SSL-VPNへの期待の高まりは、日本では1年ほど前から始まった。期待に応えてくれそうかを評価する段階から、いよいよ実際の活用を加速する段階に入ろうとしている。この1年間でEarly Adaptorといわれるユーザー層でSSL-VPNへの理解は深まったが、その一方で、なぜSSLなのかという疑問を解消できないでいるユーザー層も依然として多い。まずはその辺りへの謎解きから説明を始めたいと思う。
まずは商用インターネットの10年の歴史を見てみたい。SSL-VPNが出てくるきっかけはウェブを使った情報公開の広がりと、それを支えようとするWebバランサー装置の出現に始まる。インターネットからアクセスしてくる不特定で膨大な数のウェブアクセスを、高性能なバランサー装置でHTTPセッションレベルのディスパッチをして、いずれかのWebサーバにつながせる。Webによる情報公開が始まった当初、多数のミラーサイトを公開するところも少なくなかったが、Webバランサー装置のおかげでそれらはバランサー装置の内側に隠され、たった1つのWebアドレスを公開すれば、どのユーザーからでもWebにたどり着けるようになった。このとき、現在SSL-VPN実装に使われている方式の1つ「リバースプロキシ」がその地位を確立する。
Webによる情報公開が広がった後、レガシーシステム環境ではWebを使った業務アプリケーション化への移行が加速する。Webポータルのページ上にレガシーシステムの機能項目メニューが用意され、ブラウザでクリックするという操作だけで業務トランザクションが実行でき、その結果をブラウザで確認することができる。いわゆるWebコンピューティングというモデルである。それまで長い年月をかけて開発・構築した多くのクライアント・サーバシステムが、なぜかこぞってWebコンピューティングモデルへと移行した。
ファイアウォールはこれらと時を同じくして出現し、早くからWebと歩調を合わせてインターネットに浸透してきた。つまり、ファイアウォールは最初からWebへのアクセスだけは特別に扱ってきたのである。本来ファイアウォールの目的は単純で、イントラネットからインターネットへのアクセスはできる限り許可し、逆は何も許さないというものである。
しかし、「逆は何も通さない」というところに、80番ポートへの通信だけは何があっても通すというコンセンサスと運用が広範に築き上げられた。後に443番ポートが特別扱いの対象に加えられた。Webサーバではページの改ざんなどセキュリティの脆弱性を抱えていたが、その対策をリバースプロキシやSSLに求めることとなった。この一方でファイアウォールは、メールとWeb以外の通信を受け入れることを拒み続けた。
また、この構成を加速する要因がIPネットワークの世界に出現した。プライベートIPアドレスとNAT装置が企業イントラネットにまん延したのである。これらはファイアウォール製品機能の一部として取り込まれた。これによって、企業のイントラネットは物理的に線ではつながっているものの、IP到達性という点ではインターネットから限りなく遠く切り離された。わずかにIP到達性のために残されたのがグローバルIPを使った最小ネットワークDMZである。Webサーバ、メールサーバだけはDMZに置かれた(図1のDMZに置かれた機器はWebサーバ、メールサーバ、外部DNS)。
境界に置かれたファイアウォールでWebサーバ、メールサーバへのトラフィックを制限すると、情報公開やメール配信が機能しなくなる。前述の80番、443番ポートを開放する話にここでつながる。メール配信用には25番も開放される。これらのポートを使う業務サーバをDMZに置くと、ファイアウォールをバイパスして自由な通信を実現できるようになる。しかし同時にファイアウォールが不正なアタックから守ってくれることもなくなる。いい換えると、インターネットに開放されたポートを使うアプリケーションサーバでは、Webサーバやメールサーバも含め、ファイアウォールに頼らない仕組みで自分の身を守らなければならないのである。この対策が後手に回ればどうなるか、ウイルスやワームがWebやメールで広がって企業活動を脅かしていることからも明白である。
とはいえイントラネットの社内活用だけで企業活動を維持できる時代ではない。イントラネット上に構築してきたシステム環境と膨大な情報リソースを、いかに多くのユーザーで有効にいつでも使えるかが企業活動のコアにもなる。ユーザーは正社員に限らず、コントラクタ、パートナー、カスタマを含み、海外にまで広がっている。活動拠点は流動化し、利用者のモバイル化が加速し、拠点・利用者をつなぐネットワークをインターネット化することが待ったなしで求められている。
ネットワーク利用への要求が変わり、インターネット側からのトラフィックに重要性がシフトしている中、現在のファイアウォールでは十分な機能を果たせない。ポート管理を1つ1つしっかりやらないと、例えば80番や443番ポートを使ってファイアウォールをバイパスするような仕組みを簡単に作れてしまう。SSL-VPNを必要とする意味がここにある。使われるアプリケーションを意識した管理が必要で、そのユーザーまでちゃんと確認する仕組みが必要になる。この要求を満たす方式を探そうとすると、IPSecを使ったVPNから、ユーザーの興味がSSL-VPNに移っている現状が理解できる。
Copyright © ITmedia, Inc. All Rights Reserved.