リモートアクセスや拠点間通信の安全性を高めるVPNのプロトコルには、IPsecとSSLという2つの主要な仕組みがある。両者の違いを詳しく見ていこう。
通信の安全性を確保する方法として、VPN(仮想プライベートネットワーク)は広く普及している。主要なVPNの暗号化プロトコルとして「IPsec」と「SSL」(Secure Sockets Layer)がある。どちらのVPNを導入するかを検討する際、企業はそれぞれの特徴を考慮する必要がある。
IPsecを用いたVPN(以下、IPsec-VPN)とSSLを用いたVPN(以下、SSL-VPN)の長所と短所、仕組みなどを解説する。
IPsec-VPNとSSL-VPNの違いは以下の通りだ。
IPsec-VPNはOSI参照モデルのレイヤー3(ネットワーク層)で動作する。IPsec-VPNを利用しているエンドユーザーは特別な操作をせずに社内のシステムやファイルにアクセスできるため、保護されたプライベートネットワークに直接接続しているように感じるだろう。実際には、通信時にIP(インターネットプロトコル)アドレスを含むパケットを暗号化し、伝送している。OSやアプリケーション側からは、IPsec-VPNの通信は通常のIPネットワーク接続と何ら変わらないように扱われる。
SSL-VPNはレイヤー4(トランスポート層)から上のレイヤーで動作して、アプリケーション層(レイヤー7)の特定リソースへのアクセスを保護することを目的とすることが一般的だ。
クライアントデバイスのWebブラウザやアプリケーションに組み込まれたSSL-VPN機能が、ゲートウェイ装置までのトラフィックを暗号化して保護し、アクセス先のリソースに安全に接続できる。ただし、トンネル化機能を搭載したSSL-VPN製品もある。このタイプでは、クライアントに仮想的なIPアドレスを割り当て、IPパケットをSSL/TLSトンネルでカプセル化して伝送するため、IPsec-VPNと同様にクライアントデバイスが社内ネットワークの一部として機能する。
一部のVPNは、トンネリングプロトコルを使って、下位層で動作するものもある。例えば、異なる拠点にある機器間をあたかも同一のイーサネットケーブルで接続されているかのように見せたい場合などだ。イーサネットはレイヤー2(データリンク層)でデータを交換する。このような場合、以下のようなトンネリングプロトコルを利用できる。
L2TPをIPsecと組み合わせた「L2TP/IPsec」方式のVPNも存在する。SSL-VPNは基本的にレイヤー4以上の層で動作するが、トンネリングプロトコルを利用してレイヤー3のサイト間VPNに利用できる製品も存在する。
IPsec-VPNは、遠隔地のクライアントデバイスと社内ネットワークの境界に位置するVPNのゲートウェイ装置の間で、もしくは複数のプライベートネットワークの境界に設置されたゲートウェイ装置同士で交換されるIPパケットを暗号化する。
IPSec-VPNで拠点間VPNを利用したい場合、各拠点に設置されたVPNのゲートウェイ装置が「IPsec」トンネルを確立し、それぞれのLAN間を相互接続する。これにより、異なる拠点にあるネットワーク機器同士が、あたかも同一の広域IPネットワーク上にあるかのように通信できる。
リモートアクセスVPNの場合は、遠隔地のクライアントデバイスに専用クライアントソフトウェアまたはOS標準機能を使用して、VPNのゲートウェイ装置との間に暗号化された通信トンネルを確立し社内ネットワークに接続する。
長所は遠隔地のクライアントデバイス、もしくは拠点が宛先となる社内ネットワークに直接接続できることだ。これにより、クライアントデバイス、もしくはLANの任意のPCが、宛先となる社内ネットワークにアクセスできる。
例えば、エンドユーザーはファットクライアントを使用して自社の業務アプリケーションに遠隔地から接続できる。IPsec-VPNはネットワーク層で動作するため、特定のアプリケーションやプロトコルに依存せず、IPベースで通信するほぼ全てのアプリケーションを利用でき、複数のアプリケーションを同時に、連携させつつ使用可能だ。
短所としては、ネットワーク層(レイヤー3)で動作するため、特定のファイルやURLへのアクセスのみを許可するなど、SSL-VPNのようなアプリケーション層(レイヤー7)でのきめ細かいアクセス制御が難しい。
この短所は脅威にもなる。一度クライアントデバイスを乗っ取られるなどしてIPsec-VPNで攻撃者が社内ネットワークに侵入した場合、横展開して脅威が広がる恐れがある。これを防ぐためには全ての通信を信頼しない「ゼロトラストセキュリティ」に基づいたセキュリティ対策が必要になる。
IT部門はIPsec-VPNを導入する前に、次の3つの特徴を理解しておく必要がある。
IPsec-VPNには2種類のIPアドレスがある。インターネットなどの外部ネットワーク上でのIPアドレスである「外部IPアドレス」と、VPNトンネルを通過した後の通信で使われる社内ネットワーク用「内部IPアドレス」だ。IT部門は「DHCP」(Dynamic Host Configuration Protocol)などIPアドレスの割り当ての仕組みを利用して、クライアントデバイスに割り当てる内部IPアドレスの範囲を定義し、管理する必要がある。
VPNを通じて入ってくるトラフィックは社内ネットワークにとっては外部からのアクセスの一形態と見なせる。そのため、外部と内部の境界にファイアウォールなどのセキュリティシステムが存在する場合は明示的にVPNの通信を許可する必要がある。
IPsec-VPNは基本的に、セキュリティ機能として「セレクター」を実装できる 。これはトラフィックを分析して、正しい通信を許可して不審な通信をブロックする仕組みだ。送信元IPアドレスや宛先IPアドレス、ポート番号に応じて調整する。
だが、組織はこのセレクターの機能を活用せず、IPsec-VPNを利用して社内ネットワークにアクセスするデバイスに対して社内ネットワーク全域へのアクセスを許可する傾向にある。IPアドレスの変更、新しいアプリケーションの導入、ユーザーアクセス権の変更といったイベントに応じて運用を調整するのは容易ではない。セレクターを設定、管理するには時間がかかり、アクセス管理ツールが必要になる。
例えば、「拠点Aの人事部門が操作するHR(人事)用アプリケーションは、データセンターのサブネットBにあるサーバにアクセスできる」というルールを設定する。この場合、セレクターだけでなく、ユーザーアカウントやサブネット、サーバの設定も変更しなければならない。サービスやユーザーアカウント、デバイスが変更するたびにその設定を共有する必要もある。
IPsec-VPNのゲートウェイをネットワークに追加すると、外部から社内ネットワークにエンドユーザーがアクセスする場合にまずVPNのゲートウェイ装置を経由する。IT部門は既存のネットワーク構成を考慮しつつ、VPN経由の通信とそれ以外の通信がそれぞれ適切な経路を通るように、ルーターやファイアウォール、ゲートウェイのルーティング設定を慎重に設計し、設定管理する必要がある。
SSL-VPNは、クライアントデバイスのWebブラウザやアプリケーションを使い、VPNのゲートウェイ装置を介して宛先となるネットワークのリソースに接続する。接続を保護する暗号化方式にはTLSを利用する。基本的にはクライアントデバイス側への事前のクライアント証明書のインストールは必要ない。ただし、認証を強固にするためにクライアント証明書を利用する構成も存在する。
SSL-VPNが向いているユースケースは次の通りだ。
SSL-VPNはアプリケーション層の近くで動作するため、きめ細かな制御できることが長所だ。IPSec-VPNなどレイヤー3の技術ではIPアドレスレベルの制御になるが、SSL-VPNはアプリケーションのコンポーネント単位でアクセスを制御できる。具体的には以下の要素に基づいて、エンドユーザーやグループ単位でアクセスを制御できる。
IPsec-VPNと共通する課題だが、SSL-VPNは公開鍵と秘密鍵による非対称暗号化をサポートしている。よって量子コンピューティングを悪用した暗号解読への耐性が低い。量子コンピュータの実用化に備えて、「ポスト量子暗号」(PQC:Post-Quantum Cryptography)アルゴリズムへのサポートが期待される。
SSL-VPNは通信内容をアプリケーションレベルで詳細に解析して、接続を中継する。この仕組みはきめ細かいアクセス制御を可能にする反面、VPNのゲートウェイ装置にかかる処理負荷が高くなる傾向がある。
SSL-VPNにより、企業はエンドユーザーごと、アプリケーションごとに、きめ細かなアクセス制御ポリシーを比較的容易に実装できる。従来アプリケーションサーバ側で個別に実装していた認証やアクセス制御機能の一部を、VPNのゲートウェイ装置にオフロード(移し替えること)することも可能だ。ゲートウェイ装置からアクセス制御することで、アプリケーション本体への直接的な攻撃リスクの低減につながる。
SSL-VPNのアクセス制御ポリシーは、設定漏れを防ぐため、管理しやすい状態を維持することが重要だ。そのためには、企業全体の情報セキュリティポリシーやアクセスポリシー(誰がどの情報にアクセスできるべきかといったルール)を明文化して、それをVPNの設定に正確に反映させる必要がある。
新しいSSL-VPNを導入する場合、最新バージョンのTLSを利用できる製品を選ぶ必要がある。古いバージョンの場合、暗号鍵のクラッキング(不正に解読する行為)や偽造に対してより脆弱(ぜいじゃく)だ。
次回はIPsec-VPNとSSL-VPNのどちらを選ぶべきか、導入前の注意点を解説する。
米国Informa TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
