SSL-VPNとは?種類や接続方式、IPsec-VPNとの違いも解説
2024.02.13投稿、2024.02.13更新
SSL-VPNはVPNの1種で、通信をSSLによって暗号化し、情報漏洩を防ぐ技術です。VPNにはもう1つ、IPsec-VPNもあります。IPsec-VPNも通信を暗号化してセキュリティを強化するための仕組みですが、SSL-VPNとはさまざまな部分が異なります。VPNを構築する際は、SSL-VPNとIPsec-VPNの違いを理解し、自社に合うものを選びましょう。
ここでは、SSL-VPNの概要や種類、接続方式、IPsec-VPNとの違いなどを紹介します。また、両方に共通するVPNのプロトコルの種類や、VPNのセキュリティリスクについても解説します。
SSL-VPNとは
SSL-VPNとは、通信をSSL方式で暗号化して情報漏洩を防ぐVPNのことです。
VPN(Virtual Private Network)とは、仮想の専用線(ほかのユーザーが入れないクローズドな領域)をインターネット上に構築して通信する仕組みです。インターネット経由のリモートアクセスでも、不正アクセスや情報漏洩を防ぐことができます。
VPNについては、次の記事もご参照ください。
関連記事
リモートアクセスとVPNの違いとは?VPNの種類や構築する際の流れを解説
関連記事
VPNの構築方法とは?主な種類や構築するメリット、注意点も解説
VPNには2種類ある
VPNには、SSL技術を使用したSSL-VPNと、IPsecを利用したIPsec-VPNがあります。
SSL(Secure Socket Layer)は、インターネット経由の通信を暗号化し、情報漏洩を防ぐための仕組みです。最も代表的な使用例は、SSL化されたWebサイトでしょう。URLが「https://~」となっており、その左にカギのマークがついているWebサイトはSSL化されています。
SSL-VPNでは、社内ネットワークの入り口(社外からアクセスする部分)にSSL-VPN機器(プロキシなど)を設置します。それによって、クライアント端末が社内ネットワークとインターネットのどちらから接続した場合でも通信を暗号化し、情報漏洩を防止します。
SSLはWebブラウザに標準搭載された機能なので、専用のハードウェアやアプリケーションは必要ありません。SSL-VPNは基本的にWebアプリケーションで利用するものですが、接続方式によりほかのアプリケーションでも利用できます。
SSL-VPNの種類
SSL-VPNはさらに2つの種類に分かれます。
- SSLポータルVPN
最初にゲートウェイで認証を行うことで、指定されたさまざまなアプリケーションやプライベートネットワークにアクセスします。
- SSLトンネルVPN
SSLの下層にあるトンネルを経由して、Webベースではないアプリケーションやネットワークにもアクセスできます。ただし、追加のアプリケーションが必要です。
SSL-VPNの接続方式
SSL-VPNには、3つの接続方式があります。
リバースプロキシ方式
最も基本的なSSL-VPNで、手軽なため多く使われている方式です。インターネットからWebブラウザ経由で社内ネットワークにアクセスできます。
認証はSSL-VPN機器が行うので、機器を用意して設定するだけで使用可能です。追加のアプリケーションは必要ありません。
ただし、使用できるのはWebアプリケーションだけです。Webブラウザに対応していないアプリケーションでは使用できません。
ポートフォワーディング方式
Webアプリケーション以外のアプリケーションにも使用できる方式です。
リモートアクセスするクライアント端末にActiveXやJavaアプレットなどの通信用アプリケーションをインストールし、WebブラウザやアプリケーションとSSL-VPN機器で認証を行います。
ただし、サーバーやポート番号は指定されているため、ポート番号が変化するようなアプリケーションには使用できません。また、Webアプリケーション以外のアプリケーションには使えないものもあります。
L2フォワーディング方式
ポートフォワーディング方式に対応しないアプリケーションにも使用できる方式です。
SSL-VPN機器だけでなく、クライアント端末側にSSL-VPNのクライアントアプリケーションをインストールし、SSL-VPN機器とアプリケーションで認証を行います。それによって仮想NICが作成され、IPアドレスが付与されるので、ポート番号が変化するようなアプリケーションにも使用可能です。
仮想 NIC とは、コンピュータのネットワークインターフェースの機能をソフトウェア的に再現した一種の仮想アダプターのことです。
SSL-VPNとIPsec-VPNとの違い
先述のとおり、IPsec-VPNはVPNの種類の1つです。 SSL-VPNとIPsec-VPNの代表的な違いを説明します。
使用するプロトコル階層の違い
プロトコルとは、通信を行うための手順や規約のことです。ISO(国際標準化機構)の策定したOSI参照モデルでは、プロトコルは7つの階層に分かれています。
SSL-VPNとIPsec-VPNでは、プロトコルのうちVPN接続時に使用する階層は異なります。
SSL-VPNは5層目のセッション層(通信や接続の開始から終了までの手順を担当)にトンネルを作成します。そのため、TCP/IP通信の確立が必要です。
IPsec-VPNは3層目のネットワーク層(インターネットでの通信を担当)にトンネルを作成します。TCP/IP通信の確立は不要です。
暗号化方式と認証方法の違い
SSL-VPNは、SSLによって通信を暗号化する技術です。SSL-VPNでは、SSL証明書によってクライアント端末からサーバーを一方的に認証します。サーバー側ではIDでクライアント端末の認証を行います。
IPsec-VPNでは、IPsec(Security Architecture for Internet Protocol)というプロトコルを使って通信を暗号化します。IPsecはSSL(HTTPS)より下の階層を利用するので、SSLをサポートしない階層でも暗号化が可能です。認証は、サーバーやクライアント端末が1対1で相互に行います。
開発目的の違い
SSL-VPNは、クライアント端末からWebブラウザでサーバーへのSSL通信を行うために開発されました。
IPsec-VPNは、離れた場所にある端末やサーバー同士で通信するために開発されました。
運用・管理方法の違い
SSL-VPNはWebブラウザで運用管理できるため、追加のアプリケーションは不要で、容易に設定できます。業務システムのような特定のアプリケーションへのトンネリングも可能です。ただし、 Webブラウザのセキュリティスクを回避することはできません。
IPsec-VPNの運用管理には、ハードウェアやクライアントソフトと、運用管理を行うエンジニアが必要です。これによってセキュリティ層が追加され、セキュリティが強化されます。一方で、そのための手間とコストがかかります。
VPNプロトコルの種類
VPNプロトコルとは、VPNで通信するための規約・技術を指します。SSL-VPNもVPNプロトコルの1つです。プロトコルは単独で使うだけでなく、複数のプロトコルを組み合わせて実装し、必要な機能を実現することもあります。
SSL-VPNのほかには、次のようなVPNプロトコルがあります。
IPsec-VPN
通信内容を暗号化するだけでなく、通信改ざんの検知も可能なプロトコルです。動作が速く、利用しているプロバイダーも多いです。ただし設定は複雑で、運用するには知識が必要です。
L2TP
仮想トンネルを構築するプロトコルです。IPsec-VPNと組み合わせて使うことでIPsec-VPNを強化できます。
このプロトコルに対応している端末は多いですが、脆弱性のリスクがあるため、ファイアウォールではじかれることも多いです。
PPTP
仮想トンネルを構築するプロトコルです。比較的古いプロトコルで、複雑な暗号化を利用していないため強固なセキュリティとはいえず、現在はあまり使われていません。最新の端末には、PPTPに対応していないものもあります。
IKEv2
暗号化を解読する共通キーを通信するためのプロトコルです。暗号化を行うIPsecと組み合わせて使います。動作が速く、接続が切れても自動的に再接続可能です。ただし、比較的新しいプロトコルなので、対応端末はまだ多くありません。
SSTP
マイクロソフト社がWindows OS向けに開発したVPNプロトコルです。セキュリティが強固でファイアウォールでもはじかれません。Windows OS以外の端末では使用できません。
OpenVPN
比較的新しく、動作が速く、セキュリティ対策が強化されたプロトコルです。OSS(オープンソースソフトウェア)なので、開発がスピーディーで、柔軟に利用できます。ただし、運用管理に別のクライアントソフトウェアが必要な場合もあります。
VPNのセキュリティリスクとは
SSL-VPNやIPsec-VPNに限らず、VPN全般で発生するセキュリティリスクを紹介します。
VPN機器の脆弱性によるリスク
VPN機器には脆弱性が発見されることがあります。この脆弱性をついたサイバー攻撃の事例も多いです。既知の脆弱性に対応していない企業が攻撃を受けて、不正アクセスや情報漏洩の被害にあう事件も多く発生しています。
このリスクに対応するには、脆弱性に関する情報を入手し、常に最新の修正プログラムを適用することが必要です。
クライアント端末のマルウェア感染によるリスク
社内ネットワークにアクセスするクライアント端末がマルウェアに感染していると、社内にも感染して被害が拡大します。また、作業後に認証情報を保存していると、そこから不正アクセスされるというリスクもあります。
クライアント端末でもセキュリティ対策を行い、認証情報は毎回作業終了後には削除することが必要です。
VPNのセキュリティリスクについては、次の記事もご参照ください。
関連記事
VPNのセキュリティリスクとは?その対策と事故事例を紹介
SSL-VPNをよく理解して利用するかどうかを選択しよう
SSL-VPNは、VPNで通信を暗号化してセキュリティを強化する技術です。運用管理は使い慣れたWebブラウザで行えるため、比較的手軽に実装できます。別途クライアントソフトウェアを用意する必要がないので、利用している企業も多いでしょう。ただし、 Webブラウザのセキュリティスクを回避することはできません。
VPNにはIPsec-VPNという方式もあり、高いセキュリティを確保できるためよく使われています。しかし、IPsec-VPNはほかのプロトコルと組み合わせたり、運用管理に別のクライアントソフトウェアが必要になったりするため、導入のハードルは高いかもしれません。
どちらの方式にしろ、情報システム部門の人数が少ない企業では運用管理がしにくいでしょう。そんなときには、VPNの構築ではなく、セキュリティを強化したリモートアクセスツールを導入する方法があります。
さまざまなリモートアクセスツールを展開しているCACHATTOの「CACHATTO SecureContainer」なら、構築や運用に高い知識や多くの手間は必要なく、少人数での運用も可能です。PC上の隔離業務領域のデータ保護と業務終了時のデータ削除により、クライアント端末からの情報漏洩を防止し、セキュアなハイブリッドワークを実現します。気になる方は、以下のリンクから詳細をご確認ください。
CACHATTOに関する資料請求やお問い合わせはこちら。
お気軽にお問い合わせください!
リモートアクセスや製品に関する
お役立ち資料をご用意しています。
お役立ち資料ダウンロード
リモートアクセスや製品に関する
様々なご質問にお答えします。
メールでお問い合わせ