VPNとは?
セキュリティは重要?
IT化の進展とともにビジネスリソースはコンピュータシステムとしてデジタル化され、ネットワークを介してさまざまな場所から、自由にアクセスできるようになって来ています。今や情報のネットワーク化がビジネス成功の鍵のひとつであると言っても過言ではありません。しかし一方でこうしたビジネスリソースのセキュリティ管理が課題ともなってきています。ビジネスリソースへの不特定多数からのアクセスをいかに防御し、外部への意図しない漏洩を防ぐか。例え社内の人間であっても自由にアクセスさせたくないビジネスリソースをどのようにアクセス規制するか。あるいは、ビジネスリソースへの悪意を持った改竄もしくは破壊行為からいかに守るか。一方で、アクセスの許可されたユーザには許可されたリソースへ自由にアクセスできる環境も提供しなければなりません。さらに、セキュリティ管理に携わる管理者の負担を軽減し、管理コストを押さえることもまた重要となります。
ネットワークとVPNとは?
ビジネスリソースに遠隔から安全にアクセスする手段としてVPN(VirtualPrivateNetwork)が挙げられます。 VPNとはもともと、物理的に完全に閉じたネットワークであった「専用線網」を、その運用コスト低減のため、 物理的には一般網を共用し、かつ専用線網として仮想的に分離したネットワークのことを指します。 VPNは大きく2種類に分けられます。
-
ネットワーク型のVPN
2拠点を1対1に、暗号化されたIPトンネルで接続しただけのIPSec-VPNや、帯域保証まで行うIP-VPNなどが該当します。 -
アクセス型VPN
ネットワーク型ほどの高パフォーマンスは要求されないものの、不特定対地からのアクセスから許可されたアクセスのみを受け付ける機能が重要な要件となります。
アクセス型VPNとネットワーク型VPNは技術的には相対するものではなく、IPSec技術を使ったアクセス型VPNの製品もあります。この場合、通常のケースでは、アクセスするPCには特別なソフトウエアをインストールする必要があります。
IPSecVPN の問題点は?
IPSec技術を使ったVPNは、社内のネットワークがVPNのトンネルを通じてアクセスしたPCにまで延長されたようなイメージになります。 このためアクセスしたPCからは社内ネットワークの任意のリソースに事実上アクセスでき大変便利ではありますが、 アクセスアカウントによって参照可能なビジネスリソースを限定させるような用途に向いているとは言えません。 またPCの設定によっては、第3者がこのPCを中継して社内ネットワークにアクセスすることが可能になってしまいます。 このためアクセスするPCの運用には十分な配慮が必要となります。
LAN 接続
VPN装置またはソフトウェアによる実現
IPベース
ネットワーク上のリソースにアクセス可能
SSL-VPN とは?
今日、ビジネスリソースの多くはWebベースのインタフェースで構築されています。スケジュール管理、 顧客管理はともかく、メールの送受信、ドキュメントの検索と参照など、構築や管理の容易なWebベースの ビジネスアプリケーションが主流となっています。こうしたWebベースのアプリケーションへのアクセスに 主眼を置いて、しかも一般的なブラウザで、特別なソフトウエアのインストールなしに、かつ安全に外部から アクセスできるソリューション、これがSSL-VPNの基本的なアイデアです。 SSL-VPNではSSL-VPNサーバに相当する装置がちょうどプロキシのような働きをし、アクセスするPCの Webアクセス要求を中継します。アクセスするPCとSSL-VPNサーバとの間はSSL通信により暗号化されているので、 他者がその中身をのぞき見ることはできません。またSSL-VPNサーバはユーザからのWebアクセス要求を受け付けるのに際して、 アクセスアカウントとパスワードの組み合わせなどによるログイン認証を行い、許可されないアクセスを受け付けないようにしています。 またSSL-VPNサーバは中継先のビジネスリソースをアクセスアカウントに応じて限定する機能も有し、 ユーザ毎にアクセスできるリソースを絞り込むことができます。もちろんアクセスの基本はブラウザですので、 第3者のアクセス要求が中継されてしまうという問題もありません。
リモートアクセス接続
ブラウザ
TCPベース
許可されたリソースのみにアクセス可能
SWANStor によるSSL-VPN の実現は?
-
SWANStor
ファイアウォールは外部からの任意のアクセスを遮断したまま、設定変更を施さず、SSL-VPNを利用することが可能だということです。
SWANStorサーバとSWANStorゲートウエイは暗号化されたセッションを張り、またSWANStorゲートウエイとアクセスPCの間はSSLセッションで暗号化されているので、第3者が通信内容を盗聴することはできません。さらに、SWANStorサーバとSWANStorゲートウエイのセッションはサーバからゲートウエイに向けて張られるため、ファイアウォールの内向きのポートは全て遮断したままでの運用が可能です。技術的には、ファイアウォールがありながらも、社内のPCが社外のWebサイトにHTTPSでアクセスできるのと等価となります。
-
他のSSL-VPN製品
単一のVPNサーバからなり、これをDMZもしくはファイアウォールの内側に置いて運用します。DMZに配置した場合にはVPNサーバが社内ネットワークにアクセスできるように、またファイアウォールの内側に置いた場合には外部のアクセスユーザがVPNサーバにアクセスできるように、ファイアウォール上に1つないしは複数のポートをあけておく必要があります。
この設定では、不特定他者のアクセスや不特定なリソースへのアクセスは許可しないようにするので、それがそのままセキュリティホールになると言うことはできませんが、大変に注意を要する事項であることに間違いはありません。またVPNサーバから社内ネットワークへのアクセスは全く排他する手段がないので、万が一、VPNサーバが乗っ取られるような事態が発生した場合の影響は大きく、VPNサーバの管理は十分な注意が必要となります。
-
SWANStor
ファイアウォールは外部からの任意のアクセスを遮断したまま、設定変更を施さず、SSL-VPNを利用することが可能だということです。
SWANStorサーバとSWANStorゲートウエイは暗号化されたセッションを張り、またSWANStorゲートウエイとアクセスPCの間はSSLセッションで暗号化されているので、第3者が通信内容を盗聴することはできません。さらに、SWANStorサーバとSWANStorゲートウエイのセッションはサーバからゲートウエイに向けて張られるため、ファイアウォールの内向きのポートは全て遮断したままでの運用が可能です。技術的には、ファイアウォールがありながらも、社内のPCが社外のWebサイトにHTTPSでアクセスできるのと等価となります。他のSSL-VPN製品
単一のVPNサーバからなり、これをDMZもしくはファイアウォールの内側に置いて運用します。DMZに配置した場合にはVPNサーバが社内ネットワークにアクセスできるように、またファイアウォールの内側に置いた場合には外部のアクセスユーザがVPNサーバにアクセスできるように、ファイアウォール上に1つないしは複数のポートをあけておく必要があります。
この設定では、不特定他者のアクセスや不特定なリソースへのアクセスは許可しないようにするので、それがそのままセキュリティホールになると言うことはできませんが、大変に注意を要する事項であることに間違いはありません。またVPNサーバから社内ネットワークへのアクセスは全く排他する手段がないので、万が一、VPNサーバが乗っ取られるような事態が発生した場合の影響は大きく、VPNサーバの管理は十分な注意が必要となります。