こちらのページでは、SSLに関する豆知識として、SSL-VPNの概要や仕組み、種類、接続方式などについて詳しくご紹介していきます。
目次
SSL-VPNとは?概要・仕組み・種類
SSL-VPN(Secure Sockets Layer Virtual Private Network)とは、SSL技術を利用したリモートアクセスVPN(=インターネット上に仮想的に構築されたプライベートネットワーク)のことです。
VPNは、悪意のある第三者からの盗聴や改ざんなどを防止するために、データの送受信間で「トンネリング(=仮想的にトンネルを作ること)」したり、送受信者同士が正しい相手であることを確かめる「認証」を行ったり、「暗号化」したりしてインターネット上での安全な通信を実現します。
SSL-VPNはVPN接続する遠隔の2点間をSSL通信で繋ぎ、インターネット上で暗号化された安全な通信経路でアクセスできるように構築された技術であり、自宅や外出先から公衆回線を経由して、社内サーバーを利用する場合などに使用されることが多いです。
リモートアクセスVPNには、
- IPsec(IPセキュリティ)によるリモートアクセスVPN(IPsec-VPN)
- SSLによるリモートアクセスVPN(SSL-VPN)
の2種類があります。
「IPsecによるリモートアクセスVPN」は、クライアント側のパソコンにクライアントソフトをインストール&設定をする必要がありますが、「SSLによるリモートアクセスVPN」は、既存インフラを変更せずにWEBブラウザさえあれば通信できる場合が多いという点が特徴です。
このようにSSL-VPNはWEBブラウザのみを利用し、専用クライアントアプリケーションや専用ソフトウェアを導入することなくVPNを構築できる場合が多いという強みがあります。
(※後述するL2フォワーディング型SSL-VPNの場合、専用のVPNクライアントソフトをクライアント側PCに導入する必要があります。)
IPsec-VPNとSSL-VPNの特徴
IPsec-VPNとSSL-VPNの各特徴や違いをまとめると、下記の通りです。
| IPsec-VPN | SSL-VPN | |
|---|---|---|
| 専用VPNソフト | 必要 | 不要 |
| 使用する端末機器 | 専用ソフト対応装置 | WEBブラウザ |
| アクセス制御 | 困難 | 容易 |
| 処理速度 | SSL-VPNより高速 | IPsec-VPNより低速 |
| 導入コスト | 安い | 高い |
| 運用コスト | 高い | 安い |
このように、リモートアクセスで離れた場所にあるネットワークやパソコンに外部から接続する場合には、専用ソフト導入不要でWEBブラウザのみを使用して安全に通信できるSSL-VPNのほうがIPsec-VPNよりも適しています。
万が一、専用ソフトが必要になった場合でも、SSL-VPNは特別な環境設定を行う必要がないというメリットもあります。
しかし、SSL-VPNの性質上、IPsec-VPNよりも処理速度やアクセス速度が低速で、インターネットカフェなどで不特定多数の人が利用する共用パソコンからもSSL通信を利用してアクセスできてしまうため、セキュリティレベルが低くなってしまうというデメリットもあります。
このようなデメリットに対しては、該当サイトにアクセスできるユーザーの本人認証や端末認証など、対策を講じることを検討してみましょう。
IPsec-VPNとSSL-VPNのメリット・デメリット
IPsec-VPNとSSL-VPNのメリット・デメリットをまとめると、以下のようになります。
| IPsec-VPN | SSL-VPN | |
|---|---|---|
| メリット |
|
※必要な場合も特別な環境設定不要 |
| デメリット |
※原則VPN装置と同一メーカー製品 |
|
社内情報のやりとりなどに利用されやすいVPN技術ですが、IPsec-VPNとSSL-VPNではさまざまな違いがあります。
コストやセキュリティレベルなどの観点から、どちらのVPNが適しているかを慎重に検討してから導入しましょう。
SSL-VPNの方式
SSL-VPNには、下記3種類の方式があります。
- リバースプロキシ型SSL-VPN
- ポートフォワーディング型SSL-VPN
- L2フォワーディング型SSL-VPN
リバースプロキシ型SSL-VPN
リバースプロキシ型SSL-VPNは、WEBクライアント側のSSL通信接続に対応したプロキシサーバ(=直接インターネットに接続できないコンピューターの代理としてインターネット接続するサーバ)を起動して、WEBサーバ側のSSL-VPNゲートウェイ(=通信手順が異なるネットワーク間の通信を中継する機器やソフトウェア)間でSSL通信を行う方式です。
SSL化対応のWEBブラウザがあれば利用することができるため、クライアント側は特別なソフトウェアを導入する必要がありません。
そのため、SSL-VPN接続において利用されることが多い接続方式となっています。
ポートフォワーディング型SSL-VPN
ポートフォワーディング型SSL-VPNは、WEBクライアント側にJavaアプレットなどのVPN通信用モジュールをインストール&起動して、WEBサーバ側とSSL通信を行う方式です。
この方式は、ファイアウォール(=ネットワーク通信において通信を行うかどうかを判断し、許可・拒否する仕組み)を通過できないデータのポート番号を、通過可能なHTTPSのポート番号に変換することによりファイアウォールを通過させ、SSL-VPNを行います。
あらかじめ、アクセスを許可するポート番号ごとに接続先のIPアドレスやポート番号を指定しておく必要性があるため、比較的煩雑な作業になります。
L2フォワーディング型SSL-VPN
L2フォワーディング型SSL-VPNは、WEBクライアント側に専用のSSL-VPNクライアントソフトをインストールし、全ての通信をHTTPパケットでカプセル化(=関連するデータや操作をオブジェクトとして1単位にまとめた上、必要なデータのみを提供すること)してWEBサーバ側とSSL通信を行う方式です。
専用のSSL-VPNクライアントソフトを導入することによって、クライアントのコンピュータ上に仮想NIC(=ソフトウェアを使用してコンピュータ内に仮想的に再現したネットワークカード)を構築することができます。
前項にてご紹介したポートフォワーディング型SSL-VPNのように、あらかじめSSL-VPNゲートウェイで通信を行うIPアドレスやポート番号を定義しておく必要がないため、IPを利用した通信であれば幅広いアプリケーションで使用できます。
しかし、SSL-VPNクライアントソフトの導入や運用に制約が存在するため、全ての環境で使用できるわけではありません。
下記の記事では、SSL通信やSSL証明書、SSL証明書の価格などについての情報をまとめているので、よろしければご参照ください。
▼SSL化とは?SSL証明書やSSL-VPN、SSL/TLSなどを徹底解説
サイトのSSL化でお困りの場合は、弊社にお任せください
今回は、SSL-VPNに関する情報をご紹介しました。
サイトのSSL化に関してお困りのサイト運営者の方などは、弊社のSSL化代行サービスがおすすめです。
今なら、無料相談キャンペーンを実施しております。
弊社にお問い合わせいただく70%は、専門知識を持たれていない読者様からです。
わかりやすい言葉でご説明させていただくように心がけておりますので、お気軽にご相談くださいね。
関連記事
