トップ > 用語解説 > ネットワーク関係 > VPN(Virtual Private Network) > SSL-VPN
SSL-VPNは、SSL(Secure Sockets Layer)技術を使用したVPNの一つです。 VPN接続する2点間をSSL暗号通信でつなぐので、ネットワーク機器の設定を変更したり、 専用のソフトウェアを導入する必要がないため手軽にVPNを構築できます。 一般的には、クライアントPCは、指定されたURLにWebブラウザ経由でログインし、それをSSL VPN装置が認証サーバなどと連携して認証を行います。 認証を許可した場合は、以降プロキシとしてユーザーとWebサーバ間の接続を管理します。
SSL‐VPNは、Webブラウザに標準搭載される暗号化技術を採用することで、 IP‐VPNのようにクライアントソフトをインストール・設定する必要がなく、 Webブラウザという使い慣れたインターフェイスを用いるため、ユーザー教育の必要もなく、 プロキシとして透過的に稼働するため、既存インフラの構成変更などが必要ないといったメリットがあります。
SSL‐VPNは、HTTP/HTTPSに依存するため、使用できるアプリケーションがWeb対応に限られるという課題があります。 ただし、現在は自動でJavaアプレットや専用クライアントソフトをインストールし起動させることで、 多様なアプリケーション(またはプロトコル)に対応する製品が増えています。
SSL-VPNは、SSLとさまざまな技術を組み合わせてプライベートネットワークを構築します。 接続方式は、「リバースプロキシ」「ポートフォワーディング」「L2フォワーディング」の3種類です。
リバースプロキシ方式は、外部ネットワークからプライベートネットワークにアクセスする方法です。 HTTP通信をSSL化したhttpsから始まるURLを入力して、VPN装置にアクセスします。 VPNにて発信元のクライアント情報を認証することにより、プライベートネットワークにアクセスできます。 頻繁に利用される接続方式で、ウェブブラウザさえあれば構築可能です。 ただしメールサーバなど、Webブラウザに対応していないアプリケーションには使えません。 そのような場合は、VPN装置がアプリケーションから手に入れた情報を画面上に出力するシステムの構築が必要です。
ポートフォワーディング方式は、Webブラウザに対応していないアプリケーションにもSSL-VPNを構築できる手法です。 ただし、動的にポート番号を変更しなければならないアプリケーションには利用できません。 あらかじめ許可する端末のIPアドレスとポート番号を定義する必要があるためです。
L2フォワーディング方式は、ポート番号を動的に変更するアプリケーションにも適用できる方式です。 IPアドレスやポート番号が記録されたパケットをカプセル化しているため、 VPN装置にIPアドレスやポート番号を定義する必要がありません。 この方式は、リモートアクセス端末の対応OSがWindowsのみである製品が多く、使える端末が限られる可能性もあります。