こんにちは。新規事業の開発や既存業務の効率化などに使える補助金・助成金の無料診断 / 申請支援を行う『補助金サポート』を提供しているクラウド軍師運営チームです。
SSL-VPNは、SSLとVPN接続により、安全な通信を実現する技術です。近年では、リモートワークによる社外から社内への通信が増えたことから、この技術に注目が集まっています。
とはいえ、SSL-VPNには一定のリスクがあり、導入・利用にあたってはその点に注意し、対策を行わなければなりません。
そこで今回は、SSL-VPNの概要とその仕組み、またリスクについて詳しくご紹介します。
SSL-VPNとは
SSLを用いたVPNソリューションを、SSL-VPNと呼びます。
SSLとはSecure Socket Layerの略で、ネットワークを通じてやり取りするデータを暗号化する技術のことです。同様の技術をTLS(Transport Layer Security)と呼ぶこともあります。
またVPNとはVirtual Private Networkの略で、データの送受信にあたって限られた人だけが利用できる仮想のトンネル(専用線、プライベートネットワーク)を設置・利用する技術。これは、通信の盗聴や改ざんのリスク回避に効果的です。
これらは、どちらも通信の安全性を確保するのに有効なセキュリティ技術にあたります。
SSL-VPNでは、VPN接続を行う2点間をSSL通信で繋ぎ、通信をセキュアに守ります。
ゲートウェイに機器を設置する必要はあるものの、専用のソフトウェアを導入したり機器の複雑な設定を行ったりする必要はなく、基本的にはWebブラウザさえあれば通信が可能なので、導入は比較的手軽です。
メリット
SSL‐VPNには、次のようなメリットがあります。
・導入しやすい
・既存インフラの構成変更は不要
・専門知識がなくても使いやすい
SSL-VPNは、暗号化とプライベートネットワークの技術を組み合わせることで、セキュアな通信を可能にします。そのため、近年増えたテレワークの通信リスク低下にも役立ちます。
また、この技術の利用にあたって、専門的なソフトウェアのインストールや複雑な設定は必要ありません。Webブラウザに標準搭載される技術を用いれば、手軽に利用することができ、コストも抑えられます。既存インフラの構成にも手を加える必要はありません。
さらに、SSL-VPNでは使い慣れたWebブラウザを利用します。よって、専門知識のないユーザーも簡単に使うことができ、研修や指導といったユーザー教育を行う必要はありません。
SSL-VPNの接続方式
SSL-VPNの接続方式は、次の3種類に分類されます。
・ポートフォワーディング
・L2フォワーディング
それぞれの特徴と接続時のの流れを詳しく解説します。
リバースプロキシ方式
VPN接続にあたってWebブラウザを使用する方法を、「リバースプロキシ方式」と呼びます。
リバースプロキシとは、外部ネットワークから内部ネットワークへの通信を中継する技術のこと。この方式では、内部ネットワークのゲートウェイ(入り口)に認証機能を持つリバースプロキシを設置します。ユーザーはWebブラウザを通してゲートウェイのURLにアクセスし、認証を受け、内部ネットワークへの接続を許可されます。
リバースプロキシ方式では、「Webブラウザに対応しているアプリケーションしか対応できないこと」、また「ゲートウェイを超えた内部ネットワークの通信は暗号化されないこと」に注意する必要があります。
VPN接続の流れ
リバースプロキシ方式では、以下の流れでVPN接続を行います。
2.SSL-VPN装置のURLが認証を実施する
3.認証が許可されれば、本来アクセスしたいサーバのURLにSSL-VPN装置が変換を行う。
ポートフォワーディング方式
ユーザー(クライアント)側で起動させたVPN通信モジュールとSSL-VPN装置との間でVPN接続を行う方式を、「ポートフォワーディング方式」と呼びます。VPN通信モジュールの例としては、JavaアプレットやActiveXなどが挙げられます。
この方式では、先ほどご紹介したリバースプロキシ方式と異なり、Webブラウザに対応していないアプリケーションでも利用することができます。
ただしこの利用にあたっては、あらかじめサーバのIPアドレスおよびポート番号を定義しなければなりません。よって、ポート番号が固定されず、その動的な変更が求められるアプリケーションには対応できません。
VPN接続の流れ
ポートフォワーディング方式では、以下の流れでVPN接続を行います。
2.SSL-VPN装置と通信モジュールとの間でVPN接続を確立させる
3.事前にユーザーの要求を登録したサーバのIPアドレスとポートの定義にもとづき、SSL-VPN装置が目的のサーバへ振り分けを行う
L2フォワーディング方式
ユーザー(クライアント)側で導入したVPNクライアントソフトとSSL-VPN装置との間でVPN接続を行う方式を、「L2フォワーディング方式」と呼びます。
この方式では、VPNクライアントソフトの仮想NIC(ネットワーク接続のためのインターフェイスカード)を経由してVPN接続を行います。
L2フォワーディング方式 は、Webブラウザに対応していないアプリケーションやポート番号が固定されないアプリケーションにも対応できる点が特徴です。
しかし、アクセス制限が限定的である点には注意しなければなりません。
VPN接続の流れ
L2フォワーディング方式では、以下の流れでVPN接続を行います。
2.SSL-VPN装置とソフトとの間でVPN接続を確立させる
3. VPN接続用のIPアドレスが仮想NICに割り当てられる
4.仮想NIC経由でVPN通信が実行される
SSL-VPNのセキュリティリスク
SSL-VPNは通信の安全性向上に効果的です。しかし、この技術には一定のセキュリティリスクもあります。
どのようなリスクがあるのか、詳しく見ていきましょう。
脆弱性を狙った攻撃
SSL-VPNを実装するには、ゲートウェイに専用の機器を設置する必要がありますが、攻撃者がこの機器の脆弱性を狙い、攻撃を仕掛けてくる可能性があります。そこからVPN接続の認証情報を盗まれてしまったという被害も、実際に発生しています。
また、機器の脆弱性から内部ネットワークに侵入された結果、乗っ取りやウイルス感染の被害に遭った企業も存在します。
このようなリスクを回避するには、脆弱性を放置しないことが大切。修正プログラムが提供されたら、迅速にアップデートを行うようにしましょう。
総当たりによる不正アクセス
VPN接続時の認証にはパスワードを使うことが多いですが、パスワードは総当たり攻撃によって突破されてしまう可能性があります。パスワードが突破されれば、ネットワークへの侵入を許してしまうことになります。
このリスクを防ぐには、パスワードを他人に予想されない複雑なものにすることはもちろん、二要素認証を用い、認証のセキュリティを上げる必要があります。
中間者攻撃による通信の盗聴
中間者攻撃とは、通信を行う二者の間に第三者(中間者)が不正に割って入り、通信を盗聴・妨害することです。これにより機密情報が盗まれれば、それを悪用されてしまうかもしれません。
SSL-VPNは通信の安全性を高める技術ですが、暗号化にあたって利用する証明書の信頼性が低い場合、なりすましによる侵入が起こり、中間者攻撃の被害が発生するリスクがあります。
これを防ぐには、信頼性の低いものではなく、信頼性の高い証明書を取得する必要があります。
まとめ
SSL-VPNは優れた技術ですが、VPNには一定のリスクもあります。もしその脆弱性から攻撃者が社内ネットワークに侵入すれば、その被害は大きなものになるでしょう。
これを回避するには、ゼロトラストの考えのもと、さまざまなセキュリティ対策を多層的に構築しなければなりません。
リモートワークの普及により通信が多様化した現代だからこそ、企業にはセキュリティの見直しを検討する必要があるのです。