新型コロナウイルスの感染拡大に伴い、自宅などで業務を行うリモートワークが急増しました。言うまでもなく、実施には組織内ネットワークへ安全に接続できることが必須です。コストを含め導入のしやすさでは、VPNの導入が現実的です。このVPNには多くの種類がありますが、その中から今回は拠点間通信において企業での導入が多いIPsec-VPNに絞って解説しています。別方式SSL-VPNとの違いもまとめました。
目次
VPNについて
一般的に、閉じたネットワーク内で作業をすることが安全で理想ですが、実施するのは容易ではありません。専用のネットワーク構築に膨大な費用と手間がかかるためです。そのため疑似的(仮想的)に閉じた(プライベートな)仕組みづくりが、いろいろな場合を想定し工夫されてきました。そして2020年になり、突如広がったリモートワーク対応のため注目を浴びています。
カゴヤのサーバー研究室では、VPNの概要について以下の記事でわかりやすく解説しています。
【リンク】【入門】VPNとは?仕組み・活用方法と安全なWi-Fi接続を解説
ネットワークのつながり方には複数あり、どの場合でも動作するようにしなければなりません。従来は物理的な回線だけでしたが、現在では無線での接続も普及しています。そのため、もともと開放的なインターネットでは、悪意をもつユーザーからの不正利用を防止する対策がとられています。具体的には、専用の機器やソフトウェアはもちろん、疑似的(仮想的)なネットワークづくりのための規格などで対処しています。
そもそもPCや各種サーバーがつながって、通信をするときの決め事(プロトコル)には、段階(階層・レイヤー)があります。どの階層で重点的に対策をするかにより規格は変わるため、VPNの仕組みは複数誕生しました。こちらの記事ではその中からIPsec-VPNを中心に、SSL-VPNと比較していきます。
なお、2020年に発生しているVPN不正アクセス事件からわかるように、VPN自体は決して万能ではありません。基本的な情報セキュリティ対策を、継続して実施することが前提になります。
IPsec-VPNとは?
IPsec(Security Architecture for IP) というプロトコル(通信の規格)を使ったVPNの一つです。まずはVPNの種類と用語を簡単に整理し、それぞれの種類のイメージを把握しましょう。
VPNの種類と用語
【基準1】インターネット経由かそうでないか
■インターネットを経由する → 「インターネットVPN」(開かれたネットワークでの利用を想定)
■インターネットを経由しない → 「IP-VPN」など(閉じられたネットワークでの利用を想定)
【基準2】インターネットVPNでどのプロトコル(通信の規格)が使われているか
■IPsecを使用するVPN → IPsec-VPN(より深い階層「ネットワーク層」で動作する)
■SSLを使用するVPN → SSL-VPN(より浅い階層「セッション層」で動作する)
【補足】階層(レイヤー)のイメージ
全体の構造で、それぞれの構成要素である階層(レイヤー)毎に、目的や動作内容を整理し、分類名をつけています。これにより通信の規格など複雑な構造を整理できるため、理解しやすくなります。
IPsec-VPNの仕組み
疑似的(仮想的)なネットワークを構築する場合に、多くの点で優れた特徴があります。現状ではIPsec-VPNだけが、以下3点を満たすことができるVPNです。
安全性を維持できる
暗号化のプロトコルを取り入れています。「暗号化」そのものは複雑な構造をしています。IPsecの場合では、安全性を確かめ改ざんされていないか確認するプロトコルで成り立っています。
トンネリングができる
離れた場所を、疑似的につなぐプロトコルを取り入れています。
どのアプリでも動作する
より深い階層(ネットワーク層)で動作しているため可能になります。SSL-VPNでは動作しない場合があります。
IPsec-VPNで使われるプロトコル
情報セキュリティを維持するために、IPsecをさらに構成するプロトコルとして、以下の3つがあります。(1)と(2)は似ていますが、機能は補完しているためこれまで両方使われてきました。現在では(1)のAHは使用しない場合があります。
(1)認証ヘッダー Authentication Header(AH)
・データの認証機能(ESPと異なる)
・パケットの送信元の認証(ESPと同様)
・暗号化機能はなし(ESPと異なる)
(2)セキュリティペイロードのカプセル化 Encapsulation Security Payload(ESP)
・データの認証機能(AHとは異なる)
・パケットの送信元の認証(AHと同様)
・暗号化機能があり通信内容を秘匿できる(AHとは異なる)
(3)鍵交換プロトコル Internet Key Exchange(IKE)
・「秘密鍵」(注)情報の交換を安全に行う
(注)「秘密鍵」とは利用者が秘密に保持している鍵で、これがないと暗号化されたものを元に戻すことができません。「公開鍵」とセットで設定することで、通信の安全性を高めています。
IPsec-VPNとSSL-VPNとの違い
ここまでの内容をもとに、2つのVPNを比較してみました。向き不向きがあるため、組織の事業目的にかなう方を選択し導入することが大切と考えます。
| IPsec-VPN | SSL-VPN | |
|---|---|---|
| プロトコル | AH、ESP、IKE | SSL |
| レイヤー | ネットワーク層 | セッション層 |
| 実現手段 | VPNゲートウェイ装置 | リバースプロキシ(注)、ポートフォワーディング、L2フォワーディング |
| 認証方式 | サーバーは異なるが、クライアントは同じ | |
| アクセス制御 | 比較的困難 | 比較的容易 |
| ユーザーが用意するもの | VPN専用アプリ | 特になし(Webブラウザ使用のため) |
| 特徴 | ・特定の拠点間の通信に強い ・通信が比較的高速 |
・不特定の外部からのリモートアクセスに強い ・導入コストが抑えられる |
| 導入のしやすさ | 比較的難しい(各種設定あり) | 比較的易しい |
| 利用のしやすさ | いったん導入すれば、安全で利用できる範囲は広い | 安全に利用できる範囲は比較的狭い |
「リバースプロキシ」については、以下の記事で詳しく説明しています。
【実例】VPN Gateについて
ここではIPsec-VPNやSSL-VPNなどの異なる接続形式で具体的にどのようにVPN接続を行うのかイメージをつかむため、一例としてご紹介します。同サイトによれば、「筑波大学における学術的な研究を目的として実施されているオンラインサービス」です。一般利用者向けの専用アブリとして「VPN Gate Client」を公開しています。こちらのアプリを使い、特定のVPNに接続することができます。下図の設定画面で、まずは「ホスト名」「ポート番号」「ユーザー名」「パス」を入力し、必要に応じて各種設定を行います。
まとめ
IPsec-VPN とSSL-VPNの違いを把握したあと、組織にとりより良い方法の検討と導入と仮運用を経て本稼働が理想です。昨今のような緊急時では、既存のサービスから選択する方法もあると考えます。
カゴヤ・ジャパンでは、VPNに関連したサービスとして「マネージドVPNサービス(VMR)」(「FLEX」オプション)などを提供しています。
このようなサービスを導入することで、現場で利用される方の負担が少なく、より安全な方法を早期に導入が可能になります。リモートワークを円滑に推進する一手段として、検討されてみてはいかがでしょうか。
