【連載】
プロアクティブ・セキュリティ──見えない敵に先手を打つ

第7回 VPN（1）IPsec-VPNとSSL-VPNの違いを知る

（2005年08月22日）

　VPN（Virtual Private Network）とは、インターネットなどのオープンなネットワーク上で、安全な通信を可能にする仮想的なプライベート・ネットワークである。本連載では、3回にわたり、VPNについて解説していく。その第1回目となる今回は、VPN技術の種類や利用形態について説明する。

内藤正規
ネットワンシステムズ

VPNのコア技術「IPsecとSSL」

　VPNは元来、インターネットのような公衆回線を介した通信において、専用線と同等の安全性を確保することを目的としたセキュリティ技術であり、IPによる通信にさえ対応していれば、接続環境は問われない。とはいえ、VPN製品が市場に出回りだした当初は、セキュリティを高めるための手段ではなく、専用線の代替手段として注目を集めていた。というのも、セキュリティの向上よりも、専用線をVPNに置き換えることで得られるコスト効果のほうが、市場に対する訴求力としては大きかったからである。

　VPNを実現する技術はいくつかあるが、その中で主流と言えるのはIPsecだろう。また、近年、SSLベースのVPN製品もリリースされ、注目を集めている。そこで、まずは、これら2つの技術の機能や特徴について説明する。

1. IPsec　
　IPsecは、IPパケットを安全に通信相手となるマシンに搬送するセキュリティ・プロトコルである。当初、同プロトコルは拡張性と汎用性に欠けていた。その例として、リモート・アクセスVPNやLAN間VPN（詳しくは後述）において、接続元のマシンのIPアドレスが動的に変化することが考慮されていなかったり、通信を行うマシンの認証機能は備えるが、ユーザーの認証はRADIUSやLDAPといった技術を利用しなければならなかったりしたことが挙げられる。しかしながら、IPsecは、IETF（Internet Engineering Task Force）で標準化された技術であること、また、数学的に保証された暗号強度と、LANよりも強力な通信の秘匿性を備えていたことなどにより、セキュリティ技術として確固たる地位を確立した。

　なお、ベンダー各社は、上述したようなIPsecに内在する拡張性と汎用性に関する課題を実装で補うことで、IPsecをベースとするVPN製品の機能向上を図っている。

2. SSL
　SSLはそもそも、サーバとWebブラウザとの間で送受されるデータを暗号化したり、通信相手を認証したりするための技術である。これまでもSSLは暗号化通信などに利用されていたが、それほどメジャーな技術ではなかった。しかし、SSLを利用したVPN製品が2002年辺りからリリースされ始めたことで、SSLの知名度は急上昇した。そして、昨年後半から現在にかけて、SSLベースのVPN製品市場は一気に成長した。

IPsec-VPNとSSL-VPNの違い

　IPsecによるVPN（以下、IPsec-VPN）と、SSLによるVPN（以下、SSL-VPN）は、VPNを実現する技術という意味では同類だが、原理的にはまったく異なる。具体的には、IPsec-VPNでは専用のクライアント・ソフトウェアを用意する必要があるのに対して、SSL-VPNでは、クライアント・ソフトを別途用意する必要がない（詳しくは後述する）。

　SSL-VPNではHTTPS（注1）を用いて暗号化や認証を行うため、クライアントとなるデバイスにはHTTPSに対応した多機能なWebブラウザを用意すればよい。SSL-VPN製品によっては、PCだけではなく、HTTPSに対応したWebブラウザを装備したPDAなどでも、VPNを利用できる可能性がある。こうした特徴を備えるSSL-VPNは、ユビキタスというキーワードの浸透とともに、「どこからでも使えるVPN」といった触れ込みで利用が広がっている。

　IPsec-VPNとSSL-VPNは、進化の方向も異なっていくと予想される。IPsec-VPNが専用クライアント・ソフトの機能強化により、（利用環境は限定されるものの）「多機能さ」へ向かっていくのに対して、HTTPSによるWebベースの業務システムとIPsec-VPNの中間に位置づけられるSSL-VPNは、安全性とユビキタスのバランスが取られた技術として発展していくものと考えられる（図1）。

図1：SSL-VPNの位置づけ