2月23日、AT&Tグローバルサービス、日本ベリサイン主催による「アドバンスト・セキュリティ・セミナー」が、丸の内三菱ビルのコンファレンススクエアエムプラスにて開催された。テーマは「セキュリティを強化したSSL-VPNソリューション」ということで、SSL-VPNアプライアンスサーバのAventailも協賛に名を連ねた。

SSL-VPNとは

OSI基本参照モデルの概念図

インターネット上でセキュアな通信を行う「VPN(Virtual Private Network)」の技術としては、従来「IPsec」が標準的に使用されてきた。IPsecはネットワーク層という比較的下層のレイヤで通信を暗号化するため、一旦接続を確立できさえすれば、上位層のどんなアプリケーションでも安全に利用できるという利点がある。しかしその一方で、設定が煩雑、専用ソフトが必要になる、相性によって接続できないことがあるなどの問題も多く、運用コストに頭を悩ませている導入企業も少なくないようだ。そこで、最近改めて注目を集めているのが、SSL-VPNだ。SSL-VPNは、その名の通りWebでもお馴染みのSSL(Secure Socket Layer)を利用してVPNを実現する技術だ。既に一般的に利用されているSSLを使うことで、改めてファイアウォールやルータの設定を変更したり、専用のクライアントソフトを用意する必要がない。つまり、IPsecよりも格段に容易に設定、運用が可能、というのが大きな利点である。

IPsecは、拠点同士のLAN間接続用途を中心として様々に応用されてきたが、SSL-VPNでは、主に社外から社内LANへのリモートアクセスが、その用途として想定されている。また、SSL-VPNは接続確率のための特別なクライアントソフトが不要な代わりに、利用できるのはSSLに対応したアプリケーションに限定される。イメージ的には、Webブラウザを介して社内のWebアプリケーションにHTTPSプロトコルで接続するような使い方が主になるだろう。ただ、NotesやSAP等Web以外のアプリケーションも、変換ゲートウェイや専用エージェントを用意することで対応は可能だ。

AT&TのSSL-VPNソリューション

セミナーでは、SSL-VPNに関する参加各社のソリューションが紹介された。まず、AT&TはAventailとのグローバルな協業契約に基づき、「AT&T SSL-VPNマネージド・サービス」ソリューション・パッケージを提供する。これは、AventailのSSL-VPNサーバの冗長構成でのレンタルに、導入サービスや保守などを付加したサービスだ。SSL-VPNサーバの機能には、Webブラウザから社内LANのファイルサーバやWebアプリケーションにアクセスできる「ExtraWebアクセス」に加え、オプションとして、NotesやOutlook等へのクライアント・レスアクセスを提供する「Downloadable Java Agent (Aventail OnDemand)」や、Windowsに特化した専用VPNクライアント「Windows Agent」などがある。また、他社製検疫製品と連携することで、端末を認証前に検疫することも可能だ。さらにAT&Tでは、パッケージ化されたサービスだけでなく、USBトークン、デジタル証明書などを組み合わせた個別のインテグレーションにも対応するという。

ベリサイン マネージドPKIサービス

SSL-VPNによって外部から社内LANにアクセスする場合、当然、正規のユーザを認証する手段が必要になる。そこで重要となるのが、「PKI(公開鍵暗号基盤)」、そして「電子証明書」の技術だ。SSLは公開鍵暗号によって通信を暗号化するが、その鍵自体の正当性が保証されなければ、暗号通信自体が信頼できなくなる。そこで、鍵が本人のものであることを証明するものとして、「認証局(CA)」が発行する電子証明書が利用されるわけだ。単純なID/パスワード認証では防げない「なりすまし」などの攻撃に対し、最低限の安全性を確保するにはこれらの導入は必須と言えるだろう。

「ベリサイン マネージドPKIサービス」は、企業が自社オリジナルの認証局を構築するためのアウトソーシングサービスだ。自社内でハード、PKIソフト、専任スタッフを揃えるよりも、低コストで自社ブランドの証明書を発行できる。SSL-VPNを使って顧客とのクローズドなネットワークを構築するなどの場合には、特に有効なソリューションだ。

なお、このセキュリティ・セミナーは今後シリーズ化され、四半期毎に異なるテーマで開催される予定だという。情報セキュリティに対する関心が高まる昨今、業界動向を知る機会として期待していきたい。