VPNを使うなら「IPsec」と「SSL」のどちらを選ぶべき？：本当に安全なVPNとは【第4回】

セキュアな通信を実現するVPN技術において、プロトコルの選択は重要だ。代表的なVPNプロトコルであるIPsecとSSLのどちらを選べばいいのか。

[John Burke，TechTarget]

　暗号化プロトコルに「IPsec」を用いたVPN（仮想プライベートネットワーク）である「IPsec-VPN」と、「SSL」（Secure Sockets Layer）を用いたVPNである「SSL-VPN」がある。両者は仕組みが異なり、長所や短所も違う。企業はどのように選び、使い分ければいいのか。

「IPsec-VPN」と「SSL-VPN」のどちらを選ぶべきか

併せて読みたいお薦め記事

連載：本当に安全なVPNとは

• 第1回：いまさら聞けないVPNの「IPsec」と「SSL」とは何か？
• 第2回：いまさら聞けない「リモートアクセスVPN」と「拠点間VPN」の違い
• 第3回：「IPsec-VPN」と「SSL-VPN」の違いは？　仕組みからデメリットまで徹底解説

VPNは時代遅れなのか

• 「VPN」が危険な理由と「ZTNA」移行の利点は？　IAMの主要トレンドまとめ
• 「VPN」をやめて「SDP」や「SASE」に移行すべき4つの条件

　企業がVPNでアプリケーションごとやエンドユーザーごとのアクセス制御を必要とする場合は、まずSSL-VPNを検討すべきだ。クライアントデバイスへの証明書のインストールが難しい場合、もしくはクライアントデバイスで標準的なWebブラウザ経由で社内リソースにアクセスできれば十分な場合も、SSL-VPNを検討すべきだ。

　一方、遠隔地のエンドユーザーに社内ネットワーク全体への幅広いアクセスを提供したい場合は、まずIPsec-VPNが適している可能性がある。Webブラウザではなく、特定のアプリケーションで利用したい場合は特にそうだ。

　実際には、片方だけを選ぶ必要はない。両者を併用している組織も珍しくない。それぞれのVPNのセキュリティにおける特性が異なるからだ。とはいえ、VPN製品の購入、テスト、インストール、管理にはコストがかかるので、併用が現実的でない場合もある。

　どのような選択であっても、既存の社内認証基盤やアクセス制御の仕組みと密接に統合して、全ての通信を信頼しない「ゼロトラストセキュリティ」の考え方を取り入れることが求められる。

VPNのテスト方法

　他のセキュリティ製品と同様、VPN製品も導入前と後でテストが必要となる。確認すべき主な対象は次の通りだ。

• VPN用インフラ
  • VPNのゲートウェイ装置やクライアントソフトウェア、関連するクラウドサービスなどVPN構成要素自体のテストが必要だ。
• VPN導入による既存システムへの影響
• VPN製品の攻撃への耐性
  • VPN製品の脆弱（ぜいじゃく）性や設定不備を突いた攻撃への防御機能を検証する。VPN自体が攻撃を受けることもある。
• 暗号化プロトコル
  • VPN製品が強力な、最新の暗号化プロトコルを実装していることを確認する。
  • SSLの暗号化ライブラリ「OpenSSL」の拡張機能「Heartbeat」に存在した脆弱性を悪用した攻撃が過去に猛威を振るった。品質管理や定期的なパッチ適用がVPNのセキュリティには不可欠だ。
• エンドユーザー
  • エンドユーザーがVPNの機能を理解し安全に使用できるのか、起こり得る攻撃について理解しているのか、導入したVPN製品は悪意のある内部の関係者からの攻撃に耐えられるのかを確認する。

TechTarget発　先取りITトレンド

米国Informa TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。