このページの本文へ

VPN完全制覇 ― 第4回

セキュリティ装置の一部となったVPN

VPNを実現するさまざまな製品

2010年01月25日 06時00分更新

文● 大谷イビサ/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

これまで紹介してきたVPNプロトコルを用い、実際にVPNを構築するためには、VPNゲートウェイやソフトウェアが必要となる。ここではルーター、ファイアウォール、UTM、そして専用アプライアンスなど、VPNを実現するための製品について見ていきたい。

LAN 間接続VPNとリモートアクセスVPN

 ひと口でVPNといっても、実際には大きくLAN 間接続VPNとリモートアクセスVPNという2つの利用形態がある。

 LAN間接続VPNとリモートアクセス間VPN

 LAN間接続VPNは、文字通り遠隔にあるLAN同士をVPNで相互接続する形態で、サイト間VPNとも呼ばれる。これを実現するにはVPNのトンネルを構築するVPNゲートウェイと呼ばれる装置が必要になる。すなわち、LAN内のクライアントからのパケットをVPNプロトコルでカプセル化・暗号化し、宛先となるVPNゲートウェイまで流す。一方、VPNトンネルの出口でパケットを受け取ったVPNゲートウェイは、トンネルを終端し、暗号化されたパケットを復号することで、宛先のクライアントにまで送るという役割を担う。

 一方のリモートアクセスVPNは、モバイル環境や出張先のPCからの接続要求を受けて、PCとLAN間でトンネルを構築する。つまり、LAN間接続VPNと異なり、VPNゲートウェイの通信相手は、PC 上に搭載されたVPNクライアントソフトである。

 このように利用形態によって、VPNを実現する製品は異なる。以下、これらのVPN製品の詳細と選び方について見ていこう。

VPN構築でスタンダードな
ルーターとファイアウォール

 現在、LAN間接続VPNの構築においてメインで利用されるのが、ルーターとファイアウォールである。利用されるVPNプロトコルはIPsecがほとんどだが、L2TPやEthernet over IPなどのレイヤ2のVPNプロトコルをサポートする機種も存在する。

 そもそもLAN 間接続自体を役割とするルーターが、VPNの機能を搭載するのはきわめて自然なことだ。今まで、宛先となるルーターやホストにWANやEthernet経由で転送していたのを、トンネル、暗号化、改ざん検知などの各種VPN処理を経た後、転送すればよいからだ。また、インターネットとLANの境界線上に設置するゲートウェイ型ファイアウォールがVPNゲートウェイとして動作するのも、進化の方向性として当然といえる。

 2000年以降のブロードバンド化普及の過程で大きく変化したのは、ソフトウェアからハードウェアへの移行である。前パートで述べた通り、IPsecのようなVPNプロトコルでは元パケット自体を暗号化したり、改ざん検知のためのハッシュ値を算出したり、認証を行なったり、新しいヘッダを取り付けたり、といった作業をパケットごとに行なう。特にパケットの盗聴や改ざんを防ぐ暗号化の処理はCPUに大きな負荷をかける。ISDN程度の帯域であればよいのだが、ADSLやFTTHがメインになると、この負荷は大きなボトルネックになる。

 その結果として、ソフトウェアベースのVPN製品はなりを潜め、ことLAN間接続用の製品に関しては、暗号化をASICのような専用ハードウェアで行なうアプライアンス製品が主流になっている。代表的な製品としては、ネットスクリーン(現ジュニパーネットワークス)のファイアウォール・VPNアプライアンス「NetScreenシリーズ」や、ヤマハの「RTX1000」などが挙げられる。

ヤマハのVPNルーター「RTX1000」

 さらに、2005年以降はファイアウォール・VPNアプライアンスに加え、アンチウイルスやIDS・IPS、アンチスパム、Webフィルタリングなど複数のセキュリティ機能を搭載したUTM(Unified Threat Management)が台頭。VPNはセキュリティ機器の機能の一部として、完全に統合されている。実際に次パートではUTMによるインターネットVPN構築の例を紹介していく。

 とはいえ、企業ネットワークの根幹をなすVPNの構築に関しては、既存の専用機を用いるというケースもあるので、どちらを選べばよいかは一概にはいえない。いずれにせよ、トンネル単価は5年前に比べても急激に下落しており、パフォーマンスの面でも不満を感じることは少ないだろう。

リモートアクセスはSSL-VPNに収斂

 一方、リモートアクセス型VPNに関しては、リモート側のPCからLANへの入り口になるVPNゲートウェイにトンネルを構築することになる。そのため、クライアントPCのVPN機能の実装のために、クライアントPCのOSでサポートされているVPNプロトコルか、別途ソフトウェアをインストールするか、の選択を迫られる。Windowsの場合はPPTPが標準でサポートされているが、あいにく着信を受けるVPNゲートウェイ側でPPTPをサポートする製品が少ない。そのため、従来はVPNゲートウェイベンダーのIPsecクライアントソフトをインストールして、リモートアクセスを実現することが多かった。

 しかし、PC1台ごとにVPNクライアントソフトを導入すると、管理は面倒だし、接続台数ぶんのライセンスも必要になる。そこで登場したのが、SSL-VPNである。SSL-VPNを用いると、Webブラウザからリモートアクセスできるため、専用のVPNクライアントソフトが必要ない。インターネットとLANの間にSSL-VPNゲートウェイと呼ばれるアプライアンスを設置し、リモートPCからの着信を受け付けられるようにすればよい。クライアント側はWebブラウザでSSL-VPNゲートウェイのURLを指定し、ユーザー認証をパスすれば、SSLのトンネルを介して、社内のサーバにアクセスすることができる。

 当初、Webでの通信のみサポートしていたSSL-VPNだが、昨今はActive Xコントロールなどを介して、他のアプリケーションの通信もサポートできるようになっている。また、IPsecに比べてアプリケーションごとのアクセス制御も容易で、(SSLを通常は通す設定になっているため)ファイアウォールの設定変更も不要というメリットもある。その結果、リモートアクセスVPNの手法としては、ポピュラーになっている。

 昨今では、パンデミックや災害対策時に在宅勤務を実現する手段としてSSL-VPNがおおいにもてはやされており、こうしたパンデミックや災害対策を意識したインスタントなライセンスも用意されている。

ソニックウォールのSSL-VPNゲートウェイ「Aventail E-Class SRA EX7000」

 製品は当初高価であったが、最近は安価なSSL-VPNゲートウェイも登場している。また、IPsecと同じくUTMの機能として統合している製品も増えているので、選択肢に加えたい。

カテゴリートップへ

この連載の記事
ピックアップ