暗号化、認証、トンネリングを実現する

VPNのプロトコルを知る

2010年01月18日 07時00分更新

文● 遠藤哲

リモートアクセスに便利なPPTP

　IPsecは基本的に、遠隔地の2つのネットワーク（LAN）を接続するために使われるVPNプロトコルである。一方、出張などで出先に持って行ったノートPCから会社のネットワークに接続したい場合もあるだろう。こうした、ユーザーのPCからインターネット経由でLANに接続する形態のVPNを、「リモートアクセスVPN」と呼ぶ。

　リモートアクセスVPNに使うプロトコルの代表的なものに、ダイヤルアップ接続で使われた「PPP（Point to Point Protocol）」を利用する「PPTP（Point to Point Tunneling Protocol）」と、Webブラウザの暗号化通信に使うSSLを利用した「SSL-VPN」がある。続いてこれらの仕組みについて解説しよう。

　PPTPによるリモートアクセスVPNの典型が、自宅のPCからISPのサービスを使ってインターネットに接続し、インターネット経由で社内ネットワークに接続する形だろう（図5）。この場合、パケットのカプセル化は自宅のPCの内部で行なわれる。具体的には、

図5　PPTPによるリモートアクセス

PPPフレーム化: オリジナルのパケット（ペイロードからIPヘッダ）がPPPによってカプセル化され「PPPフレーム」が作られる。オリジナルパケットのIPヘッダの宛先IPアドレスは、社内ネットワーク内のサーバーのIPアドレスだ
暗号化: PPPフレーム全体が「MPPE（Microsoft Point to Point Encryption）」というプロトコルで暗号化される
GREによるカプセル化: MPPEによって暗号化されたPPPフレームをGRE（Generic Routing Encapsulation）でカプセル化。PPTPサーバーのグローバルIPアドレスなどを付与するという手順となる。GREはTCPと同じトランスポート層のプロトコルで、プロトコル番号は47だ。PPTPをファイアウォール越しに使うには、このGREを通す設定が必要となる

　IPsecがオリジナルデータをESPで直接カプセル化するのに対し、PPTPは一度PPPフレーム化してからGREでカプセル化するわけだ。なお、社内ネットワークにアクセスするためにはユーザー認証が必要となるが、PPTPでは認証方式として「MSCHAP（Microsoft PPP CHAP Extension）」を使う。

SSLを応用したSSL-VPN

　SSL-VPNは、SSLとリバースプロキシ技術を組み合わせるVPNである（図6）。SSL-VPNのメリットの1つは、クライアントPCが標準搭載するWebブラウザを使用してリモートアクセスできることだ。IPsecやPPTPを利用するにはネットワーク接続の設定が必要になるため、コンピュータにあまり詳しくない人には敷居が高い。しかしSSL-VPNであれば、Webサイトを閲覧している要領で利用できる。

図6　SSL-VPNによるリモートアクセス

　クライアントがSSLで通信するのはSSL-VPN 装置までで、この間がSSLトンネル（HTTPS）となる。SSL-VPN装置は外部ネットワークから内部ネットワークへアクセスするプロキシ（リバースプロキシ）として動作する。SSL-VPN装置でユーザー認証を行ない、社内ネットワークへアクセスするという流れになる。

　先ほどSSL-VPNのメリットとして標準のWebブラウザが使えることだと紹介した。ところがWebブラウザを使うだけでは、WebグループウェアやWebメール、ブログなどWebアプリケーションしか利用できない。業務システムの多くがWebアプリケーション化している昨今では、Webブラウザさえ使えれば十分というケースも多いだろう。それでも、出張先から社内のファイルサーバにアクセスしたいという要望が出ることもあるはずだ。

　そこで多くのメーカーの製品は、専用のクライアントツールをインストールすることで、SSLに標準では対応しないアプリケーションからSSL-VPNが利用できる仕組みを用意している。ツールのインストールと聞くとコンピュータに詳しくない人には敷居が高いと感じるかもしれない。しかし、このツールをActiveXやJavaアプレットとして作り、WebブラウザでSSL-VPN 装置にアクセスしてリンクをクリックするだけで自動インストールされるといった仕組みが一般的になっている。そのため、多くの人が簡単に利用できるはずだ。