SSL-VPNとIPsec-VPNは、いずれもインターネット上で仮想の専用回線を使えるようにする「インターネットVPN」の一種です。この記事では、SSL-VPNとIPsec-VPNの違いについて、プロトコル階層・利用環境・運用・管理面の違いに着目して解説します。それぞれに適した利用シーンもまとめているため参考にしてください。

製品の人気ランキングを見る

※外部の資料請求サイト『ITトレンド』へ遷移します。

SSL-VPN・IPsec-VPNとは

SSL-VPNとIPsec-VPNは、インターネットVPNの一種ですが、仮想の専用回線を実現する仕組みに違いがあります。両者の概要について解説します。

1、SSL-VPNとは

SSLとは「Secure Sockets Layer」の略で、WebブラウザとWebサーバー間のデータを暗号化して送受信する、ネットワークセキュリティ技術のひとつです。

SSL-VPNとは、VPNで送受信するデータをSSL技術で暗号化するタイプのインターネットVPNです。リモートアクセス端末とVPN装置の間でやり取りするデータを暗号化し、特別な設定などは必要ありません。

SSL-VPNでプライベートネットワークを実現する方式は、組み合わせる技術により主に3種類あります。それぞれの方式とその特徴について確認しましょう。

SSL-VPNの方式 特徴
リバースプロキシ HTTP通信をSSL化した「https」から始まるURLを入力して、VPN装置にアクセスする方式。Webブラウザがあれば実現可能。メールサーバーなどWebブラウザに対応していない場合は、別途カスタマイズが必要。
ポートフォワーディング 許可する端末のIPアドレスとポート番号を定義しておく方式。Webブラウザに対応していないアプリケーションでも利用できるが、IPアドレスを動的に変更するアプリケーションでは使えない
L2フォワーディング IPアドレスやポート番号が記録されたパケットをカプセル化してVPN装置に届ける方式。Webブラウザ非対応・動的なIPアドレスを利用するアプリケーションでも導入可能。ただし利用者側の端末OSはWindowsに限られる製品が多い。

多く見られる方式は、利用者側の端末にWebブラウザが入っていればすぐ利用できるリバースプロキシ方式です。L2フォワーディング方式は、対応アプリケーションの幅が広い点が魅力ですが、クライアント端末の対応OSはWindowsに限る場合が多い点がネックとなります。

2、IPsec-VPNとは

IPsecとは「Internet Protocol Security」の略で、IPパケット(データを送る箱のようなもの)を暗号化して安全に接続する仕組みです。

IPsec-VPNは、複数拠点のLAN同士を接続する方式のなかでも高セキュリティであり、多くの会社が利用しています。リモートアクセスに対応するには専用のクライアントソフトのインストールや環境設定が必要です。

SSL-VPNとIPsec-VPNの違い

SSL-VPNとIPsec-VPNの違いは、プロトコル階層・利用環境および運用や管理面にあります。両者の相違点を以下の比較表で確認しましょう。

比較項目 SSL-VPN IPsec-VPN
プロトコル階層 セッション層 ネットワーク層
利用環境

リモートアクセス型

ファイアウォールで許可するプロトコル:
SSL(443/tcp)、(インターネット経由でメールを利用する場合)POP over SSL(995)、
IMAP4 over SSL(993)

サイト間接続型・リモートアクセス形態にも拡張

ファイアウォールで許可するプロトコル:
IKE(500/udp)、ESP(プロトコルID:51)、UDP-Encapsulation(●●●/udp)※●●●は製品により異なる

運用・管理面

利用者側の端末にSSL対応のWebブラウザがあれば利用できる

片方向認証(クライアントからサーバー)のためクライアント側に特別な設定不要、証明書を発行する場合はクライアント側に証明書が必要

利用者側の端末に専用のクライアントソフトウェアが必要

両方向認証(クライアントからサーバー、サーバーからクライアント)

それぞれの比較項目について順番に説明します。

1、プロトコル階層による違い

SSL-VPNはセッション層で実装される技術であり、1段階下位のトランスポート層のプロトコルごとに実装しなければなりません。トランスポート層のプロトコルとは、HTTP・POP・FTPなどです。

SSL-VPNで複数のトランスポートプロトコルに対応するには、2種類の方法があるためどちらにするかを検討する必要があります。ひとつ目の対応法はアプリケーションのカスタマイズです。もうひとつの対応法は、複数のトランスポートプロトコル対応SSL-VPN製品の導入です。

IPsec-VPNは、トランスポート層よりも物理寄りのネットワーク層で実装されます。そのため、SSL-VPNのようにトランスポート層のプロトコルに影響されることなく実装可能です。

2、利用環境における違い

SSL-VPNは、Webブラウザさえあれば接続可能で、リモートアクセスに向いている技術です。一方、IPsec-VPNは拠点間接続技術として開発された経緯があります。IPsec-VPNもリモートアクセスができるように拡張していますが、標準化されていない仕様もあるため、相互接続性が課題です。

また、ファイアウォールの設定にも違いがあります。SSL-VPNは許可するトランスポート層のプロトコルを設定します。製品によってWebインターフェースに統一されている場合は、SSL(443/tcp)のみ設定すれば問題ありません。IPsec-VPNの場合は、IKE・ESPの2種類プラス必要に応じて製品固有のUDPを定義します。

3、運用・管理面における違い

運用・管理面におけるSSL-VPNとIPsec-VPNの大きな違いは、リモートアクセスする利用者側の端末にクライアントソフトが必要になるかどうかです。SSL-VPNは基本的にWebブラウザがあればよく、環境設定も不要です。一方IPsec-VPNは、専用のクライアントソフトをインストールし、環境設定が必要になります。

SSL-VPNとIPsec-VPNの違いを把握したら、どういう場面でどちらを選べばよいのかも確認しましょう。

製品の人気ランキングを見る

※外部の資料請求サイト『ITトレンド』へ遷移します。

SSL-VPNに適した3つのケース

SSL-VPNの導入に適したケースとして、3ケースを例示します。

1、外部からのリモートアクセス

Webブラウザがあればリモートアクセスできるため、外部からのリモートアクセスを行いたい場合には、SSL-VPNが向いています。特に複数拠点を持たない中小企業の場合は、手軽にリモートアクセスできるようにするのに便利です。

2、スマートフォンなどのモバイル端末からのアクセス

Webブラウザがあればリモートアクセスできるため、モバイル端末からもアクセスしたい場合にもSSL-VPNは適しています。ただしL2フォワーディング方式の場合は、製品によってクライアント端末の対応OSがWindowsに限られる場合があるため、製品選定時には注意しましょう。

3、性能面をそこまで求めない

一般的に、SSL-VPNはIPsec-VPNに比べて性能面で劣ります。利用する人数が少ない、やり取りするデータ量はそこまで多くないなど、性能面をそこまで追求しない場合にはSSL-VPNを検討しましょう。

IPsec-VPNに適した3つのケース

IPsec-VPNでも同様に、導入に適したケースを例示します。

1、決まった拠点同士の通信が多い

SSL-VPNは、LAN同士をつなぐという機能はありません。複数の拠点でLANを接続したい場合は、IPsec-VPNを選択することになります。

2、高いセキュリティレベルが必要

IPsec-VPNはSSL-VPNに比べてセキュリティレベルが高いため、より高いセキュリティレベルを確保したいケースでは、有力候補となります。

3、高いパフォーマンスが必要

利用人数が多い場合や大量のデータをやり取りする場合は、SSL-VPNに比べて高いパフォーマンスを得られるIPsec-VPNが適しています。

SSL-VPNとIPsec-VPNとの違いを知って使い分けよう

SSL-VPNとIPsec-VPNは、同じインターネットVPNでテレワーク環境構築にも使えます。ただし、実装するプロトコル階層や得意な利用シーンは異なるため、特徴を把握して使い分けましょう。法人向けVPN製品・サービスをお探しなら、以下より各社製品の資料を入手して、検討材料のひとつとしてご活用ください。

製品の人気ランキングを見る

※外部の資料請求サイト『ITトレンド』へ遷移します。