連載
» 2004年07月01日 00時00分 公開

SSL-VPN、アプリケーション連携の先にあるもの使い方が見えた! これからが本番、SSL-VPN(2)(2/3 ページ)

[則房雅也,日本電気(株)]

SSLを使うことでとても実現しやすいことがある!

■SSLを使うとPCからVPN装置までのセキュリティ管理が確実

 SSLの使い方は大きく分けると2タイプである。SSLだけで相互認証と暗号チャネルの作成を行う方法と、SSLでは暗号チャネルだけを作成し、ユーザー認証には別の方式を組み合わせる方法がある。このとき信用度を保証する鍵は証明書の利用にある。証明書の使い方を間違えると、SSLを使っていてもセキュリティの脆弱性が出てしまうことをまず警告しておく。これはSSL-VPNの構築、運用でカバーされるべき重要項目である。

 SSLで通信チャネルを管理するとIPルーティングの制限を克服しやすい。例えば、ネットワークの境界を超える手段としてプロキシサーバしか提供されていない場合、IPSecでVPNを作ることは難しいが、SSLならプロキシサーバを経由してVPNを作ることができる(図2)。インターネットからプライベートIPのネットワークに直接IPパケットが届けられないのでIPトンネルを作るが、トンネルが終端した先にNAT装置があると双方向のIPルーティングを保証することが難しくなる。

 IPトンネルという手法はIPパケットの入れ子構造を固定区間で作る。1カ所でトンネルを作って通信を保証することは難しくないが、複数個所で繰り返し作ることは、トンネル化方式が標準化されているわけではないので難しい。これに対し、SSLをプロキシする標準的な方式はすでに普及しており、SSLの暗号化通信範囲に広がりを持たせやすい。

図2 SSLならプロキシサーバでも通過する 図2 SSLならプロキシサーバでも通過する
  • ホテルや作業先企業で、インターネットアクセスにプロキシサーバしか提供していなくても、SSL-VPNならプロキシサーバ経由でさまざまなアプリケーションを利用できる

 現在のIPネットワーク環境では、VPNを使えるようにする前に、その通信チャネルを確保することが最も難しい。この点さえ保証できれば、認証や暗号化を行うためのハンドシェークを実行することができる。通信チャネルとセキュリティ管理を保証できると、後は本来の目的を達成するために必要なアプリケーションへのアクセス管理に焦点を当てられるようになる。SSLを使うと、この通信チャネル作成、認証、暗号化を1つのプロトコルで一気に行えるのである。しかもユーザーに難しい操作を求めないし、複雑な運用をしなくてもよい。

■SSL-VPNを使うとアプリケーションの使い方が変わる

 まだエンドユーザーの認識は十分ではないかもしれないが、普段使い慣れているアプリケーションであっても、実は普段利用できる範囲には大きな制限を受けている。電子メールを考えるとこれがよく分かる。電子メールは業務に不可欠なツールとなり、オフィスにいるときにはほとんどの人が1日中使っている。オフィスでメールを送受信するには部門のメールサーバを使う。ただし、部門メールサーバは企業外のメールサーバと直接メール交換できるようにはなっていない。何十もの部門メールサーバがインターネット側のメールサーバと通信できると、セキュリティ管理上大変な問題が起こってしまう。これを避けるため、企業の代表メールサーバをDMZに用意し、ここをゲートウェイにして誰とでもメールを出したり受けたりできるようになっている。この代表メールサーバでは、さまざまなセキュリティ管理が行われている。

 このようなメールシステム構成では、普段使うメールサーバがイントラネットの奥深くに位置しており、簡単には社外にいてメールを取れるようにはならない。一方、社外にいるとき、ユーザーはプロバイダを利用する。プロバイダのメールサーバを使えばメールを送受信することができる。社外で仕事をする機会が多いユーザーは、プロバイダのメールサーバにメールが届くように設定しておくなど、不便を生じない工夫をしてきた。ただ、最近になって情報漏えいが社会問題化し、メールに添付されるワームの攻撃が巧妙化するなど、メールの送受信には最新の注意を払うことが必要になっている。

 これらの複合課題、つまりメールはどこにいても読みたいが情報漏えいは起こしたくない、ということを解決するためには、ユーザーが社外にいても安全に社内のメールサーバにアクセスさせて、管理できないメールサーバを使わなくてもよい環境を用意するしかない。SSL-VPNをインターネットとイントラネットの間に置くと、意外と簡単にこれらの課題を両立させることができる。なぜかというと、こういうことを実現できるからである。

  1. 最初にユーザー認証を行うので、アプリケーションを使うのが社内ユーザーの誰であるかを確認することができる
  2. ユーザーPCからSSL-VPN装置間の通信はインターネット経由になるが、SSLで暗号化されるので、IPパケットがどこかで取られても、不正ユーザーから中のデータが読まれることはない
  3. どのサーバにアクセスできるかという制御ができるので、部門のメールサーバにアクセスするのは部門ユーザーだけという管理が行える
図3 SSL-VPNを使ったMailの送受信 図3 SSL-VPNを使ったMailの送受信
  • 部門メールサーバでメールの送受信をしているユーザーは、外出先では部門メールサーバからメールを読むことができない
  • SSL-VPNを使うと、ユーザーを認証して選択し、そのユーザーがアクセスしたい部門メールサーバへのVPN接続を実現できる

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。