【トレンド解説】

入門者向けVPNエントリモデル、SSL-VPN
〜SSL-VPNのふるまいをレイヤから知る〜

鈴木淳也
2003/7/25

社員が家から会社のネットワークに入ったり、関連企業のネットワークにつないだりして、安全に作業をさせるためのテクノロジ、VPN（バーチャル・プライベート・ネットワーク）。このところ、ユーザークライアント側での設定が不要というSSL-VPNが注目を集めている。今回は、SSL-VPNの仕組みと使い方を解説する。

　インータネットの普及とともに広がったインターネットVPN（Virtual Private Network）の市場だが、製品も成熟してきており、さらなる普及に向けた第2フェイズに入ったといえるだろう。昨今ではMPLS-VPNのテクノロジにも注目が集まり、VPNならびにセキュリティ関連の話題はネットワーク分野における主要トピックとなりつつある。

　今回は、その流れの中で登場してきた「SSL-VPN」というテクノロジに注目し、その仕組みを見極め、ネットワーク・システムにおいてどのようなソリューションを提供するかを検証してみよう。

■インターネットVPNの仕組み

　従来までのインターネットVPNでは、PPTPやL2TPといったレイヤ2レベル、あるいはIPSecのようなレイヤ3レベル（IP層）での暗号化通信を実現する、いわゆるトンネリング・プロトコルを使ったセキュアな2点間接続を実現していた。特に最近ではIPSecを使った製品が市場の中心を占め、多くの企業がIPSecによるインターネットVPNを構築している。

図1　IPSecによるインターネットVPNの仕組み

　図1は、IPSecによるインターネットVPNの構築例だ。企業とインターネットの接続部分には、VPNゲートウェイと呼ばれる製品が配置され、外部とのVPN接続を実現している。VPNゲートウェイは専用のアプライアンスやソフトウェアのインストールされた専用サーバのこともあるが、ファイアウォールやルータなどと兼用になっている場合も多い。このVPNゲートウェイと接続される外部の機器は、接続相手となる企業や営業所のVPNゲートウェイであったり、あるいは社内システムに接続してくる社員の自宅のPCやノートPCなど、リモート端末の場合もある。

　一度VPN接続が確立されれば、後は社内の定められたリソースに自在にアクセスすることが可能だ。接続先ユーザーによりアクセスが許可されるリソースは決められているものの、社内の情報システムにメールサーバ、データベース、ファイルサーバ、果てはプリンタまで、あたかも実際に社内にいるかのように、あらゆる種類のリソースにアクセスできるのが大きな特徴だ。しかも、両者間の通信はIPSecを使って秘匿性が保たれている。

　このように、非常に自由度が高いIPSec方式のインターネットVPNだが、欠点もある。その1つが、導入の難しさと設定の煩雑さだ。まず、リモート接続を行うユーザーが会社のVPNゲートウェイに対してアクセスする場合、当該のVPNゲートウェイに接続するための専用のソフトウェアの導入が必要となる。このインストレーションの手間以外では、設定面など接続の確立に関するトラブルがある。VPNに関して、「○○の拠点とVPNが確立できない」という接続関連のトラブルはよく聞く。

　低コストで安全な通信を実現すると、インターネット・ブームに乗って普及の進んだインターネットVPNだが、製品の成熟の進んだいまも、依然この問題を抱えたままだ。

■シンプルさが売り物のSSL-VPN

　この中で最近登場した「SSL-VPN」と呼ばれる技術は、その名のとおり2点間接続における暗号化技術にSSL（Secure Sockets Layer）を使用している。SSLのベースは旧ネットスケープ社がWebブラウザにおけるHTTP通信を暗号化するために開発したものだが、実際にはメールなどをはじめとして、各種Webアプリケーションの暗号化技術として広く利用されている。

　SSLはセッション層というレイヤ5に属するプロトコルで、TCP/IPの上位層に位置する。このため、TCP/IP通信が確立されている場所であれば、簡単に暗号化通信を実現できるのが特徴だ。特に、HTTPなどの特定プロトコルのみの通過を許可するファイアウォールやNATを介した通信などで威力を発揮する。この点が、ファイアウォールやNATを透過しての通信が難しいIPSecと異なる。

図2　SSL-VPNの仕組み

　図2は、SSL-VPNの仕組みだ。SSL-VPNでは、SSL-VPNゲートウェイと呼ばれる装置を、主にDMZの部分に配置する。DMZには、企業システム内部からの通信のゲートウェイとなるプロキシ・サーバのほか、外部公開向けのサーバが配置されているが、ここにSSL-VPNゲートウェイを配置して、外部からのSSL-VPN接続要求を処理することになる。外部のクライアントは、このSSL-VPNゲートウェイを介して内部のWebサーバで提供されるアプリケーションやメールサーバなどにアクセスする。基本的に、外部からは直接システム内部に対してアクセスすることはできないため、このような形でDMZを介した通信になっているものと思われる。

　SSL-VPN最大の特徴は、専用のクライアント・ソフトウェアを必要とせず、標準的なWebブラウザさえあれば、だれでも簡単にSSL-VPNを利用できることである。接続の確立に関しても、特定のIPにアクセスするだけという非常にシンプルなものなので、導入が容易な以外にも、「外出先からちょっとアクセス」といった用途にも使うことができる。

■SSL-VPNはIPSec-VPNを補完するソリューション

　導入の容易さが最大の特徴のSSL-VPNだが、もちろん難点もある。SSLとHTTPのコンビネーションが基本的なベースとなっているため、Webシステム以外の社内リソースにアクセスするためには、SSL-VPNゲートウェイ側で各種のデータや通信を変換する仕組みが必要となる。もしWebシステム以外を利用しようと思ったら、使い勝手が落ちる以外に、このゲートウェイ部分で大きなボトルネックとなる可能性もある。

　だが、DMZに配置してすぐにVPNシステムを簡易に構築できる点は、非常に魅力的だ。Webブラウザ＋SSLアクセスという、クライアント側に要求されるシンプルな組み合わせも、現在ではほとんどのクライアント端末が採用している構成だ。すでにWebシステムで社内リソースにアクセスできるような仕組みを用意している企業であれば、すぐにでも広く展開できる仕組みが提供されるのは、非常にありがたい。

---

　現在、VPN機器やソフトウェアを販売する各社は、SSL-VPN拡大のためのプロモーションに力を注いでいる。画期的なソリューションという形でやや誇張された言い回しも見受けられるが、IPSecによるインターネットVPNの市場を大きく塗り替えるものではないと考える。個人的意見としては、IPSecがいままでリーチできなかった市場に対して、それを補完するソリューションとしてSSL-VPNが存在すると思う。

　IPSecではかゆいところに手の届かなかった、「Lightweight（軽量な仕組み）なソリューションを求めていて、これからVPNを広く利用していきたいと考えていたVPN入門者的なエントリ・ユーザー」という市場にうまくマッチするのではないだろうか。すでにIPSecを導入していても、もっとリモートから気軽にアクセスできる仕組みを求めている企業ユーザーであったり、これから試しにVPNを利用してみようというユーザーである。これらのユーザーを取り込むことで、最終的にVPN全体の市場をさらに広げるものになるというアイデアである。

関連記事

【連載】不正アクセスを防止する通信技術（SSL／TLS） インターネットVPN環境を構築する（Windows Server Insider） 管理者のためのインターネットVPNの接続環境とその機能（Security&Trust） 【連載】最適インフラビルダーからの提言（1） 専用線からVPNへの移行、あなたは自社の選択に自信がもてますか？ 【書評】VPNの最新ソリューションを学ぼう！

「Master of IP Network総合インデックス」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）