多様化する「SSL-VPN」の実現方式と選定ポイント
Windowsファイル共有やIP電話に対応可能な方式も登場リモート・アクセスの手法として広く普及したSSL-VPN。当初はアクセスできる対象がWebアプリケーションに限られていたが、現在はその実現方式が多様化し、アクセス対象が広がっている。ただし、それぞれの方式に特徴があり、導入を考える際には自社のニーズに最適なものを見極めることが必要だ。本稿では、SSL-VPNの各方式と製品選定のポイントについて解説する。
インターネットVPNの2つの利用形態
インターネット上に特定のユーザーに限定した通信路を確保するインターネットVPNの利用形態には、LAN同士を接続する「LAN間接続VPN」と、クライアントPCが外部からLANに接続する「リモート・アクセスVPN」の2つがある。前者は、専用線サービスに対する安価な代替手段、後者は、ISDNやアナログ電話回線を用いたリモート・アクセスの安価で高速な代替手段と位置づけられる。
VPNを構築する際には、LAN間接続では拠点ごと、リモート・アクセスでは接続先の拠点にVPNゲートウェイを設置するのが一般的だ。また、どちらの利用形態であっても、インターネットをバックボーンとする以上、通信途中でのデータ盗聴や改竄に対する防止策が必要になる。
本稿で取り上げるSSL-VPNは、リモート・アクセスVPNとして、近年人気を集めているインターネットVPNの構築手法である。通信のセキュリティを守るために、暗号化プロトコルのSSL(Secure Socket Layer)を利用することが、この名称の由来である。
Web上に「トンネル」を構築するVPNプロトコル
インターネットVPNとしては、SSL-VPNが登場する以前から、IPsec、L2TP、PPTPといった、いわゆるVPNプロトコルを用いる手法が利用されてきた。SSL-VPNの特徴を明らかにするために、まずは、これらのVPNプロトコルによるインターネットVPNについて見ていこう。
上記3つのVPNプロトコルのうち、企業利用においては、IPsecまたはL2TPが広く利用されている。PPTPは手軽に利用できる反面、暗号強度などの面で見劣りするためだ。また、L2TPは単独では暗号化機能を有していないため、一般的にはIPsecの暗号化機能と組み合わせて使われている(この組み合わせは、L2TP over IPsecと呼ばれる)。
これらのVPNプロトコルに共通の特徴は、IPパケットのカプセル化によるトンネリングを行うという点である(図1)。カプセル化とは、通信対象のIPパケットに暗号化や改竄検出機能を適用して、別のIPパケットで包み込むことだ。送信側のVPNゲートウェイでIPパケットをカプセル化し、受信側のVPNゲートウェイがそこから通信対象のIPパケットを取り出すことで、インターネット上にLANとLANとをつなぐ専用「トンネル」のような通信路を作り出す。
この場合、カプセル化の対象はIPパケットである。つまり、暗号化の処理はIPが属するネットワーク層で行われる。そのため、より上位のレイヤへの影響が無く、利用できるプロトコルの制約が少ない。VPNプロトコルのこうした特徴から、IPsec-VPNやL2TP-VPNでは、通信先のLAN内とほぼ同様の形で各種アプリケーションやファイル共有などを利用することができる。この点が、カプセル化によるインターネットVPNの大きなメリットだと言える。
リモート・アクセスを苦手とするIPsec/L2TP
一方で、カプセル化に起因する問題もある。以下では、IPsecやL2TPなどを用いたカプセル化によるインターネットVPNが抱える問題点を示す。
■NATやIPマスカレードとの相性
まず、NAT(Network Address Translation)やIPマスカレードといったアドレス変換機能との相性が悪いことが挙げられる。カプセル化したIPパケットが、これらのアドレス変換機能を備えたルータを通過する際に、ヘッダに含まれるアドレス情報が書き換えられ、そのパケットがルータを通過できないことがある。自社の管理下にあるLAN内では、ルータの設定でこうした事態を回避できることが多いが、リモート・アクセスを行う場合は、そうした対応は難しいだろう。
■固定IPアドレスが必要となる
VPNプロトコルの多くで、固定IPアドレスが必要になる。この点もまた、リモート・アクセスVPNで問題になりやすい。社員個人が自宅で固定IPアドレスを確保している例は少ないし、外出先で携帯電話やPHS、公衆無線LANサービスなどを使ってVPN接続を行う場合は、固定IPアドレスの確保は実質的に不可能である。
■IPsecの設定が複雑
IPsecについては、設定が複雑だという問題がある。これは、IPsecの仕様が柔軟で、暗号化アルゴリズムや一方向ハッシュ関数の種類などを自由に選択できることに起因している。仕様の自由度の高さが裏目に出ているのだ。特にリモート・アクセスVPNの場合は、クライアントPCごとに設定が必要になり、管理者の負担が大きい。
また、IPsec仕様の柔軟性によって、異なるベンダーのSSL-VPNゲートウェイ間で互換性もある。
これらの点は、主として、リモート・アクセス用途におけるクライアントにかかわる問題であると言え、LAN間接続VPNでは大きな問題にはならないだろう。企業の拠点であれば固定IPアドレスの確保は容易であり、VPNゲートウェイを1社の製品で統一することも難しくない。IPsecの設定も、SSL-VPNゲートウェイに対して行えばよい。
しかし、リモート・アクセスVPNとして利用するためには、これらの問題を回避しなければならない。その回避策はIPSec-VPNやL2TP-VPNを使う場合でも存在するが、SSL-VPNのほうが、より容易にリモート・アクセスを行うことができる。SSL-VPNが、注目を浴びるようになったのは、このような理由である。
