第2回 セキュアリモートアクセスを実現するためのSSL-VPN「SSL-VPN」と「IPSecVPN」の違い
http://www.jmc.ne.jp/
特集
特集
■プロトコル階層の違い
今回は「SSL-VPN」と「IPsec」の違いの説明をします。
まず大きな違いは、実装されるプロトコル階層(OSI階層モデル)による違いです。
SSL-VPNで使用されるSSLは「セッション層」での実装技術であり、IPSecVPNで使用するIPSecは「ネットワーク層」での実装技術です。
SSL-VPNは「セッション層」での実装であるために、一階層下のトランスポートプロトコル毎にSSL対応する必要があります。代表的な例として、データの登録画面に「SSL対応済」と記載されている場合にはHTTPS(443)が使われており、HTTP(80)をSSL対応したプロトコルです。
SSL-VPNは1台のクライアントPCブラウザがここにトンネルを構築するイメージです。
IPSecVPNは「ネットワーク層」での実装であるために、上位アプリケーションに依存しなくても利用することが可能であり、よく利用されるFTP(21)、SMTP(25)、HTTP(80)等のアプリケーションを変更せずにIPSecVPNを使用することが可能です。
IPSecVPNを使用する場合には、各拠点間にVPN装置を設置して、その間にIPSecVPNトンネルを構築します。アプリケーションの種類に関係なくまとめて暗号化してしまうために、様々なアプリケーションでもVPN通信が可能となるわけです。一度設置されたトンネル内は、複数のクライアントPCが同時に通信することが可能となります。
もっと簡単に説明すると、SSL-VPNは「一般的なツールで簡単にトンネルが構築できるが、乗用車が一台しか通れない」イメージ、対してIPSecVPNは「各拠点間にVPN装置を設置してトラック・乗用車・オートバイが同時に何台も通れる」イメージです。
■VPNクライアントソフトウェアの有無
IPSecVPNでのリモートアクセスVPN環境を構築する場合には、企業内ネットワークにVPNゲートウェイ装置を設置して、さらにユーザ側のクライアントPC側には専用のVPNクライアントソフトウェアを、1台1台にインストールする必要があります。また、VPNゲートウェイ装置に設定されたパラメータと同じ値を、VPNクライアント上にも設定する必要があります。この時点でやっかいなのは、OSや既にインストールされているアプリケーションとの相性により、動作が不安定になってしまうケースがあることです。
────────────────────────
株式会社ジェイエムシー
セキュリティソリューショングループ マネージャー
森谷 礼裕
セキュリティ監査・調査分析の責任者。執筆活動
(日経BP社の各媒体をはじめ執筆多数)や、情報セキ
ュリティセミナー講師としても活躍中。
────────────────────────
「JMC セキュア リモートアクセス ソリューション キャンペーン実施中」 詳しくは下記URLよりご覧ください。
http://www.jmc.ne.jp/security/sslvpn01.htm
(詳しくはScan本誌をご覧ください)
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》