録する。

 (2)を使っても,利用できるアプリケーションには限界がある。クライアントのプロキシのように動作してSSL-VPN装置との間でSSLのトンネルを構築するので,TCPのポートを複数使ったり,TCPとUDPを併用したりするアプリケーションは利用できない。そこで,IPsecと同じように専用ソフトを用意したのが(3)である。AventailとNortel Networksが(3)を提供している。

大規模になるほど効果大

図2●SSL-VPNとIPsecの比較
SSL-VPNは初期コストが高いが,(3)や(4)の特徴を考えると,大規模でのリモート・アクセスやエクストラネットの構築に適する。これに対してIPsecは小規模でのリモート・アクセスやお互いに信頼したネットワーク間の接続が中心になる

 SSL-VPNを導入する上で問題となるのが初期コストである。いずれの製品も最低数百万円と高い。これに対してIPsecのVPN装置は,Nortel Networksの製品を例に挙げると,50ユーザーまでの「Contivity 600」で55万2000円,500ユーザーまでの「Contivity 1700」で196万円。SSL-VPN製品の半額以下である。

 こうした価格差を差し引いてもメリットを期待できるのは,IPsecクライアントの導入や運用管理にコストがかかる大規模環境でのリモート・アクセスと,セキュリティ面で細かいアクセス制御が重要になるエクストラネット,の2つである(図2[拡大表示])。

 IPsecでリモート・アクセス環境を構築すると,ユーザー数に比例してインストールや管理の負荷が高くなる。SSL-VPNを使えば,こうした運用コストを削減できる。初期コストは高いが,大規模になればなるほど運用コスト低下のメリットが大きくなる。

 SSL-VPNの場合,IPsecでは難しい細かいアクセス制御も容易に実現できる。IPsecでエクストラネットを構築すると,接続相手が自社のネットワークにフルにアクセスできてしまう。これに対してSSL-VPNでは,アクセスできるアプリケーションやサーバーの種類を,ユーザーやグループごとに簡単に制限できる。IPsecで同じことを実現するのも不可能ではないが,かなりの手間とコストがかかる。

(榊原 康=sakakiba@nikkeibp.co.jp)