第10回 仮想的に専用線環境を実現するVPNの常識：知ってるつもり？「セキュリティの常識」を再確認（5/5 ページ）

[宮崎輝樹（三井物産セキュアディレクション），ITmedia]

　数年前から登場してきたSSL-VPNは、名前の通りSSLを使用して実現するVPNであり、リモートアクセスやエクストラネットの構築に特化した方式である。

　SSL-VPNは、標準化された技術ではなく、各ベンダーによって独自に実装された技術で、既存のSSLや各種のプロキシー技術を組み合わせて、リモートアクセスを実現している。ほとんどの製品では、Webのリバースプロキシの技術を利用することで、ブラウザのみで社内のWebサーバへアクセスが可能となっている。また、POP3やSMTPといった良く利用されるプロトコルをSSL-VPN装置においてSSL化と中継を行って、社外からPOP3 over SSL、SMTP over SSLで社内のメールサーバへアクセスできるような製品もある。また、Java AppletやActiveXを利用して、VPNクライアントエージェントを自動的にダウンロード・実行させ、各種のTCPアプリを中継するような製品もある（図8）。

図8■SSL-VPNの仕組み

　SSL-VPNの大きな特徴は、クライアントレスでリモートアクセスが実現できることであろう。クライアントPCに事前にインストールや設定を行う必要がないため（必要な製品もある）、導入や運用が非常に簡単である。また、SSL-VPNはゲートウェイとして実装されているため、ユーザーやサーバ、サーバのURLなどによって非常にきめ細かなアクセスコントロールが実現できるのも大きな特徴といえる。そのため、社内に設置したWebサーバのみへのアクセスをSSL-VPNを通じて特定の顧客に提供することで、簡単かつ安全にエクストラネットを構築できる。

　反面、SSL-VPNでは、IP層よりも上の層（主にTCP/UDP層）においてカプセル化を行っていることが多いため、対応しているプロトコルが限定されるという欠点がある。例えば、UDPや動的にポート番号が変わるようなアプリケーション、サーバ側からクライアント側へセッションを張るようなアプリケーションには対応していない場合が多い。ただし、主要なSSL-VPNベンダーは、機能や利便性をどんどん拡張しており、ほとんどのTCP/UDPアプリに対応したものや、IP層でトネリングすることで、IP層以上のあらゆるアプリケーションに対応したものもある。

　また、最近ではリモートアクセスするクライアントのセキュリティをチェックする「EPS（End Point Security）」といった機能が追加されているものもある。これを利用することにより、リモートアクセスを行うクライアントの環境に応じて、アクセスコントロールを変化させたり、ログイン前にリモートアクセスを行うクライアントPC上のセキュリティ設定をチェックし、ポリシーに適合しないクライアントは接続させない、といった検疫ネットワークの機能も実現できている。

　このように一言で「SSL-VPN」と称しても、製品によって実現できる機能が大きく異なり、制約も多い。従って、SSL-VPN機器を選択する場合には、必要な機能を実現できるかどうか、前もって確認することが重要だといえる。

---

　VPN技術／サービスに関して、それぞれの機能や特徴と、向いている用途について説明してきた。今回紹介した以外にもVPN技術／サービスはあるが、その他のものについては、別記事を参照して頂きたい。本記事がVPN構築の際の参考になれば幸いである。