特集
» 2005年04月11日 19時06分 公開

知ってるつもり?「セキュリティの常識」を再確認:第10回 仮想的に専用線環境を実現するVPNの常識 (5/5)

[宮崎輝樹(三井物産セキュアディレクション),ITmedia]
前のページへ 1|2|3|4|5       

 数年前から登場してきたSSL-VPNは、名前の通りSSLを使用して実現するVPNであり、リモートアクセスやエクストラネットの構築に特化した方式である。

 SSL-VPNは、標準化された技術ではなく、各ベンダーによって独自に実装された技術で、既存のSSLや各種のプロキシー技術を組み合わせて、リモートアクセスを実現している。ほとんどの製品では、Webのリバースプロキシの技術を利用することで、ブラウザのみで社内のWebサーバへアクセスが可能となっている。また、POP3やSMTPといった良く利用されるプロトコルをSSL-VPN装置においてSSL化と中継を行って、社外からPOP3 over SSL、SMTP over SSLで社内のメールサーバへアクセスできるような製品もある。また、Java AppletやActiveXを利用して、VPNクライアントエージェントを自動的にダウンロード・実行させ、各種のTCPアプリを中継するような製品もある(図8)。

図8 図8■SSL-VPNの仕組み

 SSL-VPNの大きな特徴は、クライアントレスでリモートアクセスが実現できることであろう。クライアントPCに事前にインストールや設定を行う必要がないため(必要な製品もある)、導入や運用が非常に簡単である。また、SSL-VPNはゲートウェイとして実装されているため、ユーザーやサーバ、サーバのURLなどによって非常にきめ細かなアクセスコントロールが実現できるのも大きな特徴といえる。そのため、社内に設置したWebサーバのみへのアクセスをSSL-VPNを通じて特定の顧客に提供することで、簡単かつ安全にエクストラネットを構築できる。

 反面、SSL-VPNでは、IP層よりも上の層(主にTCP/UDP層)においてカプセル化を行っていることが多いため、対応しているプロトコルが限定されるという欠点がある。例えば、UDPや動的にポート番号が変わるようなアプリケーション、サーバ側からクライアント側へセッションを張るようなアプリケーションには対応していない場合が多い。ただし、主要なSSL-VPNベンダーは、機能や利便性をどんどん拡張しており、ほとんどのTCP/UDPアプリに対応したものや、IP層でトネリングすることで、IP層以上のあらゆるアプリケーションに対応したものもある。

 また、最近ではリモートアクセスするクライアントのセキュリティをチェックする「EPS(End Point Security)」といった機能が追加されているものもある。これを利用することにより、リモートアクセスを行うクライアントの環境に応じて、アクセスコントロールを変化させたり、ログイン前にリモートアクセスを行うクライアントPC上のセキュリティ設定をチェックし、ポリシーに適合しないクライアントは接続させない、といった検疫ネットワークの機能も実現できている。

 このように一言で「SSL-VPN」と称しても、製品によって実現できる機能が大きく異なり、制約も多い。従って、SSL-VPN機器を選択する場合には、必要な機能を実現できるかどうか、前もって確認することが重要だといえる。


 VPN技術/サービスに関して、それぞれの機能や特徴と、向いている用途について説明してきた。今回紹介した以外にもVPN技術/サービスはあるが、その他のものについては、別記事を参照して頂きたい。本記事がVPN構築の際の参考になれば幸いである。

前のページへ 1|2|3|4|5       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -