VPN 選択ガイド - Juniper Networks

ホワイトペーパー
VPN 選択ガイド
IPSec/SSL VPN の選択基準
ロスリン・リスラー
プロダクトマーケティング ディレクタ
サラ・ソレンセン
プロダクトマーケティング マネージャー
Juniper Networks, Inc.
1194 North Mathilda Avenue
Sunnyvale, CA 94089 USA
408 745 2000 or 888 JUNIPER
www.juniper.net
Part Number: 350037-001 04/04
ジュニパーネットワークス株式会社
〒163-1035 東京都新宿区西新宿3-7-1
新宿パークタワーN棟35階
電話03-5321-2600
FAX 03-5321-2700
URL http://www.juniper.co.jp
目
次
目次 ............................................................................................................................................................2
セキュアアクセスの概要 ........................................................................................................................3
ネットワーク層の IPSec VPN .......................................................................................................... 3
SSL VPN について ................................................................................................................................4
IPSec か 、SSL VPN か ......................................................................................................................5
TCO(システム運用にかかる総コスト)..............................................................................................6
セキュリティ ............................................................................................................................................7
ネットワークへのアクセス ..........................................................................................................7
アプリケーションアクセス ..........................................................................................................7
アクセス管理 ................................................................................................................................8
結論 ............................................................................................................................................................8
SSL 対 IPSec 選択基準チェックリスト ............................................................................................9
IT 環境 ....................................................................................................................................9
ユーザの種類 ..........................................................................................................................9
クライアント側のネットワークとデバイス ......................................................................9
アプリケーションとコンテンツ ........................................................................................10
VPN の選択基準
セキュアアクセスの概要
企業リソースへの安全なアクセスの提供は、今日の企業にとってミッションクリティカルな要件となって
おり、この成否が企業の差異化の鍵を握ることも珍しくありません。従業員にとっては、リモートオフィ
スや出張先での作業中に会社のリソースに簡単にアクセスできることが、職務を達成し生産性を維持する
ために不可欠です。また、ビジネスパートナーや顧客にとっても、自社のネットワークやアプリケーショ
ンにリアルタイムでアクセスできることは重要な意味を持ちはじめています。
1990 年代前半には、セントラルサイトの枠を超えて企業ネットワークの利用範囲を拡大するための選択
肢はかなり限られており、きわめて高コストで柔軟性に欠けるプライベートネットワークと専用線がほと
んどでした。やがてインターネットの発達と同時に、VPN(Virtual Private Network:仮想閉域網)と
いう概念がこれに代わるものとして生み出されました。大部分の VPN では、無料または公衆の長距離 IP
転送サービスや実績ある IPSec プロトコルを利用して、安全にアクセスする柔軟かつコスト効率的なソ
リューションを提供しました。ただし、VPN は、固定サイトツーサイトのネットワーク接続要件には効
率的に対応し得たものの、モバイルユーザにとっては総コストが高すぎ、ビジネスパートナーや顧客にと
っては導入が不可能でした。このような環境の中で登場した SSL VPN は、リモート/モバイルユーザ、
ビジネスパートナー、顧客に、必要な企業リソースへの簡単で安全なアクセスを可能にするものです。
IPSec と SSL VPN は共に、企業がそのオフィスとユーザに対し、安全にどこからでも利用できる企業
ネットワークを提供することを可能にし、ビジネス全体の成功を支援しています。
この文書ではまず、IPSec と SSL VPN の違いについて説明し、次に、各ビジネスニーズに適した技術
を選択する上で考慮すべき基準について検証します。
ネットワーク層の IPSec VPN
IPSec VPN つまりネットワーク層の VPN は、企業にサイト間通信を行うための簡単かつコスト効率的
な手段を提供することで、最も要求の厳しいネットワーク環境のニーズを満たすパフォーマンスの高い接
続性と耐障害性を実現します。プライベート回線(専用線)の安価な代替手段として設計された IPSec
VPN を使えば、企業はインターネットのインフラストラクチャを活用して、プライベートネットワーク
を地理的に分散した場所へ速やかに拡張することが可能になります。
技術的にネットワーク層のVPNは、繊細なマルチプロトコルトラフィックをどのように(IPプロトコルの
みを使い、通常クリアテキストのみを転送する)インターネットを利用するか、という課題に取り組みま
す。これは、暗号化機能とトンネリング機能を組み合わせることによって実現されます。ネットワーク層
の VPN では、IPSec を始めとするピアネゴシエーションプロトコルを使用して、転送データを IP「カ
プセル」に包み、インターネットに送出します。ネットワーク層の VPN ゲートウェイは、このカプセル
化されたデータを受信し、「カプセルから出す」、つまり復号化してから受信者に転送します。VPN ゲー
トウェイから着信したトラフィックは、LAN 自体のユーザからのトラフィックと同様に処理されます。
この結果、ネットワーク層の VPN は、ユーザ同士が物理的に接続されているのと同様の継続性あるネッ
トワークアクセスをユーザに提供できます。この方法は、地理的に離れたオフィスにいるユーザ間の頻繁
な通信およびリソース共有を容易にして、企業全体の生産性を向上させるには最適です。
ただし、場合によっては、このレベルのアクセスが不必要なこともあります。たとえば、電子メールのチ
VPN の選択基準
ェックや、イントラネットの特定のドキュメントを取り込むことのみが目的のモバイルユーザにとって、
ネットワーク上のすべてのリソースへの専用ラインは必要ありません。また、ユーザの接続元である「端
末」が安全でないか疑わしい場合、このレベルのアクセスはセキュリティリスクを生じさせる可能性があ
ります。実際に企業 LAN 内で稼働している PC を保護することは可能でも、アンマネージド(管理され
ていない)ネットワーク上のリモート PC にこうした予防策を実装するのは困難であり、費用もかかりま
す。このため、企業の管理下にある専用アクセスポイントからの接続以外は、リソースの利用およびセッ
ション維持を制限するなどの対策を講じることにより、セキュリティの脆弱性を修正する必要があります。
たとえば、アントラステッド(信頼されていない)ネットワークからアプリケーションやリソースに接続
しようとするリモートユーザは、シンプルでコスト効率的なアクセス手段を必要としますが、こうしたユ
ーザに対しては、当該のアプリケーションやリソース以外への接続を制限し、企業 LAN 全体へのアクセ
スを許可しないようにする必要があります。同様に、アンマネージドデバイスから特定のリソースへのア
クセスを許可されているビジネスパートナーに対しても、LAN 全体への接続については制限する必要が
あります。
IPSec VPN に関して考慮すべきもうひとつの点は、導入と維持に利用可能な管理リソースのレベルです。
中央拠点にいないリモートユーザやモバイルユーザは全員、自身のPCにクライアントソフトウェアをイ
ンストールする必要があります。数百人から数千人単位のモバイルユーザにリモートアクセスを提供しよ
うとする企業にとって、こうしたクライアントの導入、アップデート、管理は、時間的にもコスト的にも
大きな負担になります。リモートのビジネスパートナーや顧客まで考慮に入れれば、この負担は何倍にも
なります。地方支店、ブランチオフィス、リモートオフィスでは、信頼性と可用性に優れた接続を必要と
する一方で、管理対象となるネットワーク VPN デバイスの数は少ないのが普通です。これらに対しては
確かに、必要かつ適切な投資を行う必要があります。ただし、モバイル/リモート従業員、ビジネスパー
トナーや顧客のニーズを満たす目的で IPSec クライアントに投資するのはいろいろな意味で合理的では
ありません。たとえば、リモートユーザの接続には VPN クライアントソフトを必要とするため、リモー
トユーザが使用できるデバイスは、ソフトウェアがインストールされた PC(会社のラップトップなど)
に限られてしまいます。これでは、モバイルユーザにとって利便性の高い他のアクセス手段(インターネ
ットカフェや PDA など)を使用できないだけでなく、ビジネスパートナーや顧客が自身のネットワーク
内から接続するためのデバイスも対象から外されてしまいます。
こうした状況を背景に登場したのが、SSL VPN です。SSL VPN は、IPSec VPN がサイトツーサイト
接続向けに提供する、強力で信頼性の高い通信インフラストラクチャを高く評価するモバイルユーザ、ビ
ジネスパートナー、顧客向けに、使い勝手のよいソリューションを提供します。
SSL VPN について
SSL VPN という用語は、様々な技術から成る、新しく急成長している製品カテゴリを指すものとして使
用されています。このカテゴリに含まれる製品および技術を大まかに定義するには、まず「VPN」という
言葉自体から始める必要があります。VPN、すなわち Virtual Private Network とは、インターネット
のようなパブリックネットワークを介して、プライベートデータを転送することを指します。2001 年ま
で、VPN に接頭辞が付くことは、ほとんどありませんでした。当時利用できた VPN は、ほぼすべて各
種のネットワーク層転送を使用していたからです。一部のベンダーでは、L2TP (Layer 2 Tunneling
VPN の選択基準
Protocol) や PPTP (Point-to-Point Tunneling Protocol) といった他の手法を使用していますが、初
期における VPN の標準は、IPSec (IP Security Protocol) でした。
SSL VPN は、パブリックインターネットでプライベートデータを転送するのに、別の手法を用います。
エンドユーザが会社のラップトップにクライアントを設定しなくても、すべての標準 Web ブラウザでそ
のまま(追加のソフトウェアを必要とせずに)利用できる SSL/HTTPS を、安全な転送メカニズムとし
て使用します。SSL VPN を使用すれば、モバイルユーザと社内リソースを、アプリケーション層での
Web 接続を介して接続することができます。これは、IPSec VPN のオープン「トンネリング」が、ネ
ットワーク層で行われるのとは対照的です。SSL は、次のような理由で、モバイルユーザ向けに最適な
ソリューションとなっています。
・ 企業リソースへのアクセス用デバイスに SSL をダウンロードする必要がない
・ エンドユーザによる SSL の設定は必要ない
・ SSL は、標準の Web ブラウザがあればどこでも利用でき、会社のラップトップを必要としない
SSL は、技術的な知識のない大多数のユーザにとってもなじみ深いものです。標準の Web ブラウザを使
用するインターネット対応のすべてのデバイスに予めインストールされており、設定を必要としません。
アプリケーション層で動作する SSL は、どの OS にも依存していないため、OS に変更を加えても SSL
実装を更新する必要はありません。また、アプリケーション層で動作することから、アプリケーションに
対し非常にきめ細かいアクセス制御が可能で、安全とは限らない端末からアクセスするモバイル従業員や
ユーザ向けに最適なソリューションとなっています。
IPSec か、SSL VPN か
これら 2 つの技術のどちらを導入するかについて、多
IPSec VPN に関する詳細
くのユーザが判断に迷っています。IPSec と SSL
VPN のどちらが貴社ネットワークのセキュリティポ
リシーに適合し、どの問題にどの技術を利用するのが
適切なのでしょうか。IPSec と SSL VPN、本当に導
入と管理がしやすいのはどちらでしょうか。
ジュニパーネットワークスのホワイトペーパ
ー、
「Dynamic VPNs Achieving Scalable,
Secure Site-to-Site Connectivity: How
to replace WAN connections with a
more reliable communication(高拡張性を
IPSec と SSL VPN をめぐる議論では、プロトコル
の技術的詳細に重点が置かれており、両手法のどちら
かを選択するのに重要な実例は十分語られていません。
このため、ユーザの混乱は依然として解決されないま
まです。実際には、IPSec と SSL VPN は互いに排
他的な技術ではなく、多くの場合、ひとつの企業で両
方を展開可能です。どちらのプロトコルが何をできる
かではなく、どちらを導入すると何が達成できるのか
が決定要因となります。各技術の導入によるコスト/メ
持ちかつ安全なサイトツーサイト接続を実現す
るダイナミック VPN: WAN 接続をより信頼
性の高い通信インフラストラクチャに置換する
方法)」およびアプリケーションノート、
「How
Different Approaches to Site-to- Site
VPNs
Affect
Scalability
and
Connectivity(サイトツーサイト VPN に対
する 2 つのアプローチが拡張性と接続性に与
える影響)
」を参照してください。
リットを検討する際、それぞれの技術がどのような問
題に対応するために設計されたかを考え合わせれば、どちらを導入するかはおのずと明らかになります。
VPN の選択基準
高パフォーマンスと冗長性を備えたサイトツーサイト接続を実現する必要のある管理者にとっては、
IPSec VPN が役に立ちます。世界中の従業員に対して安全な「常時接続」を提供するという難問に対応
するため設計された IPSec VPN は、最善の生産性を得るのに必要な企業リソースへのアクセスを可能に
します。過去数年間、IPSec VPN は、別々の職場
にいる同じ会社の従業員間で持続的な通信を行うの
先鋭アナリストたちは、今後数年間にリモー
に不可欠な、耐障害性と信頼性に優れた接続を提供
ト/モバイル従業員用アクセス技術として優
してきました。IPSec VPN により地理的に離れた
位を占めるのは、SSL だと予測しています。
場所にいるユーザは、本社でログインしているのと
同様の操作ができ、実際に LAN 上にいるかのようにすべてのネットワークリソースに簡単にアクセスで
きるようになっています。
アプリケーション
PC の種類
リモートネットワーク
接続の種類
VPN の種類
常時接続
IPSec
非常時接続
SSL VPN
非常時接続
SSL VPN
セキュリティ
支店・支社
会社管理
企業管理対象、
社内網
モバイル従業員
企業または非企業
企業管理対象外、
社外網
パートナー/
非企業
顧客エクストラネット
企業管理対象外、
社外網
企業の管理下にある「トラステッド」な端末以外から接続するモバイル従業員およびその他のユーザに対
して、社内ネットワークへのアクセスを許可する必要のある管理者には、SSL VPN が有用です。SSL
VPN は、管理者が指定する社内リソースに対して、あらゆる場所から安全にアクセスする必要のあるパ
ートナーや顧客だけでなく、リモート/モバイル従業員のニーズにも対応するよう設計されています。
SSL VPN を使用すると、管理者は、非常にきめ細かいアクセス制御を導入でき、ユーザがアクセスでき
るアプリケーションをURLやファイル、サーバレベルで指定できます。この機能により、保護されていな
い端末、アントラステッドネットワーク、権限のないユーザからの社内ネットワークへアクセスに関する
リスクを緩和します。結論として、SSL VPNの利用によりユーザはどこからでも、どのようなWeb対応
機器を使っても社内ネットワークに簡単にアクセスできるようになります。
TCO(システム運用にかかるトータルコスト)
TCO(システム運用にかかるトータルコスト)は、どちらかの VPN 技術を選択する際に、重要な考慮事
項となります。決定にあたっては、技術そのものではなく、導入についてもう一度検証してみることが必
要です。支店や支社におけるようなサイトツーサイト接続用としては、IPSec VPN が最もコスト効率的
で道理にかなった選択です。IPSec VPN は、こうした環境のユーザが必要とする「仮想的にLAN で接
続された」環境を提供できる一方で、クライアントを個別に管理する必要はありません。他方、リモート
/モバイルユーザ、ビジネスパートナー、顧客など、接続に利用するデバイスやネットワークが様々であ
る場合、SSL VPN が最もコスト効果の高いソリューションです。SSL VPN を使えば、管理者はそれま
で投資してきた既存の認証製品を活用して、ロールベースまたはリソースベースのポリシーをきめ細かに
策定することにより、幅広いユーザグループに対して短時間でアクセスを提供できます。個別のソフトウ
ェアクライアントをインストールしたり、設定・管理する必要はありません。
VPN の選択基準
セキュリティ
IPSec VPN と SSL VPN の比較は、
「どちらのプロトコルがより安全か」という議論に帰着しがちです。
実際には、リモートアクセスおよびサイトツーサイト
VPN 用に SSL と IPSec のどちらを採用するかの問題
IPSec VPN は、リモートネットワークま
と、このテーマはほとんど関係がありません。どちらの
たはホストと、ユーザのプライベートネッ
プロトコルでも、転送時の安全なキー交換と強力なデー
トワークの入り口に位置する IPSec ゲ
タ保護の提供という同様の目的は達成されています。プ
ートウェイ間で交換される IP パケットを
ロトコルにおける大きな違いはあるものの、IPSec も
保護します。SSL VPN 製品は、リモート
SSL もきわめて高レベルという点では共通しています。
両技術とも、ネットワークトラフィックを効率的に保護
するものであると同時に、互いにトレードオフ関係にあ
ユーザから SSL ゲートウェイへのアプリ
ケーションストリームを保護します。すな
わち、IPSec は、ホストを企業のプライ
ベートネットワーク全体へ接続するのに対
りそれぞれが異なるアプリケーションに適しています。
し、SSL VPN は、プライベートネットワ
実装するプロトコルは大きく異なるものの、この 2 つの
ーク内のサービスやアプリケーションに
システムは、強力な暗号化および認証機能、セッション
ユーザを接続するものであると言えます。
キーといった概念など、多くの類似点を共有しています。
またどちらのプロトコルも、主要な暗号化、データ統合、認証方式(3-DES、128 bit RC4、AES、
MD5、SHA-1 など)をサポートしています。
ネットワークへのアクセス
IPSec VPN は、企業の LAN または LAN 内の VLAN を仮想的に延長できるように設計されています。
このようなアクセスは、従業員が制約を受けずに、効率的に様々な業務アプリケーションにアクセスする
必要のある支店や支社では不可欠です。サイトツーサイトを導入しているユーザは、会社の LAN で採用
されているのと同じセキュリティポリシー(会社所有のデバイスまたはマネージドデバイス、トラステッ
ドネットワークトポロジなど)の対象となるため、LAN 配備自体がもたらす以上の重大なセキュリティ
リスクが形成されることはありません。しかし、こうしたセキュリティポリシーは、様々なデバイスやネ
ットワークから特定のリソースにアクセスしようとするモバイルユーザやビジネスパートナー、顧客に対
しても効率的に拡大して適用できるものではありません。こうした用途でリモートアクセスにおけるリス
クを低減できるコスト効果の高いソリューションが、SSL VPN です。
実際、SSL VPN は、会社が管理していないデバイスを含めて様々なデバイスを介したアクセスが可能で
あること、また広範なエンドユーザに導入が容易である点などが、問題として指摘されています。ただし、
実際問題としてこれは正しい指摘とは言えません。今日の多くの SSL VPN 実装には、エンドポイント
セキュリティを強化するための手法が組み込まれており、セッション中に PC にダウンロードされたデー
タを「削除」する機能も追加されています。
アプリケーションアクセス
IPSec VPN では、すべての IP ベースのアプリケーションをサポート可能です。IPSec VPN 製品にと
ってすべての IP パケットは同じなのです。このため、IPSec VPN は、特定のアプリケーションのみに
制限することなくネットワーク接続を提供するサイトツーサイト展開用として道理にかなった選択となっ
VPN の選択基準
ています。SSL VPNの場合、ブラウザを介してクライアントインタフェースを提供し、ゲートウェイ経
由でアプリケーションストリームを中継したり、宛先サーバーをプライベートネットワーク内に統合する
といった方法を取るため、各ベンダーまたは製品によって異なり、SSL VPN によって提供されるサービ
スはバラエティに富んだものとなっています。以前の SSL では、各アプリケーションが SSL に対応し
ていなければならなかったため、新規機能の開発や、新規ソフトウェアの配布を必要としました。かつて
指摘されていたこの問題は、現在大半の主要な SSL VPN ベンダーによって解決されています。クライ
アント/サーバーアプリケーションまたはフルネットワークアクセス用のクライアントプロキシに加え、
クライアントレスの Web アクセスも提供されており、結果的に、SSL VPN はほとんどすべてのアプリ
ケーションに安全にアクセスできる手段として、様々なタイプのユーザに利用されるようになっています。
もう一度要約すると、信頼できるネットワーク上で管理されたデバイスからの完全なフルネットワークア
クセスをすべてのユーザに提供することが導入の目的であれば、IPSec VPN が最適です。他方、特定の
企業ネットワークリソースに対するユーザアクセスを制御し、管理できないエンドポイントからのモバイ
ル従業員およびその他のユーザ(ビジネスパートナーや顧客など)に対しても安全なリモートアクセスを
提供するのが目的であれば、SSL VPN が最適であるということです。
アクセス管理
もうひとつの考慮事項はアクセス制御です。IPSec ゲートウェイでは、パケットフィルタリングベースの
アクセス制御をサポートしています。実際には、ほとんどの企業が各 IP アドレスの変更や新規アプリケ
ーション用のポリシーを作成または変更する煩雑さを避け、サブネット全体へのホストアクセスを許可し
ています。信頼できるユーザグループに、プライベートサーバーやサブネット全体へのアクセスを提供す
るのであれば、IPSec VPN が最良の選択です。他方、導入に求めるものが、ユーザ、グループ、または
リソース単位のアクセス制御であれば、SSL VPN が最良の選択です。これは、SSL VPN が、アプリケ
ーション層で動作するため、アクセス制御のセットアップが容易であるという理由によります。新たなア
クセス管理機能では、動的な認証およびグループマッピング、高い柔軟性と表現力を備えたリソースベー
スの認証を可能にしており、きわめてコスト効果の高い方法で会社のセキュリティポリシーを実施できます。
結
論
重要なのは、「どちらの暗号化プロトコルがよいか」ではなく、「リモートアクセスソリューションのニー
ズを満たすには、どちらのセキュリティ技術が最適か」という問いかけです。IPSec は、ほとんどすべて
の IP トラフィックの保護に利用できる一方で、SSL は、アプリケーション層のトラフィックに特化され
ています。このため、広範で持続的なネットワークレベルでの接続が求められる長期の接続には、IPSec
が向いていると言えます。逆に、ユーザ毎でアプリケーションやリソースに対するアクセス制御を行いつ
つ、幅広い環境から接続させる必要があるシステムには、SSL が向いています。
チェックリスト
VPN の選択基準
SSL 対 IPSec 選択基準チェックリスト
IT 環境
IPSec VPN
SSL VPN
接続の種類
固定接続
一時接続
デバイスの種類
会社で管理された端末
様々なデバイス
アクセスの種類
サイトツーサイト
リモート従業員、ビジネスパートナー、
顧客
アクセス制御
柔軟なアクセス制御が可能
ユーザの種類
IPSec VPN
遠隔オフィス従業員
○
IT 担当者
○
SSL VPN
○
モバイル従業員
○
帰宅後業務ユーザ
○
契約社員
○
顧客
○
ビジネスパートナー
○
クライアント側の
ネットワークとデバイス
IPSec VPN
SSL VPN
デバイスの種類
企業の管理下
非管理下
ネットワークの種類
信頼できる
信頼できない
利用環境
支社、支店
ホテル、公共の端末
(インターネットカフェ)、
顧客やビジネスパートナーの PC、
家庭ネットワーク
VPN の選択基準
アプリケーションとコンテンツ
IPSec VPN
IP 電話
○
アプリケーションのアクセス制御を
○
SSL VPN
必要としないサブネット全体
アクセス制御を必要とするネットワーク
○
(イントラネットおよび
エクストラネットを含む)
Web アプリケーション
○
○
クライアント/サーバーアプリケーション
○
○
イントラネットコンテンツ
○
○
電子メール
○
○
ファイルサーバー
○
○
アプリケーションに依存した
○
○
サーバからのソケット通信