SSL-VPNという言葉を聞いたことがありますか。コロナ禍において企業のリモートワーク化が推進され、SSL-VPNを用いた通信技術の注目度が高まっています。しかし、SSL-VPNという名称は聞いたことがあっても、どんな時に使うのか、どういった技術かを完全に理解している方は少ないのではないでしょうか。

今回は、外部からの安全なリモートアクセス環境を実現するSSL-VPNの仕組みや認証方式、さらに接続方法についてわかりやすく解説します。

SSL-VPNの基本：安全な接続を支える技術とは？

SSL-VPNとは、「Secure Socket Layer Virtual Private Network」の略称であり、データの送受信を暗号化するためのプロトコルであるSSLを用いた、リモートアクセス技術のことです。SSL-VPNを用いることで、インターネットを介して安全かつ手軽に企業内ネットワークへ接続することができます。

ここでは、SSL-VPN技術の特徴や仕組みについて説明します。

SSL-VPNの仕組み

先述の通りSSL-VPNは、データ送受信の暗号化プロトコルであるSSLを用いた技術です。SSLはインターネット上で情報を安全にやり取りすることを目的としており、ウェブブラウザにも標準搭載されているセキュリティ機能でもあります。サーバーとクライアント間の通信内容を暗号化することで、データの改ざんや盗聴を防止する仕組みです。

このSSLをリモートアクセス用途にも流用して生まれたのが、SSL-VPNです。既存の技術を活用していることからネットワーク設計がしやすく、また、基本的にファイアウォールの設定変更が不要、専用ソフトウェアをインストールしなくていいなど、導入へのハードルも低いのが特徴でもあります。

仕組み自体は、外部からの接続要求をSSL-VPNサーバーが受け取り、認証されたものだけが通信できるといったシンプルなものです。また、URLと認証情報を組み合わせることも可能なので、あるURLに対して特定のユーザはアクセスできるが、別のユーザは許可しないといった設定も柔軟に行うことができるので、取り扱いが楽なリモートアクセスともいえます。

SSL-VPNのメリット

SSL-VPNは導入プロセスが容易であり、運用面やコスト、利便性など、リモートアクセスを行いたい企業側が享受できるメリットが多数あることから、現在では多くの企業で採用されています。

複雑な設定をすることなく、社員の持つパソコンやスマホから社内ネットワークへアクセスできる環境を楽に構築したいのであれば、SSL-VPNは最良の方法になり得るはずです。

ここでは、SSL-VPNを用いるメリットについて詳しく解説します。

導入・運用が容易

SSL-VPNは他のリモートアクセス技術と比べても、導入・運用が容易であるといった特徴があります。SSLプロトコルに対応してさえいれば、ブラウザがインストールされているPCだけでなくスマホにも導入できるため、普段使い慣れているデバイスを使ってリモートアクセスが可能です。

リモートアクセスする側である社員にとっても、自宅のPCへ複雑な設定をすることなく利用できるので、直接のサポートが難しい遠隔地へいる社員にも導入しやすく、個々で接続環境が異なるテレワークなどの在宅業務にも柔軟に対応できます。

また、SSL-VPN自体が普及した影響もあって、企業向けのファイアウォールやUTMといったセキュリティ機器にSSL-VPN機能が標準搭載されていることが多くなり、すぐに運用を始められるのもメリットです。

このように導入・運用がし易いことから、SSL-VPNはリモートアクセス環境を導入する企業の選択肢の筆頭として挙げられています。

セキュリティ

リモートアクセスで用いられるVPN（Virtual Private Network）は、その名の通り、仮想的に専用回線を作る技術です。「トンネル」と呼ばれる通信暗号化方式によって、安全に通信を行うことができます。

そのVPN技術の一種であるSSL-VPNは、インターネット上でクレジットカード情報などの重要な情報を安全にやり取りする技術であるSSLをVPNに組み合わせているため、セキュリティ面も強固なのが特徴です。

SSLによって通信内容が他者へ盗まれないので、リモートアクセスで行う業務はもちろん、社内のサーバーからファイルをダウンロードする操作も安全に行うことができます。

ファイアウォールやUTMなどのセキュリティ機器に搭載されているSSL-VPN機能であれば、ユーザーごとに細かなアクセス権限の設定が可能なので、更にセキュリティを高めることができます。

コスト

SSL-VPNの基となっているSSLは、今もインターネット上に広く普及している暗号化技術であり、PCやスマホなどで使われる一般的なブラウザには標準搭載されているものです。

SSL-VPNはSSLに対応しているブラウザさえあれば、Webベースでリモートアクセスを行えるため、SSL-VPNを始めるために新たなセキュリティ機器や専用ソフトウェアを導入する必要がないため、コスト抑制に役立ちます。社員に支給している既存のPCやスマホをそのまま利用できるので、新たな設備投資は不要です。

また、企業向けに導入される昨今のファイアウォールやUTMには、SSL-VPN機能が標準搭載されていることが多く、新たにオプション機能として追加する必要がないこともメリットです。今後セキュリティ機器の導入を検討しているのであれば、SSL-VPN機能に対応しているかどうか事前の確認をおすすめします。

利便性

基本的にSSL-VPNは、Webからのアクセスを前提とした仕組みとして生まれました。特定のサーバーに対して、クライアントからSSLで接続するというシンプルなものですので、SSLに対応しているWebブラウザさえあれば、専用のソフトウェアが無くとも利用可能です。

ただし、WebベースでSSL-VPNを行う場合は、接続先もWebアプリケーションのみに限定されてしまいます。メールやWebシステムだけであれば問題ありませんが、Webブラウザに対応していない社内システムを使う場合は、Webアプリケーション以外にも接続できるSSL-VPN用ソフトウェアの導入が必要となります。

SSL-VPN用のソフトウェアといっても、ベンダが無償で公開しているソフトウェアやアプリも多いので、基本的にはいつでもどこからでも接続可能です。

BCP対策にも有効

SSL-VPNは、BCP（事業継続計画）対策としても有効です。コロナ禍におけるパンデミック、自然災害による被災時などで社内から通常業務を行えない状況にあっても、自宅にいながらセキュリティを担保しつつ、業務を継続できる最適な仕組みだといえます。

インターネット環境とデバイスさえあれば、どの場所にいてもSSL-VPN経由で社内ネットワークへ接続することが可能です。また、SSL-VPNを使用する際は専用ソフトウェアが無くとも、ID・パスワード入力によるセキュリティ認証を設定しておけば、他者がデバイスを操作して社内ネットワークへ侵入することも防ぐことができます。

よりセキュリティ面を高めたいのであれば、社員が使用するデバイス情報をセキュリティ機器に登録しておきましょう。①SSL-VPNで接続できる機器を限定②ID・パスワードと、2要素での認証環境が構築できるため、万が一、ID・パスワードを盗み取られてしまった場合でも安心です。

SSL-VPNの認証方式と暗号化の基礎

実際にSSL-VPNを構築する場合、認証方式と暗号化の仕組みを理解しておくことが大切です。特に認証方式は、社内の環境にもよりますが複数の方式から選ぶことができます。選ぶ方式によっては認証サーバーなども必要となるため、それぞれの特徴や技術の仕組みを理解し、適切なSSL-VPN環境の構築を行いましょう。

ここでは、SSL-VPNの認証方式と暗号化の基礎知識について解説します。

認証方式

安全な接続を保証するため、SSL-VPNではいくつかの認証方式を選んで構築するのが一般的です。以下、主な認証方式についてご紹介します。

• Active Directory（AD）
• LDAP
• RADIUS
• ローカルユーザー

このうち、AD・LDAP・RADIUSを用いた認証方式は、専用のサーバーが必要です。それぞれ細かな違いや特徴はありますが、一言でまとめるなら「認証サーバーから承認されたクライアントのみ接続できる」方式となります。専用のネットワーク機器を介す場合や、クライアント側へ証明書が必要になるなど、メリット・デメリットがあるので注意が必要です。

その中ではローカルユーザー方式が最もシンプルであり、馴染みやすい方式といえます。リモートアクセスを受け付ける機器側へ登録したユーザーのみが接続でき、ID・パスワードを用いた認証を行います。管理はし易い反面、ID・パスワードを詐取された場合のリスクについても考慮しておきましょう。

暗号化

SSL-VPNの元となっている、SSLによる暗号化技術についても解説します。通信の暗号化を行う目的は、通信内容の盗難・改ざん・なりすましを防止することですが、一口に暗号化と言っても、内部では複雑なプロセスを経ているのです。

SSLによる通信内容の暗号化を用いるのは、Webページへログイン情報を入力するときなど、重要度の高い情報を入力する時に必要ですが、このSSLの仕組み自体は「共通鍵暗号方式」と「公開鍵暗号方式」によって成り立っています。

PCなどのクライアント側からSSL通信を要求してきたら、Webサイトなどのサーバー側は「証明書」と「公開鍵」をクライアント側へ渡します。クライアントは受け取った公開鍵で共通鍵を暗号化し、またサーバー側へ送ります。これで双方が公開鍵・共通鍵を持った状態となり、互いに持っている鍵を使って暗号化→復号化を繰り返して通信を行うのが、SSLの仕組みです。

既にSSLの上位版としてTLSも登場していますが、SSLという名称が広く一般的に浸透したこともあり、現在は両者とも包括してSSLと呼ばれることが増えています。

SSL-VPNの接続方式とその比較

SSL-VPNにはいくつかの接続方式があり、それぞれで利用できるアプリケーションや必要となる機器などが異なりますので、どの方式が自身のビジネスに適しているのか検討する必要があります。

主に使われている接続方式とは「リバースプロキシ方式」、「ポートフォワーディング方式」、「L2フォワーディング方式」の3種類です。このSSL-VPNの接続方式3種類について、メリット・デメリットを比較しながら紹介します。

リバースプロキシ方式

リバースプロキシ方式とは、PCやスマホなどのクライアントからSSL-VPN装置側より指定されたURL（https://～から始まるもの）へWebブラウザを使ってアクセスし、ID・パスワードを用いたユーザー認証を行った後、許可された通信のみ通す仕組みとなっています。

SSLに対応したWebブラウザさえあれば、専用ソフトウェアなどを導入する必要が無く、他の方式と比べても容易に構築できるのが特徴。SSL-VPN接続方式の中でも多く利用されている方式です。

ただし、リバースプロキシ方式は、Webブラウザに対応していないアプリケーションには使用できません。社内で使用しているWebベースのシステムやメールならば利用できますが、会計ソフトや業務システムなど、PCへインストールしてから使う専用アプリケーションの場合、リバースプロキシ方式のSSL-VPNでは利用できないので注意が必要です。

ポートフォワーディング方式

リバースプロキシ方式はWebアプリケーションしか対応できないという課題点を解決するために考えられたのが、ポートフォワーディング方式です。この方式であれば、Webアプリケーション以外のアプリ・ソフトウェアにもSSL-VPN接続が利用できます。

Webブラウザだけでも接続可能なリバースプロキシ方式とは異なり、ポートフォワーディング方式では、クライアント側にVPN通信モジュール（JavaアプレットやActiveXなど）のインストールが必要です。ほとんどの場合、これらの通信モジュールはVPN接続を確立する際に自動的にダウンロードされるため、別途準備しておく必要はありません。

ただし、ポートフォワーディング方式は、事前に接続先のIPアドレスとポート番号を設定しておく必要があります。そのため、接続する度や通信中にポート番号が変更されるアプリケーションには対応していませんので、その点だけ注意が必要です。

L2 フォワーディング方式

ポートフォワーディング方式に対応できない、ポート番号が可変となるアプリケーションへのSSL-VPN接続に対応しているのがL2フォワーディング方式です。

L2フォワーディング方式は、ポートフォワーディング方式と同様にクライアントへ通信用モジュールを導入する必要がありますが、通信用モジュールが持つ仮想NIC（ネットワークインターフェイスカード）にVPN接続専用のIPアドレスが割り当てられ、通信中にポート番号が変更されるアプリケーションへも接続可能となっています。

全てのアプリケーションへSSL-VPN接続が可能となる反面、環境構築までのハードルが高いというのがデメリットです。既存のネットワーク環境へ後付けで構築する場合、稼働中のネットワーク構成を大きく変更しなければならない可能性があります。

ここまで紹介した接続方式について、下記の比較表へまとめていますので参考にしてみて下さい。

接続方式	接続可能なアプリケーション	通信用モジュール	構築の難易度
リバースプロキシ方式	Webアプリケーションのみ	必須ではない	★
ポートフォワーディング方式	ポート番号が可変しないアプリケーション	必須	★★★
L2 フォワーディング方式	ほとんどのアプリケーションに接続可能	必須	★★★★★

SSL-VPNの接続方式の選び方

ここまでSSL-VPN接続における3種類の接続方式を紹介しました。それぞれ特徴が異なるため、SSL-VPN接続へ求める要件に応じて適切な接続方式を選ぶ必要があります。どこまでアクセス制限を行うのか、求められるセキュリティレベル、そして使いやすさの観点から見たSSL-VPN接続方式の選び方について解説します。

必要なアクセスレベル

SSL-VPN接続において、社内ネットワークのどこまでアクセスを許容するかを決定しておきましょう。決められたアプリケーションのみの使用に限定する、もしくは、社内にいるときと同程度までアクセスを許可するかによって、選ぶべき接続方式は変わってきます。

アクセスレベルを細かく設定したいのであれば、「ポートフォワーディング方式」か「L2 フォワーディング方式」を選択しましょう。どちらも通信用モジュールを用いる通信方式であり、モジュール側の管理設定を調整することで、アクセスレベルを柔軟に設定可能です。

さらに「ポートフォワーディング方式」であれば、あらかじめ固定したIPアドレス・ポート番号を持つアプリケーションへしか接続できないため、使用できるアプリケーションを限定したい場合だと最もおすすめの接続方式と言えます。

セキュリティレベル

セキュリティレベルをどこまで求めるかによっても、接続方式が変わってきます。通信用モジュールが必須である「ポートフォワーディング方式」と「L2 フォワーディング方式」は、接続先の情報が分かっていても通信用モジュールが導入されていないとSSL-VPN接続自体ができないため、自ずとセキュリティレベルは高い水準となるでしょう。

一方、「リバースプロキシ方式」は、接続先のURLと認証情報（ID・パスワード等）さえ分かっていれば、誰でもSSL-VPN接続できてしまうといった点に考慮が必要です。また、リバースプロキシ方式だとSSL-VPN接続が確立した先の通信については暗号化されないため、セキュリティレベルが低いことについても理解しておきましょう。

使いやすさ

使いやすさの観点から見ると、「リバースプロキシ方式」が最もおすすめです。PCでもスマホでもSSL対応しているWebブラウザが導入されているデバイスでさえあれば、容易にSSL-VPN接続ができる手軽さがあります。例えば社内のメールシステムがWeb化に対応しているのであれば、外出先からスマホだけでメールチェックを行うことも可能です。

「リバースプロキシ方式」は構築までのハードルも低く、ファイアウォールなどのセキュリティ機器に搭載されているSSL-VPN機能では、この方式を標準で選べることも多いため、機器の導入と同時にSSL-VPNの接続環境が構築できるといったメリットもあります。

SSL-VPNの実装：プロトコル、トンネリング

外部から安全な接続を確立できるSSL-VPNはVPNプロトコルの一種ですが、VPNで用いられるプロトコルの種類は他にもいくつか存在します。プロトコルとは通信規約のことであり、VPN技術を構成している技術やルールが定められたものです。

VPNを実装する際は、どのようなプロトコルがあり、仕組みや用途について理解しておくことで、より安心してVPN接続を行うことができるでしょう。ここでは、VPN技術におけるプロトコルの種類、トンネリング技術について解説します。

VPNで用いられるプロトコルの種類

VPNで用いられるプロトコルには、いくつか種類と役割があります。

• IPsec-VPN（通信内容を暗号化する）
• L2TP（仮想トンネルを構築する）
• PPTP（仮想トンネルを構築する）
• IKEv2（暗号化を解除する共通鍵を交換する）

中でも「IPsec-VPN」は、SSL-VPN同様によく用いられているプロトコルであり、専用ソフトウェアの導入が必要とはなりますが、安全性が高いという特徴があります。また、他のプロトコルと組み合わせて使われることが多いです。

例えば、「IPsec-VPN＋L2TP」であれば、L2TPが仮想トンネルの構築を担いますが、L2TPだけでは通信の暗号化ができないため、IPsec-VPNが暗号化処理を行うという補完関係となっています。

「PPTP」はL2TPと同じ仮想トンネルを構築する役割がありますが、セキュリティ面に脆弱性があるため、今ではあまり使われていないプロトコルです。

トンネリング技術とその重要性

VPNを解説するにあたって、トンネリング技術は欠かせません。そもそもVPNの技術自体が、トンネリングと暗号化によって実現されているものだからです。

トンネリングとは、拠点間で通信を行うために仮想的な通信経路を作る技術のこと。まさに通信のトンネルを作るイメージです。トンネルを外から見たとき、トンネルの中を走っている車の台数や車種、色などは分かりません。それと同じように、外部のネットワークから通信内容が分からないように専用の通路を作っているのです。

そのトンネリング技術と、通信を送り届けた相手が本物かどうかを確認する方法として暗号化技術を組み合わせたもの、それがVPNの仕組みとなっています。実際にはトンネルの中で他のプロトコルが関連してくるのですが、興味がある方はぜひ調べてみてはいかがでしょうか。

SSL-VPNの導入と運用

ここまでSSL-VPNの仕組みや種類について解説しましたが、最後は実際にSSL-VPNを導入し、運用するまでのプロセスについて解説します。自社で新たにSSL-VPNを導入するとなった場合、どのようなステップを踏むべきかが分かります。

また、導入後の日々の運用方法とメンテナンス方法、どういった点に注意すべきかも併せてご紹介します。

SSL-VPNの導入プロセス

SSL-VPNの導入プロセスをご紹介します。プロトコルの種類はSSL-VPNとしていますが、基本的にVPN環境の導入はほとんどの部分が同一のプロセスです。

1. 導入するVPNの種類を選ぶ
2. VPNを構築するために必要な機器を導入する
3. （必要であれば）認証サーバーを構築する
4. VPN機器の初期設定を行う
5. VPNに接続するユーザー情報を決定する
6. クライアント用の通信モジュールを準備、設定する

まずは導入したいVPNの種類を決める必要があります。また、VPNの種類によって必要な機器が変わってくる他、通信事業者との契約も必要になる場合があるため、事前に確認しておきましょう。また、SSL-VPNにおいて認証方式を採用するのであれば、RADIUSサーバーなどの認証サーバーを別途構築が必要です。

機器やサーバーの手配・初期設定が完了したら、VPNへの接続を許可するユーザー情報を決定し、接続クライアントに通信モジュールを導入することで準備完了となります。

日々の運用とメンテナンス

SSL-VPNの導入後は、定期的に接続ログなどをチェックし、VPNの利用状況を把握しましょう。不正なアクセスを検知したらメールで通知してくれる等、VPN機器に搭載されているセキュリティ機能も活用して、日々の運用を行います。

また、SSL-VPNに関連するメンテナンスも欠かせません。特に接続ユーザーの管理は適切に行う必要があります。退職者が使っていたユーザー情報は、退職後すぐに削除するなどがその例です。ユーザー情報を残したままにしておくと悪用されてしまうリスクもありますので、運用ルールは管理者としっかり決めておきましょう。

こちらについても接続ログを確認することで早期に発見でき、不正利用を未然に防ぐことにも繋がりますので、VPN機器のハード面だけでなく、ソフト面についても継続してメンテナンスを行うことをおすすめします。

まとめ：SSL-VPNによる安全な接続がビジネスに与える影響

今回は、VPN技術の仕組みや認証方式、主な接続方法について解説しました。1990年代中頃に生まれた暗号化技術であるSSLが、現代では離れた場所からの安全なリモートアクセス技術へ活用されていることが分かって頂けたのではないでしょうか。

中でもSSL-VPNは、多数あるVPNの種類の中でも多くの企業で導入されており、未来の働き方として注目されているリモートワークには欠かせない技術だと言えます。今後も更に進歩が見込まれる技術でもあるため、まだ導入されていない企業様はぜひ検討してみてはいかがでしょうか。

SSL-VPNに限らず、VPN環境の構築やリモートワークに関するお悩みであれば、株式会社Jiteraに一度御相談ください。貴社に最適なVPN環境をご提案させて頂きます。