PR

 暗号通信にSSL(セキュア・ソケット・レイヤー)を使い、VPN(実質的な専用線網)を構築する技術。盗み見の危険性が高いインターネットでの通信に利用する。

 SSLは、やり取りするデータを暗号化することにより、安全に通信できるようにする技術。Webサイトを閲覧する際に利用するHTTP(ハイパーテキスト転送プロトコル)と組み合わせ、HTTPS(HTTP over SSL)として広く利用されている。2003年になってSSL-VPN製品が相次いで登場。SSL-VPN構築ソフトウエア製品を搭載したサーバーかSSL-VPN専用機器を、企業LANとインターネットの間に設置して利用する。導入が容易であることから、利用企業が増えている。

 SSL-VPNと同様にインターネットVPNを構築する技術のうち、これまで最も多く利用されているのはIPsec(IPセキュリティ)である。暗号鍵の交換プロトコルや、暗号化アルゴリズムなどの技術によって安全な通信を実現する。

 ただ、IPsecにはいくつかの欠点がある。まず、OSであるWindowsがIPsecの機能を標準では備えていない。そのため、専用のソフトウエアを導入するか、IPsecの機能を持つ専用機器を用意しなくてはならない。企業にとって、遠方にある拠点をIPsecに対応させる作業や運用が大きな負担になる。

 もう一つの欠点は、NAT(ネットワーク・アドレス変換)と相性が悪いこと。グローバルIPアドレスに限りがあるため、多くの企業がNATを利用している。しかし、IPsecとNATを併用すると、通信できないことがある。NATがアドレス変換時に参照する通信ヘッダーを、IPsecが書き換えてしまうからである。

 SSL-VPNには、IPsecが持つ欠点がない。SSL-VPNに必要なSSL通信機能は、Webブラウザの機能を利用する。ほとんどのOSが標準で備えており、特別なソフトウエアを導入する必要がない。また、IPsecのようにパケットの通信ヘッダーを書き換えることもなく、NATと併用しても通信に支障はない。

 ただSSL-VPNを使うと、そのままではメールやグループウエア、ファイル共有といったアプリケーションを利用できなくなる。WebブラウザのSSL機能が、Webサイトの閲覧にしか利用できないからだ。

 そこで、多くのSSL-VPN製品は、Web以外のアプリケーションの通信プロトコルをいったんHTTPS(HT TP over SSL)に変換する、JavaやActiveXモジュールを用意した。SSL-VPNの通信開始時に自動的にクライアント・パソコンに送り込む。これにより、メールやグループウエアなどが利用できるようになった。

 HTTPSに変換することによって、ファイアウォールのルール変更が最小限ですむメリットも得られる。ファイアウォールの通信ポート443番の通信を許可するだけで、さまざまなアプリケーションを利用できるようになる。

(福田)