PR

 2003年ごろからリモート・アクセスの新しい手段として注目されている「SSL-VPN」。クライアント・ソフトを必要としないため,例えば出張先のホテルのパソコンなどからも手軽に社内サーバーなどにアクセスして,オフィスにいるときと同じように仕事をすることができる。ユビキタス・コンピューティング環境を実現できる手段の一つとして,メディアにも頻繁に取り上げられている。

 実際に導入して活用している企業/組織は少なくないだろう。ただ,メディアなどに取り上げられている割には,予想ほどは導入が進んでおらず,市場も大きくなっていないようだ。その原因の一つが,ユーザーや管理者のSSL-VPNに対する理解不足があると筆者は考える。「SSL-VPN」というキーワードを聞いたことがあっても,一体どのようなものなのか,理解していない方は少なくないだろう。

 そこで本稿では,SSL-VPNについて簡単におさらいをしたいと思う。

文字通り「SSLを使ったVPN」

 SSL-VPN とは,文字通り「SSL」を用いて「VPN」を構築することを指す。SSL (Secure Sockets Layer) については,Internet Explorerといった一般的なWebブラウザが標準で実装しているため,ほとんどの方がご存じだろう。

 SSLとはトランスポート層で暗号化や認証といったセキュリティを確保するためのプロトコルである。Webブラウザを利用して,クレジットカード番号といった重要な情報を安全にやりとりするために考案された。しかしながら,WebブラウザとWebサーバー間の通信であるHTTP(Hypertext Transfer Protocol)以外のプロトコル——例えば,SMTP(Simple Mail Transfer Protocol)やFTP(File Transfer Protocol)など——にも適用できる。

 VPN とは,Virtual Private Network の略。文字通り「仮想的」に「専用ネットワーク」を構築することである。

 通常,専用ネットワークを構築するには,拠点間を専用線で結び,ユーザーを物理的に限定してセキュリティを確保する。だが,この方法では専用線を利用するためにコストが比較的高くなる。そこでVPNでは,暗号化したデータを拠点間でやり取りすることで,専用線の代わりにインターネットなどの公衆回線を使ってもセキュリティを確保できるようにしている。この暗号化にSSLを利用するのがSSL-VPNである。

一般的な利用イメージ

 SSL-VPNを実現するための製品/ソリューションが多数市場に出ているが,どの製品/ソリューションでも,一般的な利用手順は以下のようになる。

 1. クライアント・マシンでWebブラウザを起動

 SSL-VPNでリモート・アクセスしようとするユーザーは,まずはWebブラウザを起動することになる。ブラウザに実装されたSSL機能を使用するためだ。ほとんどすべてのマシンにブラウザはあらかじめインストールされているので,専用ソフトをインストールする必要はない。つまり,Webブラウザを起動できる環境さえ用意できればSSL-VPNを利用できるのである。

 2. SSL-VPN システムのURLを指定

 次に,Web ブラウザから SSL-VPN サービスを提供している「入口(ゲートウエイ)」にアクセスする。この操作は,あらかじめ知らされているSSL-VPNゲートウエイのURLをブラウザのアドレス・バーに入力するだけなので,通常のWeb アクセスを行う場合と何ら変わりはない。

 3. SSL-VPN システムのユーザー認証

 SSL-VPN システム(のWebサーバー)にアクセスした後は,ユーザー認証を行う。ID/パスワードによる認証方式やワンタイム・パスワードを使った認証方式を利用する場合が多い。このとき注意しなければいけないのは,ユーザー認証をしっかりと実施する必要があるということ。SSL-VPNシステムの「入口」までは,URLさえ知っていれば誰でもアクセスできるからだ。ユーザー認証がずさんだと,機密情報の社外漏えいなどが発生する原因となりかねない。

4. ポータルへのアクセス

 ユーザー認証に成功すると,アクセスできる社内リソース(サーバー)をリストアップしたポータル画面が表示される。具体的には,グループウエアやメールといった,リモートから利用可能なサービスの一覧が表示される。

5. アクセス先サーバーの指定

 表示された一覧からアクセスしたいサービス(サーバー)を選択する。

6. サービスの利用開始

 サービスを指定すると,そのサービスを提供しているサーバーへのリモート・アクセスが始まることになる。ここまでくれば,あとはイントラネットからそのサーバーへアクセスしている場合と同じ使い勝手となる。


井上 秀 (INOUE Hiizu)inoueアットマークmxg.nes.nec.co.jp
NECソフト株式会社 プラットフォームシステム事業部
Linux システム G


 IT Pro Securityが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。