FTTHなどブロードバンドサービスが普及した結果、現在ではインターネットの高速な常時接続環境が当たり前になっている。インターネット上のさまざまなリソースを利用できるだけでなく、インターネット経由で外部から社内リソースへアクセスすることも手軽に行えるなど、PCユーザを取り巻く環境は劇的に向上した。

ただし、便利さとセキュリティ上のリスクは相反するもの。便利になればなるほど、危険も増大するため、中小企業やSOHOであってもやはり最低限の対策は施しておく必要があるだろう。

本稿では、そうした問題を1台で解決できるネットギア UTMシリーズを紹介したうえで、同製品を使って安全なSSL-VPN環境を実際に構築してみよう。

ネットワークセキュリティ機能を1台で実現

ネットワークのセキュリティを確保するために、複数の機器を組み合わせていることが多い。ファイアウォールやIPS(Intrusion Prevention System)やVPNゲートウェイ、スパム/ウィルス検知システムなどだ。しかし、複数の機器を組み合わせると、どうしてもネットワーク構成が複雑になり、運用の負荷も大きくなってしまう。そこで、注目されているのがさまざまなネットワークセキュリティ機能を1つにまとめたUTM(Unified Threat Management)だ。UTMでは一般的に1台で、次のようなセキュリティ機能を実現できる。

  • ファイアウォール
  • IPS
  • VPNゲートウェイ
  • スパム/ウィルス検知
  • Web/メールフィルタリング

主にSMB(Small and Medium Business)環境向けのコストパフォーマンスに優れたスイッチやストレージ製品などを提供しているネットギアは、UTMもその製品ラインナップに加えるようになり、日本でも提供するようになった。ネットワークの規模に応じて、UTM10/25/50/150という4つのモデルがある。

※ネットギア UTMシリーズ Webサイト http://www.netgear.jp/products/business/security/UTM-series

今回は、ネットギアのUTMシリーズのインターネットVPN(VPNゲートウェイ)機能を紹介しよう。

インターネットVPNの概要

まず、インターネットVPNについて簡単に振り返っておこう。VPN(Virtual Private Network)とは、自前ではないネットワークインフラを仮想的に専用のプライベートネットワークであるかのように扱うための技術を指す。そして、インターネットVPNとは、インターネットという世界規模のオープンネットワークをあたかも専用のプライベートネットワークのように扱う技術である。インターネットを仮想プライベートネットワークとして扱うための具体的な仕組みは、次の3つだ。

  • データの暗号化
  • データの改ざんチェック
  • データの送信元の認証

インターネットVPNの実現のためには、インターネット上を転送する際に関係のない第三者やクラッカーに盗聴されないようにデータを暗号化する。また、インターネット上で転送される際にデータが改ざんされていないことをチェックしなければならない。さらに、通信する送信元が正規のユーザや機器であるかを認証することも必要だ。 前述のように、インターネットの常時接続環境が当たり前となり、インターネットVPNを利用することで、低コストでありながら高速な拠点間の接続やリモートアクセスを実現することができる。

図1 インターネットVPNの概要

こうしたインターネットVPNを実現するための3つの仕組みを提供するプロトコルとして、IPSec、SSL、PPTP、L2TPなどが挙げられる。ネットギアのUTMは、これらすべてに対応している。
一般的にインターネットVPNといえば、IPSecを利用したインターネットVPN(IPSec VPN)の構築が多かった。ただし、IPSec VPNは構築や運用で難しい面がある。そこで、最近では、SSLを利用したインターネットVPN(SSL-VPN)が注目されている。
ネットギアのUTMでもSSL-VPNに対応しており、ウィザードを利用して設定すればすぐにSSL-VPNを利用できる。以降では、SSL-VPNの特徴とネットギアUTMシリーズでの設定について解説していこう。

SSL-VPNの特徴

SSL-VPNとは、SSLを利用したVPNである。SSLはインターネットのオンラインショップでの買い物などでお馴染みだろう。デジタル証明書によって、通信先のサーバが正規のサーバであることを確認し、サーバとやり取りするデータの暗号化および改ざんチェックを行うことができる。
SSL-VPNには、次の3種類の方式がある。

  • リバースプロキシ
  • ポートフォワーディング
  • フルトンネル

ネットギアのUTMシリーズでは、ポートフォワーディングとフルトンネル方式のSSL-VPNをサポートしている。これらのSSL-VPN方式にはそれぞれ特徴があるが、フルトンネル方式が利用可能なアプリケーションの制約がなく、最も柔軟な構成をとることができる。
クライアントには、SSL-VPNフルトンネル方式用の仮想的なネットワークインタフェースが作成され、仮想ネットワークインタフェース経由の通信データがすべてSSL暗号化される。クライアントの仮想ネットワークインタフェースには、UTMから社内ネットワークにアクセスできるSSL-VPNクライアント用のIPアドレスを割り当てる。つまり、フルトンネル方式のSSL-VPNではクライアントは社内ネットワークに直接接続しているように扱うことができ、社内のリソースへの柔軟なアクセスを提供可能だ。

図2 フルトンネル方式のSSL-VPN

こうしたフルトンネル方式のSSL-VPNでは、クライアントに専用のソフトウェアが必要だ。ネットギアUTMシリーズでは、クライアント用ソフトウェアはActive Xで作成されている。クライアントがSSL-VPNでアクセスする際にオンデマンドでインストールできるので、クライアントソフトウェアの配布やインストールについての管理上の負荷は小さいことが特徴だ。