こんにちは。スプラッシュトップ編集部です。
テレワークや安全な拠点間通信の実現のためにVPNについて調べている、もしくは導入している企業も多いのではないでしょうか?
VPNにはさまざまな種類があります。この記事では、VPNのプロトコルの1つであるSSL-VPNとは何かわかりやすく解説します。SSL-VPNの接続方式やIPsec-VPNとの違い、VPN利用時に注意すべきセキュリティリスクも併せて紹介していきます。
SSL-VPNとは
まず、VPN(Virtual Private Network)とは、ネットワーク上に引かれた仮想の専用回線のことを指します。SSL-VPNを知るには、VPNとは何かを理解しておく必要があります。VPNについて詳しく知りたい方はこちらの記事をご覧ください。
SSL-VPNとは、暗号化の際にWeb上で用いられるSSL(Secure Sockets Layer)技術を利用したVPNプロトコルです。導入する際は社内ネットワークのゲートウェイに専用のSSL-VPN機器を設置します。
SSL-VPNはWebブラウザに標準搭載されているSSL技術を用いるため、専用ソフトのインストールの必要がなく、簡単に設定できることが特徴です。
その代わり、基本的にはWebブラウザに対応しているアプリケーションにしか利用できません。ただし、Webブラウザに対応していないアプリケーションが利用できる接続方式も存在します。
SSL-VPNの3つの接続方式とは
SSL-VPNには3つの接続方式があり、それぞれ特徴が異なります。どのような接続方式なのか解説します。
1.リバースプロキシ方式
リバースプロキシ方式は、外部のネットワークから社内ネットワークへアクセスするための接続方式です。指定されたhttps://~で始まるURLにWebブラウザ経由でアクセスすると、SSL-VPN機器がアクセス元の認証を行い、許可されると社内ネットワークにつながります。
Webブラウザで構築されるため、ユーザーは専用ソフトをインストールする必要がありません。しかし、Webブラウザに対応していないアプリケーション(メールサーバなど)は利用できないという課題があります。
2.ポートフォワーディング方式
Webブラウザに対応していないアプリケーションが利用できない、というリバースプロキシ方式の課題を解決するために考えられたのが、ポートフォワーディング方式です。
ポートフォワーディング方式は、クライアント側にActiveXやJavaアプレットなどの通信用のモジュール(プログラムの塊)をインストールし、そのモジュールと社内にあるSSL-VPN機器との間でSSL通信を確立する仕組みになっています。
SSL-VPN機器には、事前に社内ネットワークで利用するサーバーやポート番号が設定されているため、通信中にポート番号が変化するようなアプリケーションは利用できません。
3.L2フォワーディング方式
すべてのアプリケーションの利用を可能にしたのが、L2フォワーディング方式です。
L2フォワーディング方式は、クライアント側にSSL-VPNクライアントソフトをインストールし、SSL-VPNクライアントソフトとSSL-VPN機器との間でSSL通信を確立します。
SSL-VPNクライアントソフトにある仮想NICにVPN接続用のIPアドレスが付与されるため、ポートフォワーディング方式では対応できない、ポート番号が変化するアプリケーションでも利用が可能となります。
VPNプロトコルの種類とは
プロトコルとは通信規約のことであり、VPNプロトコルはVPNを構成する規約・技術を表すものです。SSL-VPNはVPNプロトコルの1つです。
VPNを利用する際には、どのようなVPNプロトコルが利用されているかを理解することで、安全なVPNかどうかを判断できるようになります。
以下では、簡単にSSL-VPN以外でよく利用されるVPNプロトコルについて紹介します。
1.IPsec-VPN
IPsec-VPNは暗号化技術を用いて通信内容を暗号化し、改ざんの検知などが行えるプロトコルです。専用ソフトの導入が必要ですが、安全性が高い点が特徴となります。
2.L2TP
L2TPは仮想トンネルを構築するためのプロトコルです。単体では通信の暗号化が行うことができないため、IPsec-VPNと組み合わせて利用されることが多いです。
3.PPTP
PPTPはL2TPと同じく仮想トンネルを構築するプロトコルです。Windowsとの相性が良く、VPNが登場した当初から利用されてきたプロトコルです。手軽に導入できるメリットがありますが、セキュリティ面に不安があるため現在ではあまり利用されていません。
4.IKEv2
IKEv2は暗号化されたデータを解除する共通キーを交換するためのプロトコルです。IPsecと組み合わせて利用されます。速度の早さが強みで、L2TPやPPTPよりも高速なVPNプロトコルだと言われています。
SSL-VPNとIPsec-VPNとの違い
SSL-VPNとIPsec-VPNは、どちらもデータを暗号化するために利用されるため混同されがちですが、大きくプロトコル階層、開発目的に違いがあります。
プロトコル階層の違い
プロトコル階層とは、コンピュータネットワークに必要な通信機能を下記の7つの階層に分けて定義したものです。
7層 アプリケーション層
6層 プレゼンテーション層
5層 セッション層
4層 トランスポート層
3層 ネットワーク層
2層 データリング層
1層 物理層
SSL-VPNはセッション層で実装される技術です。セッション層には通信や接続の開始から終了までの手順を担うプロトコルが分類されます。
IPsec-VPNはネットワーク層で実装される技術です。ネットワーク層にはインターネットでの通信を主な役割としたプロトコルが分類されます。
開発目的の違い
SSL-VPNとIPsec-VPNはそもそもの開発目的が違うことから、それぞれに向いている利用環境も異なります。
SSL-VPNはWebブラウザからサーバーにSSL通信が行えることを目的に開発されており、不特定の外部から社内ネットワークにアクセスすることに向いています。
IPsec-VPNは拠点同士をつなぐ目的のために開発されており、本社と支社といった特定の拠点間の通信でよく活用されます。
VPNのセキュリティリスク
これまでVPNを実現するためのプロトコルであるSSL-VPNについて説明してきましたが、最後にVPN利用全般で注意すべきセキュリティリスクについて簡単に触れておきます。
VPN機器の脆弱性による情報漏えいのリスク
VPNを導入するにはゲートウェイに専用のVPN機器を設置しますが、このVPN機器自体に存在する脆弱性を考慮する必要があります。
実際に、VPNを利用してセキュリティ事故につながった事例の多くは、VPN機器の脆弱性を放置していたことが原因です。
VPN機器に関する脆弱性は、多くの場合JPCERT/CCなどのセキュリティ機関から注意喚起されています。複数のSSL-VPN製品で見つかった脆弱性など、深刻な影響がある脆弱性について緊急の情報が発信されています。
VPN機器のアップデート対応を疎かにしないよう注意しましょう。
クライアント端末のマルウェア感染と拡大によるリスク
VPN利用時は、不特定の外部からテレワークするすべての端末のマルウェア対策や情報漏えい対策も考慮しなければなりません。
VPNは社外から社内ネットワークに接続する際の通信経路のため、VPNを利用するクライアント端末がマルウェアに感染してしまうと、社内ネットワークにも感染が広がる恐れがあります。また、端末に残った業務に関するデータを不正取得されてしまうことも考えられます。
VPN機器とあわせて、クライアント端末の管理も怠らないようにする必要があります。
VPNのセキュリティリスクについて詳しくは以下の記事をご確認ください。
まとめ
SSL-VPNはSSL技術を利用したVPNプロトコルです。SSL技術はWebブラウザに標準搭載されているため、専用ソフトのインストールが必要なく、簡単に設定できます。接続方式は、リバースプロキシ方式、ポートフォワーディング方式、L2フォワーディング方式の3つがあります。
SSL-VPN以外でよく利用されるVPNプロトコルには、IPsec-VPN、L2TP、PPTP、IKEv2があります。IPsec-VPNはSSL-VPNと混同されがちですが、大きくプロトコル階層、開発目的が異なります。
SSL-VPNを含むVPNはテレワークを実現する代表的な手段として知られていますが、いくつかのセキュリティリスクも存在します。テレワーク環境を構築する際は、導入の容易さや製品の知名度だけにとらわれず、セキュリティ対策にもしっかりと目を向けて最適な手段を選択するようにしましょう。
