T1: SSL VPNリモートアクセス分科会

■SSL VPN FAQ集

○	SSL VPNの基本について
	Q1. SSL VPNとは、どのような技術ですか。 A1. SSL VPNは、WebブラウザとWebサーバ間で安全に通信を行うために利用されているSSL(Secure Socket Layer)機能を利用し、外部のクライアントPCと社内の業務システムとを、暗号化された通信路 (VPN：Vertual Private Network)で接続する技術です。第三者に通信内容を盗み見られることなく、外部からでも安全に、社内業務システムを利用することが可能となります。 Q2. SSL VPNのメリットとしては、何が挙げられますか。 A2. IPSec等、他の VPN技術と比較した場合、クライアントPC側の設定が不要または軽微で済む「クライアントレス」、社内業務システムへのアクセス状況を一括管理できる 「アクセス管理」等のメリットが挙げられます。 また、製品によっては、複数の社内業務システムへのログインを一括で管理する「シングルサインオン」機能等も提供しています。 Q3. SSL VPNには、どのような方式がありますか。 A3. SSL VPNは、VPNの実現方法により、以下の4方式に分類することができます。 どの方式も、それぞれ特長を持っており、用途により、適切な製品を選択することが重要です。 Q4. SSL VPNとIPSecでは、社内LANへのアクセスはどのように違うのでしょうか。 A4. IPSecの場合、 一旦、社内LANに接続されると、IP上の様々なアプリケーションが利用可能となるため、便利である反面、紛失したPC等から不正アクセスが行われた場 合、非常に危険な状況となります。 これに対しSSL VPNの場合、特定の社内業務システムに接続するケースが多く、万一、不正アクセスが行われても、影響は比較的、狭い範囲となります。Webサーバを介す るため、利用可能なプリケーションには制限がありますが、Webインタフェースを活用した近年の業務システムとの相性は良好です。
○	クライアントレスについて
	Q5. 「クライアントレ ス」と言いますが、クライアントPCには本当に設定が不要ですか。 A5. SSL VPN製品の多くは、クライアントPC側の設定が不要ですが、製品によっては、利用時にJavaやActiveXのソフトウェアをダウンロードするものも あります。ActiveXをダウンロードするタイプの製品では、クライアントPCの管理者(アドミニ)権限が必要となる場合がありますので、ご注意願いま す。 Q6. ホテルやビジネスセ ンターのPCからでも、安全にアクセスできるのでしょうか。 A6. 可能ではあります が、公共の場所にあるPCには、キーロガー(キーボードの入力内容を盗み取るソフトウェア)が入っていたり、前の利用者の残存データ（キャッシュ等）を覗 き見られる危険性があります。SSL VPN製品によっては、ID、パスワードを格納したUSBメモリ、クライアントPCに溜まったキャッシュをクリアす る機能等により安全性を高めていますが、実際の利用に当たっては注意が必要です。
○	認証及びアクセスコントロールについ
	Q7. SSL VPNに追加できる認証方法としては、何がありますか。 A7. 最もシンプルな利用 方法はID、パスワードをキーボードから入力するものですが、より安全性を高める方法として、 ・電子デバイス： ICカードやUSBメ モリ等の中に、社内業務システムへのアクセスに必要な情報を格納し、SSL VPN利用時に自動的に読み取らせます。万一、PCを落とした場合でも、不正アクセスを防げます。 ・ワンタイムパスワー ド： SSL VPNの利用時に、ユーザに対し、毎回、異なるパスワードを要求します。ユーザは、特殊なデバイスや乱数表を参照します。 ・クライアント証明 書： 個々のユーザに対し て、電子証明書を発行し、PCまたはICカードやUSBメモリ等の電子デバイスに格納します。クライアント証明書は、SSL VPNに限らず、様々な認証用途に活用することが可能です。 Q8. 社内業務システムへ のアクセス管理に関しては、SSL VPNで何ができるのでしょうか。 A8. SSL VPNでは、装置本体がそれぞれのリモートアクセスを仲介するため、どのクライアントPCがどのシステムにアクセスするかを全て把握することが可能です。 SSL VPN製品によっては、認証レベル（どれだけ厳重に認証を行っているかの違い）に応じて、アクセスを認める業務システムの範囲を変えることも容易 です。
○	導入・運用に関して
	Q9. SSL VPNを導入するためには、製品単体だけで良いのでしょうか。 A9. 製品単体でも利用は 可能です。 ただし、認証機能を追加することにより、より安全な利用が可能となります（Q.7参照）。既に企業内で認証システムを導入されている場合には、比較的容易 に連携させることが可能です。また、製品によっては、同時接続ユーザ数が多い、遅延が問題といった場合に、SSLアクセラレータ（Q14参照）を追加でき る製品もあります。 Q10. SSL VPNの運用は、他のVPNと比較して、容易なのでしょうか。 A10. SSL VPNを導入されているユーザ企業の中には、IPSecから切り替えた方がかなりの割合を占めています。この要因としては、クライアントPC設定に関わ る、日常のエンドユーザ対応の煩雑さが挙げられています。SSL VPN製品の多くは、クライアントPCに関わる設定・運用作業を極力、減らす方向で開発されていますし、クライアントPCからのアクセス管理も一元的に行 えますので（Q.8参照）、運用コストの削減が可能です。 Q11. SSL VPNは、中小企業でも導入メリットはありますか。 A11. 日常のエンドユーザ 対応を軽減し、運用コストを低減するという観点では、ユーザ数が多い方がメリットはありますが、クライアントレスやアクセス管理という観点では、中小企業 の方々でも、メリットがあります。なお、インターネットサービスプロバイダ(ISP)が、SSL VPNを利用した暗号化通信サービスを提供している例もありますので、ユーザ数が少ない場合には、ご検討をお勧めします。
○	クライアントPCセキュリティについて
	Q12. SSL VPNを使えば、リモートアクセス時のセキュリティは万全ですか。 A12. クライアントPCに ウイルスに感染したり、不正なソフトウェアがインストールされてしまった場合、社内LANにリモートアクセスを行うと、感染を拡大する可能性があります。 これは、どのようなVPN技術でも防げませんので、クライアントPC本体のセキュリティには、別途、対策を行っていただく必要があります。なお、最近、社 内LANに接続しようとするPCに対し、ウイルス対策ソフトやOSのアップデート状況をチェックする「検疫ネットワーク」という技術が登場しています。
○	無線LANでの利用について
	Q13. SSL VPNは、無線LANでも有効と聞いたのですが、本当ですか。 A13. 無線LANは通信内 容を覗き見ること容易なため、暗号化することが一般的ですが、ホテルの無線LANサービスなどでは暗号化していないケースも多く、企業などでも長い間、暗 号キーを変えていないために、安全が懸念されるケースもあります。SSL VPNを利用していれば、そのような状況においても、通信内容を覗き見られる危 険は防ぐことが可能です。
○	SSLアクセラレータについて
	Q14. SSLアクセラレー タを使うとSSL VPNでの通信が早くなると聞いたのですが。 A14. SSLアクセラレー タとは、SSL通信における暗号化・復号化の処理を高速で行う専用のハードウェアのことで、一般にはWebサーバ内、もしくはその手前に設置しますが、 SSL VPNの場合には、本体の中に、標準またはオプションで搭載する製品があります。 一般的に、暗号化・復号化の処理は負荷が大きいため、同時に利用するユーザ数が多い場合には効果がありますが、回線が低速、社内業務システム側の処理が追 いつかないなど、その他の要因で効果が見えにくい場合もありますので、導入前に注意が必要です。
○	トラブル事例について
	Q15. SSL VPNで動かない業務アプリケーションもあるのでしょうか。 A15. 業務アプリケーショ ンの構造によっては、SSL VPNと相性が悪い場合があります。 また、リモートアクセスでの利用を想定していない業務アプリケーションでは、通信状況が悪い場合に、タイムアウト・エラーとなるケースがあるようです。導 入時には、接続事例等を確認いただくことをお勧めします。 Q16. Windows XPをSP2にバージョンをアップしたら、SSL VPNが動作しなくなりました。 A16. Windows XP SP2には、独自のセキュリティ機能が組み込まれているため、一部のSSL VPN製品は、その影響で動作しなくなる例がありましたが、現在では、解 決しています。 Q17. 低速回線では、かな り応答が遅いのですが、なぜでしょうか。 A17. SSL VPNに限らず、VPNでは通信データの暗号化を行う都合上、低速回線での利用においては応答が遅くなります。低速回線の場合は、メール等のテキストデー タを中心とした利用をお勧めします。