注目のセキュリティ資格
シスコの新しいセキュリティ資格、CCSPとは何か?
第4回 シスコ製品によるVPNを理解する
澤井亜紀子(グローバル ナレッジ ネットワーク)
2004/8/6
今回取り上げるのは、CCSP(Cisco Certified Security Professional)に必要な試験のうち、CSVPN(Cisco Secure Virtual Private Network)について解説する。
■VPN(Virtual Private Network)とは
企業は、在宅勤務やモバイルネットワークを利用した社員と、あるいはほかの企業とインターネットを介してさまざまな情報をやりとりする必要があるが、このような場合、インターネット上を通過する情報について、次のようなセキュリティの脅威が考えられる
- データに何も保護をかけていない場合、パケットアナライザなどを利用して、企業の重要な取引内容が傍受される可能性がある
- ある企業の社員になりすましたクラッカーが、その会社に悪影響を及ぼすような情報を流したり、電子メールを送りつけられる可能性がある
- 同じメールを何度も送信されると、企業ネットワークが混乱する可能性がある
この脅威を低減させ、安全なインターネット上の通信を行うために利用されるテクノロジの代表的なものに、インターネットVPNがある。
VPNは、その名のとおり、インターネットなどの公衆網(公衆回線網)上に構築された、仮想的に閉じたネットワークのことだ。遠隔地のネットワーク同士(企業の本社と支社のように)を接続する際、サービスプロバイダが提供する公衆ネットワークを利用しているにもかかわらず、あたかも専用線を利用しているような使い勝手で利用できるネットワークのことを指す。いままで専用線を利用していた企業も、最近では公衆網であるインターネットを企業の仮想専用線として利用し、企業ネットワークを構築するケースが急増している。
VPNを使うメリットは大きく3つ挙げられる。
- 高額な専用線を使うより、ネットワークインフラのコストを削減できる
- LANとWANをIPテクノロジで統一するため、運用管理コストを削減できる
- 公衆回線を利用するため、ネットワークの拡張性が高い(図1)
図1 VPNを使うメリットの1つに、公衆網を使うことが挙げられる |
■Cisco VPNコンセントレータとVPNクライアントで実現する
VPNは、インターネットのような公共のネットワークを利用していることで、先に挙げたようなセキュリティの脅威が考えられる。そこで、公衆ネットワーク上で安全な通信をするために利用される主要な技術に、IPSecがある。IPSecはIETFによって定められた標準に準拠しており、次の要素を保証するものだ。
機密性 | データを盗聴されないための暗号化 |
認証 | データの発信元をチェックし、情報を送った人が認証された人であると証明 |
完全性 | データが途中で改ざんされていないかを証明 |
IPSecによるVPNのトポロジは大きく分けて2つに分けられる。
●サイトtoサイトVPN
サイトtoサイトVPNは図2のように、拠点のLAN同士をIPSecで接続する。IPSecはVPNコンセントレータだけでなく、ルータやPIXファイアウォールにも実装可能だ。負荷のかかる暗号化のために、暗号化専用カードを搭載することもでき、既存のネットワークを生かしながら、高速なVPNを実現可能だ。サイトtoサイトVPNは比較的大きな拠点同士を、専用線を利用せずに構築する場合に有効で、パートナー会社との情報共有をするネットワークを構築するうえでも便利である。
●リモートアクセスVPN
リモートアクセスVPNは、モバイルユーザーがインターネット経由で会社のLANへ接続する際に利用されるパターンである。ユーザーは一番近くのアクセスポイントにアクセスした後に、IPSecを利用して本社のVPN装置にアクセスする。国内だけでなく、海外のアクセスポイントとローミング契約をしていれば、電話代はアクセスポイントまでの料金だけで済むため、本社にリモートアクセスサーバ(RAS)を設置するよりも大幅にコストダウンが可能だ。また、本社側に受け口のモデムをユーザー分設置する必要もないため、管理も非常に容易になる。リモートアクセスVPNを導入するのは、モバイルユーザーや在宅勤務者、小規模のサイトのユーザーを収容する際に効果があるだろう。
シスコシステムズでは、IPSecをベースとした暗号化による機密性の保持や、データをカプセル化する技術、再送防止技術、デジタル署名などさまざまなテクノロジを用いて安全で機密性が保証された、高パフォーマンスのVPNを実現するようにデバイスを設計している。
図2 サイトtoサイトとリモートアクセスVPN |
■覚えてほしいシスコのVPN関連製品
シスコでは標準技術であるIPSecに準拠したさまざまなIPSecデバイスを提供している。一番メインとなるVPN専用機だけでなく、「Cisco IOS Version 11.3(3)T」からサポートされているIPSecを利用すればルータやPIXファイアウォールでもVPNの実現は可能だ。VPNゲートウェイ専用デバイスはコンセントレータと呼ばれ、ユーザーをたくさん収容することができる。トンネリング技術は通常のIPSecだけでなく、L2TPやPPTP、NATトラバーサルIPSecにも対応している。
VPN3000シリーズコンセントレータ……VPNゲートウェイ専用デバイスで、3005、3015、3030、3060、3080とグレードが上がるにつれ、同時にVPNセッションを張ることのできる数が100〜1万と増加する。3030以上では負荷のかかる暗号化に対し、高速暗号化用ハードウェアSEP(Scalable Encryption Processor)を搭載することによって、高速なVPNセッションの確立が可能になる。そのため、アクセスが集中する企業の本社に設置するような場合に推奨される。購入すると無制限のクライアントライセンスもバンドルされるため、クライアント側との相性を心配することなく、すぐにクライアントを利用することが可能だ。
VPN5000シリーズコンセントレータ……モジュール型のVPN専用デバイスで、VPNサービスのプロバイダが利用する大規模なVPNソリューションを実現する。IPだけでなく、IPXやAppletalkなどもサポートしており、マルチプロトコル/マルチプラットフォームのユーザーが収容可能だ。最上位機種のVPN5008では同時に4万VPNセッションを提供する。単純に考えると同時に4万人の社員がVPNアクセスできる。
VPNクライアントソフトウェア……VPNコンセントレータを購入するとバンドルされる専用のソフトウェアで、さまざまなプラットフォームで動作する。エンタープライズ環境ではユーザーはわざわざクライアントソフトウェアでVPN設定を行わなくても、ポリシーや設定を中央サイトから強制的にダウンロードして利用することができるため、ユーザー側に負担がかかることはほとんどない。VPNコンセントレータだけでなく、PIXOS6.1以降およびIOSルータ12.2(8)T以降でも動作が保証されていて互換性も十分だ。
VPN3000ハードウェアクライアント……PCからVPN環境を切り離したい場合や、クライアントソフトウェアでは対応しきれないが、極小規模のオフィスに設置すると効果的な専用クライアントデバイスである。
この製品にはクライアントモードとネットワーク拡張モードの2種類がある。クライアントモードはVPNクライアントソフトウェアとまったく同じ動作で、コンセントレータよりアドレスを取得する。ネットワーク拡張モードの場合はルーティング可能で、サイト間デバイスとして動作し、ステーションは中央サイトから見えるようになる。クライアント用のポートを1ポートだけ持つタイプと、スイッチポートを8つ装備したタイプの2つがある。
VPNシリーズモジュール……Catalyst6500やCisco 7600OSRに搭載可能な、高速VPNゲートウェイモジュールである。サイトtoサイトVPNを最高1.9Gbps(3DES)の速さで8000トンネルをサポートする。
ちなみに、この技術はCSVPNのコースで主に学習するが、SECURコースではルータによるサイトtoサイトVPNおよびリモートアクセスVPN、CSPFAコースでPIXファイアウォールを利用したサイトtoサイトVPNを網羅しているため、VPNを全面的に導入するのであれば、これらのコースも受講することを推奨する。さらに、現在急速に普及が進んでいるSSL-VPN手法も、これらコースで今年から扱うようになっている。
@IT自分戦略研究所は2014年2月、@ITのフォーラムになりました。
現在ご覧いただいている記事は、既掲載記事をアーカイブ化したものです。新着記事は、 新しくなったトップページよりご覧ください。
これからも、@IT自分戦略研究所をよろしくお願いいたします。