SSL-VPNとファイアウォールの位置関係から知る
効果的なSSL-VPN適用対象とは?
SSL-VPNとファイアウォールの位置関係にはいろいろ選択肢がある。しかし、SSL-VPN経由のトラフィックは内部に受け入れるものなので、ファイアウォールを通してもその効果は少ない。SSL-VPNが備えているセキュリティ機能、例えば、証明書の利用、強固なユーザー認証、データ暗号化、必要なアプリケーションだけの利用、アクセス先の管理、ログや利用状況の確認などを十分に使いこなし、ファイアウォールからSSL-VPNへのトラフィックを切り離して管理する。そうすると、ファイアウォールが持つ大きく複雑なACLに変更を加える必要はなくなり、リモートアクセスサービスを必要とするユーザーに、迅速なサービスを提供できるようになる。SSL-VPNの有効活用には、こういった発想の転換も必要である。
グループウェアの機能を社外にいるときでも使いたいという要求がある。富士キメラ総研の調査レポート(リモートアクセス市場、2004年度版)によると、Lotus Notes、Microsoft Exchange、NEC StarOfficeのユーザーで、日本のグループウェア市場の65%以上を占めている。これに対しサイボウズ利用者が伸びて9%の市場を得た。市場全体の伸び率は緩やかになったものの、グループウェアユーザーとその市場はまだまだ大きい。これらのユーザーが、イントラネットだけで使ってきたグループウェア機能を、外出先や自宅へ延ばしたいと考えるのはごく自然なことである。新しい利用形態の始まりである。
図4はSSL-VPNを使ったときグループウェアの利用形態がどう変わるかを示している。グループウェアの機能だけを使ってリモートアクセスを実現しようとすると、Webポータルか専用のプロキシサーバを立てることになる。いずれにしても、誰にでもセキュリティを十分実装したサーバを構築運用できるとは限らない。これらをすぐ用意できない場合、グループウェアサーバをDMZに置いて運用技術でセキュリティを管理することになる。いずれにしても誰でもすぐ使える解にはなりにくい。
- 部門で使われるグループウェアサーバをDMZに置くとリモートアクセスが行えるがセキュリティ上の課題を克服できない
- グループウェアのポータルサーバや専用プロキシをDMZに置く選択もあるが、使い勝手や機能性に制限が出てしまう
- SSL-VPNを使うと、許されるユーザーだけを部門グループウェアサーバへアクセスさせるようなVPN接続を実現できる
これらグループウェアの歴史は長く、最新の版ではブラウザから利用できるようになっているが、以前のクライアント/サーバ型の版もまだ広く使われている。使われるプロトコルはHTTPだけに限らず、RPCなどほかのプロトコルも使われている。ブラウザを使う場合のインターフェイスも向上してきているが、使い続けてきた専用クライアントの性能と使いやすさは捨て難い。これら専用クライアントもSSL-VPNで使えるようになってきており、オフィスにいても外出先からでも、何ら設定を変更せず同じアプリケーションクライアントを使える環境ができるのである。
このようにSSL-VPNでは複数のVPN実現方式が採用され、ユーザー側の多様なアプリケーション環境に対応できるようになってきている。
■SSL-VPNのチャレンジ:新しいアプリケーションへの対応
SSL-VPNはHTTPだけを扱う方式からHTTP以外のいくつかのプロトコルを扱う方式へ、さらにより汎用的にマルチプロトコルに対応する方式を採用し始めている。これらプロトコルをSSLで扱うことは、適切な方式を選べば技術的に難しいことではない。PPTPやIPトンネルでプロトコルレイヤの入れ子を作り、さらにその上に認証、暗号化機能を追加することを考えれば、その実現にオーダーが異なるほど複雑さに違いが出るとは思えない。ソフトウェア技術の差異の方が性能に効くだろう。
SSL-VPNがないときと同じようにアプリケーションが動作するかどうか、いくつか重要なポイントがある。
- 認証処理、暗号化・復号にはプラスαの時間が必要である。これが若干の遅延を生んでアプリケーションの動作に影響を及ぼすことがある。
- アプリケーションの動作仕様そのものがゲートウェイの存在に合わせにくい場合がある。
一例として、1. ではアプリケーション通信がタイムアウトするという現象が出る。LAN上では問題が出なくても、遠くにあるサーバをアクセスする途中に性能の悪い通信経路があったりするとこの現象が表れたりする。まだ転送データ量が多いと暗号化、復号の時間もかかり、アプリケーションに例外が発生してしまう。
また2. では、PORTモードで使うFTPのように、アプリケーションサーバから通信を張り替えてくるアプリケーション、ピア・ツー・ピアのように、どちらからでも最初の通信を起動するアプリケーションは、NAT、IPルーティング、ファイアウォールなどほかの要因も複合的に絡んで相性が悪い。
逆にいうと、こういうアプリケーションの特徴をよく理解しておけば、SSL-VPNの使い方を間違うことなく短期間で導入し活用することができる。
ブロードバンドネットワーク環境の普及が隅々まで進むと、インスタントメッセージングやビデオ会議などの利用が広がってゆく。同じカテゴリのアプリケーションであってもその動作方式はまちまちである。図5のような使い方ができるとどこにいてもオフィスにいるように仕事ができる。これを実現しようとすると、現状では、サーバ参加型アークテクチャ、つまりどのクライアントもサーバにアクセスして、サーバ上でほかのユーザーと通信する方式のアプリケーションがSSL-VPNとの相性を取りやすい。
■最後に
SSL-VPNで使われている技術は長く使われてきたものが多く、個々の技術そのものは枯れており、脆弱性が出ることはあまりなく安心して使ってよいといえる。SSL-VPN製品になると、これらを統合化したものになっており、製品としてのまとめ方、複数技術利用における一貫性、実環境適用へのこなれ方など、ソフトウェア実装技術が有効度への鍵を持っている。いい換えると、利用が広がるにつれ、バージョンが上がるにつれ、適用範囲が広くなり、より的確に目的を達成できるものになってゆくだろう。アプライアンス製品がほとんどだが、ハードウェア装置よりはソフトウェア製品としての性格を色濃く残している。ソフトウェアの特徴、つまり、現状適応への速い進化とほかの技術との柔軟な融合が、今後大きく期待できるのではないかと思う。
ご愛読ありがとうございました
著者紹介
日本電気(株) ビジネス開発本部
則房雅也 CISSP
SSL VPNリモートアクセス分科会(enNetforum内)主査
Copyright © ITmedia, Inc. All Rights Reserved.