 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
F5草薙氏、「SSL VPNは、リモートアクセスでIPSecを補完するもの」 |
||||||||||||||||
|
||||||||||||||||
|
~SSL VPNテクニカルセミナー 講演
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
|
||||||||||||||||
インターネット上の通信は、不特定のユーザーにより、不特定の経路で行われる。そのため、盗聴、なりすまし、改ざんなどの危険が常につきまとってしまうというのは、周知の事実だ。しかし、この3つを防ぐことができれば、通信手段としての応用性は広い。そこで通信に機密性、信頼性、完全性を提供するのがVPNである。 機密性では、暗号化によってセキュリティを保持するのが一般的。暗号化には、より安全な公開鍵暗号方式(RSA、DSAなど)と、より高速な共通鍵暗号方式(DES、RCなど)があり、「ふつうVPNでは、公開鍵方式でトンネルを生成し、その中を共通鍵方式で暗号化したデータをやりとりする。これは、IPSecでもSSLでも同じだ」(同氏)。 信頼性を確保するためには、通信相手の認証、確認を行うことになる。IDやパスワードでの認証のほか、事前秘密共有鍵やデジタル署名(PKI)を使った認証などが用いられている。またメッセージが途中経路で変更されていないかを確認し、完全性を確保するためには、MD5やSHAなどのハッシュアルゴリズムが利用される。 これらの手段を用いて、仮想的プライベートネットワークを構築するのがVPNなのであるが、大きく分類すると3種類に分けられるという。1)2つ以上のLAN同士をつなぐもの、2)リモートアクセスユーザーなどの端末とLANをつなぐもの、3)ホスト(端末)同士をつなぐもの、の3種類がそれである。 このうち、1)ではIPSec VPNが主流であり、草薙氏も「この分野では、IPSec VPNが少なくとも数年はまだ主力であり続けるだろうと考えている」と述べたように、それを用いてVPNゲートウェイ同士の間を結ぶ方法がほとんどを占める。IPSec自身はIPレイヤより上は意識せず、すべてをカプセル化してしまうためどんな通信でも行えるというメリットがあり、この用途に適しているというのである。 ■ リモートアクセス分野でIPSecの欠点をカバーする、SSL
「リモートアクセスでIPSecが抱えている問題をクリアできるのが、SSL VPN」と草薙氏は語る。SSLはTCPレイヤ上のプロトコルであるためヘッダなどはは認証の対象にならず、NAT変換が可能なプロトコルであるし、汎用的に使用されているため、互換性で問題が出ることは少ない。もともとのSSLでは、サーバー、クライアントの双方で、各アプリケーションごとにSSLの対応が必要であったが、SSL VPNはどのアプリケーションの場合でもHTTPSを利用し、Webブラウザをクライアントソフトとして通信を行うため、その問題を解決できたという。また、ソフトウェアのインストールも不要のため、管理コスト、サポートコストはIPSec VPNの場合よりも大幅に削減可能なのもメリット。さらに、通常HTTPSはフィルタされることはほとんどなく、外出先などでも問題なく利用ができる。 こうしたさまざまなメリットを持つSSL VPNに問題があるとすれば、すべてのデータを透過的に通過させることができるIPSecに対して、SSL VPNでは利用できるアプリケーションが限られてしまう場合があること。しかし、「F5のFirePassでは、ActiveXを利用したVPNコネクタという仕組みにより、それをクリアした」(草薙氏)という。同氏は、「これによりIPSecの代替として利用が可能になった」とも述べ、メリットを強調していた。 ■ URL F5ネットワークスジャパン株式会社 http://www.f5networks.co.jp/ 東京エレクトロン株式会社 http://www.tel.com/jpn/ F5 FirePass(東京エレクトロン) http://www.tel.co.jp/cn/cs/nw/f5/firepass.html
( 石井 一志 )
|
|
|
|
|
|
|