2006年の春以降、SSL VPN(Secure Sockets Layer Virtual Private Network)の普及が加速しています。その理由としては、SSL VPN のビジネス上のメリットがユーザに理解されるようになったことや、技術的な優劣を超える長所が評価されたこと、そしてセキュリティが改善されてきたことなどが挙げられます。
SSL VPN 技術の最終的な目標は、管理と制御を適切に行いつつ、あらゆるデバイス、あらゆる場所から、あらゆるアプリケーションに安全にアクセスできるようにすることです。登場当初の SSL VPN 製品には、ユーザ・セッション終了後もブラウザにアカウント情報が残る、動的なポート割り当てがサポートされない、Web 対応アプリケーションしかサポートされない、ユーザやデバイスに対する強力な認証メカニズムが用意されていない、などの制限がありました。
成熟してきた SSL 技術
しかし、これらの問題はいずれも、SSL 技術の成熟と共に解決されてきています。例えば最近では、ユーザ認証機能の統合が進んでおり、多くの
SSL VPN ベンダーは、自社製品を VASCO や RSA といったベンダーが提供する強力な認証製品と統合できるようにしています。
また、クライアントの完全性をチェックするための機能が提供されるようになったことも、SSL VPN にとっては大きな進歩です。この機能では、クライアント・デバイスにトロイの木馬やウイルスが存在していないか、最新のセキュリティ・パッチが適用されているかなどのチェックを行うことができます。これにより、デバイスが安全な状態であるか、そのデバイスからのトラフィックをサーバに渡しても問題ないかを確認することが可能になります。一部の SSL VPN 製品は、チェック・ポイントのエンドポイント・セキュリティ・ソリューション、Integrity との統合を通じて、この機能を実現しています。
通常、SSL アプライアンスはファイアウォールの背後に置かれ、443番ポートからのすべてのトラフィックを処理します。自分自身を保護するためのファイアウォールを内蔵しているタイプであれば、ファイアウォールの前に配置することもできますが、そうでない SSL アプライアンスをファイアウォールの前に配置すると、ハッカーやマルウェアの攻撃に常にさらされることになります。また、SSL VPN ではクライアント・ソフトウェアが不要であるため、ユーザ関連のセキュリティでは主に認証とアクセス制御が問題となります。
SSL VPN 製品の選択
SSL
VPN 製品を選択するにあたっては、使用するアプリケーションやユーザ数など、いくつかのポイントを考慮する必要があります。少数のユーザが少数のアプリケーションに接続するという用途であれば、使いやすさや管理の容易さも重要なポイントとなります。このほか、次のような点を考慮する必要があります。
- ファイアウォールを内蔵しているか。ファイアウォールが内蔵されている場合、導入と設定の柔軟性が大幅に向上します。
- 強力な認証機能を備えているか。あるいは、サードパーティの強力な認証製品と統合できる拡張性および相互運用性を備えているか。
- クライアントの完全性(クライアントに脅威が存在していないかなど)をチェックする機能を備えているか。
- Web 対応アプリケーションと非対応アプリケーションの両方をサポートしているか。
- IPSec をエミュレートする SSL トンネリングをサポートしているか。
また、インターネット・カフェの PC など自社の管理下にないものを含め、あらゆるデバイス(デスクトップ PC、ノート PC、PDA)をサポートしていることも重要です。さらに、組織全体にわたって VPN トンネルを監視することのできる包括的なレポーティング機能を備えている必要もあります。
ベンダー自体についての考慮事項もあります。まず、ベンダーや販売代理店のサポート体制をチェックする必要があるだけでなく、自社の将来的なニーズに導入しようとしている製品コンセプトが合致しているかどうかを確認することも大切です。
その他の考慮事項
この他に重要なことは、暗号化アルゴリズムの強度です。SSL では暗号化アルゴリズムとして DES(鍵のサイズが56ビット)を使用しますが、IPSec
では 3DES または比較的新しい AES を使用できます。大多数のアプリケーションおよび要件では
DES で十分ですが、軍事用途など、極めて高い機密性が要求される場合は、おそらく 3DES/AES
が必須となります。SSL VPN で IPSec と同じ強度の暗号を使用するためには、まずブラウザで
3DES や AES がサポートされるのを待たなければなりません。
結論
IPSec VPN 製品と SSL VPN 製品の両方を提供しているベンダーはそれぞれの強みを熟知しており、ハイブリッド型の製品も提供しています。例えばチェック・ポイントは、SSL
VPN 製品の Connectra を提供する一方、ロングセラーの IPSec VPN 製品 SecuRemote を提供しています。
SSL 技術は急速に成熟しており、もはやSSL と IPSec との間に有意な差はほとんど見られなくなっています。また、利用シェアでも徐々に SSL が優勢になりつつあります。ただし、標準で IPSec に対応している IPv6 が普及したときにどのような影響があるかは予測が難しいところです。IPv6 ノードはすべて IPSec を実装しているため、IPSec 派の人々は IPSec VPN の復活を期待できるかもしれません。すべてのアプリケーションが IPSec を使用するのであれば、理屈のうえでは SSL は不要ということになるからです。しかし一方で、IPv6 が普及するまでの間に SSL が完全に主流となっている可能性もあるでしょう。
Forrester Research の最近のレポートは、将来的には SSL が主流になると予測しています。同レポートは、SSL VPN に対する投資は年複利成長率53パーセントで増加し、2008年までに従来の IPSec VPN を逆転して SSL VPN がリモート・アクセスの標準技術になるだろうと結論付けています。
出典: The Rise of SSL VPNs, Ian Kilpatrick, Wick Hill Group, April 2007.
Wick Hill Group
について
Wick Hill Group は、セキュリティ関連のインフラストラクチャ・ソリューションを専門とする付加価値再販業者です。同社は、セキュリティ、パフォーマンス、アクセス、サービス、および管理に関する製品を扱っています。