第2回　セキュアリモートアクセスを実現するためのSSL-VPN「SSL-VPN」と「IPSecVPN」の違い

http://www.jmc.ne.jp/

■プロトコル階層の違い

　今回は「SSL-VPN」と「IPsec」の違いの説明をします。

　まず大きな違いは、実装されるプロトコル階層（OSI階層モデル）による違いです。
　SSL-VPNで使用されるSSLは「セッション層」での実装技術であり、IPSecVPNで使用するIPSecは「ネットワーク層」での実装技術です。

　SSL-VPNは「セッション層」での実装であるために、一階層下のトランスポートプロトコル毎にSSL対応する必要があります。代表的な例として、データの登録画面に「SSL対応済」と記載されている場合にはHTTPS（443）が使われており、HTTP（80）をSSL対応したプロトコルです。

　SSL-VPNは1台のクライアントPCブラウザがここにトンネルを構築するイメージです。

　IPSecVPNは「ネットワーク層」での実装であるために、上位アプリケーションに依存しなくても利用することが可能であり、よく利用されるFTP（21）、SMTP（25）、HTTP（80）等のアプリケーションを変更せずにIPSecVPNを使用することが可能です。

　IPSecVPNを使用する場合には、各拠点間にVPN装置を設置して、その間にIPSecVPNトンネルを構築します。アプリケーションの種類に関係なくまとめて暗号化してしまうために、様々なアプリケーションでもVPN通信が可能となるわけです。一度設置されたトンネル内は、複数のクライアントPCが同時に通信することが可能となります。

　もっと簡単に説明すると、SSL-VPNは「一般的なツールで簡単にトンネルが構築できるが、乗用車が一台しか通れない」イメージ、対してIPSecVPNは「各拠点間にVPN装置を設置してトラック・乗用車・オートバイが同時に何台も通れる」イメージです。

■VPNクライアントソフトウェアの有無

　IPSecVPNでのリモートアクセスVPN環境を構築する場合には、企業内ネットワークにVPNゲートウェイ装置を設置して、さらにユーザ側のクライアントPC側には専用のVPNクライアントソフトウェアを、1台1台にインストールする必要があります。また、VPNゲートウェイ装置に設定されたパラメータと同じ値を、VPNクライアント上にも設定する必要があります。この時点でやっかいなのは、OSや既にインストールされているアプリケーションとの相性により、動作が不安定になってしまうケースがあることです。

────────────────────────
株式会社ジェイエムシー
セキュリティソリューショングループマネージャー
森谷　礼裕

セキュリティ監査・調査分析の責任者。執筆活動
（日経BP社の各媒体をはじめ執筆多数）や、情報セキ
ュリティセミナー講師としても活躍中。
────────────────────────
「ＪＭＣセキュアリモートアクセスソリューションキャンペーン実施中」詳しくは下記URLよりご覧ください。
http://www.jmc.ne.jp/security/sslvpn01.htm

（詳しくはScan本誌をご覧ください）
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec