SSL VPNは「二要素認証を利用すべし」とソニックウォール

IPsec方式に比べて導入・運用が容易なSSL VPNだが、二要素認証を利用してユーザー確認を強化することが望ましいとソニックウォールが指摘している。

[ITmedia]

　セキュリティアプライアンスベンダーのソニックウォールは、SSL VPNを利用したリモートアクセスについて、ユーザー確認での二要素認証の利用を呼び掛けている。セキュリティ強化の必要性が理由だという。

　SSL VPN方式のリモートアクセスは、大企業を中心に普及しているIPsec VPN方式に比べて、クライアント側は標準的なWebブラウザで利用できるほか、ネットワーク側ではルータやファイアウォールに対する特別な設定を行う手間が少ないため、特に中堅や中小企業での関心が高まりつつある。

　SSL VPNで社内リソースへアクセスする際には、固定のID・パスワードで認証を行うのが一般的だ。しかし同社によれば、固定のID・パスワードだけを使う一要素認証は、第三者に知られた場合に簡単になりすましができてしまうため、不正アクセスにつながるリスクが高い。Webブラウザでアクセスできるという利便性からも、認証レベルを高めることがSSL VPNにおけるセキュリティ対策のポイントになる。

　二要素認証では、固定のID・パスワードに加えて一時的なパスワードを異なる経路でユーザーに通知するワンタイムパスワード（OTP）や、デバイスIDなどのハードウェア固有情報などを併用する。また、固定パスワードとは別に事前に指定した数字や文字列、図柄を組み合わせを併用する場合もある。

OTPの設定画面

　ソニックウォールは、自社製品による二要素認証機能として電子メールでOTPを通知する方法を提供。システムエンジニアの澁谷寿夫氏は、「例えば携帯電話のアドレスを指定する。携帯電話はユーザー本人が持っているものであり、身近なツールでも認証レベルを高められる」と説明する。

　SSL VPN装置の中には、二要素認証以外にOSやセキュリティ対策ソフトの更新状況を検査して、ポリシーに準拠しないクライアントからの接続をブロックできるものもある。これにより、マルウェア感染のリスクが高いクライアントの接続から社内ネットワークを保護できるものの、製品コストが高いという側面もある。

　澁谷氏は、「セキュリティ対策からも二要素認証との同時利用が望ましいが、利用形態に応じて使い分けるのが現実的だ」といい、IPsec VPNも含めてリモートアクセス環境の整備を勧めている。

　在宅勤務やプロジェクトで一時的に外部からリモートアクセスを許可する場合には、SSL VPNを利用する。拠点間接続やユーザーの接続形態に大きな変更がない場合にはIPsec VPNを継続するといったイメージだ。また、SSL VPNはWebブラウザを使うことから、使用できるアプリケーションは、ActiveXなどを含めてWebベースのものに制約される場合が多い。SSHやFTP、Telnetなど特殊なアプリケーションを使用する場合には、IPsec VPNの方が望ましい場合もある（同社ではこれらのプロトコルに対応する拡張ソフトも提供）。

　同社によれば、SSL VPNは新型インフルエンザによるパンデミック騒動をきっかけに、ここ数カ月で企業からの問い合わせが増加している。澁谷氏は、「それぞれの手段で強化すべきセキュリティ対策を把握した上で適切な環境を導入していただきたい」とアドバイスしている。

過去のセキュリティニュース一覧はこちら

関連ホワイトペーパー

VPN | SSL | 認証