トップ > 用語解説 > ネットワーク関係 > VPN > SSL-VPN
SSL-VPNは、端末とイントラネット間の通信をSSLで暗号化して接続します。 不特定多数が社内システムへ接続するリモートワークのような環境では、設定が容易なSSL-VPNの利便性が高くなります。 導入にあたっては、社内ネットワークのゲートウェイに専用のVPN機器を設置します。 また、通信の暗号化にはSSL/TLS方式を用いるのが一般的です。 SSL-VPNを実現する具体的な方式として、リバースプロキシ方式、ポートフォワーディング、L2フォワーディングがあります。
リバースプロキシは、外部インターネットから社内ネットワークへの中継を行う仕組みのことです。 SSL-VPNを実現する際には、社内ネットワークへのゲートウェイとしてリバースプロキシを設置し、認証機能を持たせます。 ユーザーはWebブラウザーから事前に設定したゲートウェイのURLにアクセスし、認証に成功した場合に限り、 社内システムへの接続が確立されます。 ただし、ゲートウェイから先の社内ネットワークの内部では、通信が暗号化されない点には注意が必要です。 その上、Webブラウザー上のアプリケーションのみSSL-VPN接続が利用可能となるため、 メールサーバーへアクセスしてメールをチェックする際には、 Webメールとして閲覧できるよう事前の設定が必要になります。
JavaアプレットやActiveXなどを経由して社内ネットワークへ接続する方式がポートフォワーディングです。 通信用のモジュールは自動で端末にダウンロードされ、SSL通信のトンネルを確立します。 イントラネットのファイアウォールは一般的に特定のポート番号のみ通信を許可しているため、 ポートフォワーディングではあらかじめ設定した接続先のIPアドレスとポート番号へ接続します。 リバースプロキシ方式と比較すると、Webアプリケーション以外のアプリ、ソフトウェアでもSSL-VPN接続が利用できるという特長があります。 なお、ポート番号は事前に固定しておく必要があるため、ポート番号が可変するアプリケーションでは利用できない可能性があります。
ユーザー側の視点から見ると、ポートフォワーディング方式と同様に、通信用モジュールをWebブラウザー経由でダウンロードする仕組みになります。 そのモジュールがSSL通信のトンネルを確立します。 この方式では、VPN装置側でポート番号を設定する必要がなく、モジュール側でIPアドレスやポート番号などのデータが紐づくため、 利用可能なアプリケーションが増えます。一方、アクセス制御が限定されるといったデメリットも存在します。 なお、L2フォワーディングの「L2」とはOSIモデルのLayer 2(第2層)であるデータリンク層を指しています。 データリンク層のモジュールからアプリケーションのデータを取得することから、この名称となりました。