【料金相場】SSL VPNとは?IPsec VPNとの違いと導入ポイント
SSL VPNとは?IPsec VPNとの違いや方式、料金相場、導入時の注意点まで、わかりやすく解説。法人向けVPNの選定に役立つポイントを紹介します。
- 目次
手軽に使える安全なVPN、「SSL-VPN」とは?
「SSL-VPN」は、インターネットVPNの一種で、インターネット上にSSL/TLSという暗号化技術を利用して仮想専用線を構築する技術です。SSL/TLSはインターネット上でデータを暗号化し、安全に通信するための通信プロトコルで、Webサイトなどにも使用されています。例えばURLが「https://~」となっているWebサイトはSSL/TLSにより暗号化されています。
SSL-VPNはこの仕組みを使用しているため、Webブラウザーや専用アプリケーションを通じて安全な通信環境を確立することができます。そのため、専用の機器設置が不要で、手軽に導入できるということが大きなメリットとなっています。
インターネットVPNにはほかにも「IPsec-VPN」などがありますが、それについては次の章で説明します。
SSL-VPNとIPsec-VPNの違い
SSL-VPNとIPsec-VPNは、どちらもインターネット上にVPNを実現する技術という共通のカテゴリに属するため、比較対象として挙げられやすい関係にあります。
前述したように、SSL-VPNは主にWebブラウザーや専用アプリケーションの機能を扱う「アプリケーション層(第7層、Layer 7)」で動作します。それに対し、IPsec-VPNが使用する「IPsec」というプロトコルは、主にIPアドレスや異なるネットワーク間でのデータ転送などの機能を扱う「ネットワーク層(第3層、Layer 3)」で動作します。
この階層の違いから、両者にはそれぞれ次のような得意分野の違いがあります。
| SSL-VPN | IPsec-VPN | |
|---|---|---|
| 動作する階層 | アプリケーション層 | ネットワーク層 |
| 接続方式 | Webブラウザーまたは専用アプリケーション | クライアント+ゲートウェイ/拠点ルーターなど |
| 得意分野 | ユーザー単位のリモートアクセス | 拠点間の常時アクセス |
| 主な用途 | グループウェア、Webベースの社内システムなど | クライアントサーバー形式の業務システムなど |
| 主なメリット | マルチデバイス対応 | 安定した通信速度 |
| 主なデメリット | 通信速度が低下しやすく、セキュリティ面に課題 | 導入コスト、運用コストに課題 |
SSL-VPN導入に向いている企業と用途
SSL-VPNは同時接続への柔軟性が高いため、従業員が100人以下の中堅・中小規模の企業への導入に適しています。
例えば、在宅勤務時にWebブラウザー経由でグループウェアや社内システムへアクセスするような、一時的な利用に向いています。
IPsec-VPN導入に向いている企業と用途
IPsec-VPNは常時接続が基本となり、また環境構築にも複雑な工程が必要となることから、従業員が数百人以上の大規模企業への導入に適しています。
例えば、複数拠点間でクライアントサーバー形式の業務システムや会計ソフト、受注管理システムなどを共用する場合など、中規模~大規模なネットワークを構築するような用途に向いています。
SSL-VPNの仕組みと、知っておきたい2つの種類
SSL-VPNは、さらに「Webモード」と「トンネルモード」という、2つの主要な接続モードがあります。両者の違いは次の通りです。
Webブラウザーだけで接続できる「SSLポータルVPN(Webモード)」
「SSLポータルVPN(Webモード)」は、Webブラウザーのみで利用する接続モードです。URLのみを使用して接続するため、専用のアプリケーションは不要です。
社内イントラネットやウェブシステムなど、特定のWebサービスのみへのアクセスを想定している場合には、この接続モードを選択すると良いでしょう。
社内ネットワーク全体へのアクセスが可能な「SSLトンネルVPN(トンネルモード)」
一方、「SSLトンネルVPN(トンネルモード)」は、専用アプリケーションをPCにインストールして利用する接続モードです。専用アプリケーションが仮想的なネットワークインターフェイスとなることで、IPアドレスやホスト名などでのアクセスが可能となります。そのため、メールサーバーやファイルサーバーなどへの接続が可能となります。オフィスでの作業環境に近い、社内ネットワーク全体へのアクセスを求める場合には、こちらの接続モードを選択すると良いでしょう。
SSL-VPNの代表的な3つの接続方式とその違い
SSL-VPNは接続方式により次の3つに分類することもできます。それぞれの接続方法の違いや実際の利用シーンは次の通りです。
リバースプロキシ方式:WebブラウザーからSSL-VPN通信を使用する
「リバースプロキシ方式」は、前述の「SSLポータルVPN(Webモード)」を実現する技術の1つです。社外から社内ネットワークに接続する際、VPNサーバーがURLリクエストを代理で受け取る「リバースプロキシ」という仕組みを担い、認証を行うことで、社内のウェブサーバーに安全に接続する仕組みです。
ポートフォワーディング方式:メールソフトなどWeb以外のアプリケーションも個別に使える
「ポートフォワーディング方式」は、あらかじめ社内のゲートウェイ機器に接続可能なURLとポート番号を登録しておき、社外からのアクセスを可能とする技術です。社外から社内ネットワークに接続するクライアント端末には「クライアント」と呼ばれる通信モジュールが自動でインストールされ、通信を行います。この方式により、メールソフトなどWebブラウザー以外のアプリケーションも利用可能となります。「SSLポータルVPN(Webモード)」を拡張した方式といえます。
L2フォワーディング方式:すべての通信をSSL-VPNで使用できる
「L2フォワーディング方式」は、前述の「SSLトンネルVPN(トンネルモード)」を実現する技術の1つです。専用アプリケーションによりクライアント端末に仮想的なネットワークアダプタが作成され、IPアドレスも割り振られるため、社外からでもあたかも社内ネットワークにいるかのように通信できます。「L2フォワーディング」の「L2」は、同一LAN内の通信機能を扱う「ネットワーク層(第2層、レイヤー2)」を指しています。
【料金相場】SSL VPNとIPsec VPNの導入費用を比較
SSL-VPNおよびIPsec-VPNを企業が導入する場合の料金の目安は次表の通りです。
| SSL-VPN | IPsec-VPN | |
|---|---|---|
| 初期料金相場 | 10,000円~200,000円 | 200,000円~1,000,000円 |
| 月額料金相場 | 1,000円~10,000円/ユーザー | 20,000円~100,000円/拠点 |
| その他料金 |
|
|
| 特長 | ブラウザーのみで利用可能、マルチデバイス対応 | 社内ネットワークへのフルアクセスが可能 |
| 導入に向いている企業 | リモートワークやBYODを推進したい中堅・中小企業 | 複数拠点を擁する、または高いセキュリティ性能を必要とする企業 |
- ※本表はあくまで、月額の参考料金の一例です。実際の料金は利用条件や回線構成により異なります。詳細は各サービス提供事業者へお問い合わせください。
SSL-VPNはブラウザーで操作可能で、特別な機器を必要としないため、初期費用を抑えることができます。月額料金については一般的にユーザー単位での課金となるため、従業員数に応じて増減します。以上の特徴から、リモートワークやBYODの環境を整えたい従業員数の比較的少ない中堅・中小企業に向いているといえます。
一方、IPsec-VPNは特別な機器を使用するため初期費用は高くなりますが、常時接続が基本で、回線使用料金は必要とする帯域や通信量に応じて決定されます。
そのため、従業員が多い場合でも通信量が少なければ月額料金を抑えることができます。以上の特徴から、IPsec-VPNは多数の拠点を有する企業、または個人情報を扱うなどセキュリティ要件の厳しい企業に向いています。
【導入事例】SSL-VPNによる安全な通信環境の構築と具体的な活用例
SSL-VPNの導入に適したケースには、例えば次のようなものがあります。
1:安全で快適なテレワーク・リモートワーク環境を構築する
SSL-VPNのユースケースの1つとして、ユーザー数の少ない小規模な企業が、コストを抑えながらリモートワーク環境を構築するケースが挙げられます。
ある企業では、オフィス外からでも安全に社内のイントラネットやデータベースにアクセスできる環境を構築することを目的にSSL-VPNを活用しました。
テレワークの環境整備について、詳しくは下記コラムをご参照ください。
テレワークはセキュリティ対策が重要!便利なツールを紹介
2:個人所有のスマホなどからも社内ネットワークへのアクセスを可能にする
BYODによる業務の効率化と社内ネットワークのセキュリティ向上を同時に実現する手段としてもSSL-VPNは有効です。
ある企業では、SSL-VPNのマルチデバイス対応という長所を活かし、BYOD環境を構築しました。機器の種類やプラットフォームに依存しない認証環境を構築することで、ネットワークセキュリティの向上を達成しました。
3:取引先・業務委託先との安全な通信を確立する
取引先や業務委託先などとオンライン処理やファイルの送受信を行う必要がある場合など、相手先とのエクストラネット(イントラネットを特定の外部関係者と限定的に共有するためのネットワーク)を容易に構築したいケースもSSL-VPNのユースケースに当たります。
ある大手メーカーでは、SSL-VPNと多要素認証などを組み合わせ、エクストラネットを迅速に構築し、強固なセキュリティを誇る外部連携ネットワークを実現しました。
SSL-VPN導入時に理解しておきたい3つの注意点
これまで主にSSL-VPNのメリットについて見てきましたが、SSL-VPNは手軽に安全な通信環境を構築できる反面、導入する際にはVPN自体が持つ脆弱性やセキュリティリスクについて理解しておく必要があります。具体的には、主に次の3点に注意しましょう。
1:VPN機器の脆弱性を突いた「不正アクセス」と「マルウェア感染」
VPN機器のファームウェアや関連ソフトウェアに脆弱性が発見されることがあります。脆弱性を放置するとサイバー攻撃の起点となる危険性があり、実際に被害を受けた企業も多数存在します。対策としては、VPN機器やソフトウェアを常に最新の状態に保つこと、クライアントPC側にEDRなどセキュリティソフトを導入することなどが有効です。
VPN脆弱性について、詳しくは下記コラムをご参照ください。
【事例】VPNの脆弱性とは?注意点と対策チェックリスト
2:ID・パスワード認証に依存した脆弱性を突いた「総当たり攻撃」
SSL-VPNの認証がIDとパスワードのみの場合、認証強度が低くなり、攻撃者による総当たり攻撃や資格情報の推測によって不正アクセスを受けるリスクが高まります。そのため、多要素認証や生体認証を導入し、認証プロセスを強化することが重要です。
多要素認証について、詳しくは下記コラムをご参照ください。
【初心者向け】多要素認証とは? 二段階認証との違いや具体例を紹介
3:デジタル証明書の不備を悪用した「なりすまし」と「中間者攻撃」
SSL-VPNが使用するSSL/TLS通信プロトコルは、デジタル証明書(SSL/TLS証明書)を基にサーバーの真偽証明、完全性保証、暗号化などの処理を行います。デジタル証明書の有効期限が切れた証明書や、信頼性の低い証明書を利用すると、ブラウザーに警告が表示されアクセスが制限され、正常にアクセスできなくなる可能性があります。また、このような設定不備がある場合、悪意を持った第三者がサーバーとクライアントの中間に入り込み、なりすましにより情報窃取や情報改ざんを行う「中間者攻撃(MITM攻撃、Man-in-the-Middle Attack)」を受ける危険性もあります。
対策としては、信頼できるデジタル証明書を取得すること、アクセス元のIPアドレスを制限することなどが有効です。
脆弱性対策と効率的な運用を両立するVPNサービス「Prime ConnectONE®」
NTTPCの企業向けネットワーク&セキュリティサービス「Prime ConnectONE®」は、IP-VPNとネットワークセキュリティの統合型サービスです。
SSL-VPNを含むVPNの脆弱性対策の継続的な管理が難しい企業さま向けに、お客さまに適したネットワークとセキュリティを提案いたします。
また、AIエージェントがネットワークとセキュリティとを統合管理する運用自動化機能(AIOps)を搭載。ネットワークの情報を見える化するダッシュボード、故障箇所をAIエージェントが特定して遠隔地から迅速な復旧を実現する機能などで、お客さまの運用稼働を軽減します。
人手不足などで脆弱性対策や運用工数に課題を抱えている企業にお勧めのサービスです。
まとめ
今回はインターネットVPNの一種である「SSL-VPN」について解説しました。Webブラウザーから利用できるSSL-VPNは、IPsec-VPNと比較して手軽に導入できるという利点があり、ユーザー単位のリモートアクセスに適しています。特にBYODなどマルチデバイスでのリモートワーク環境を低コストで整えたい中堅・中小企業さまに向いているサービスであるといえます。
SSL-VPNにはWebブラウザーだけで接続できる「SSLポータルVPN(Webモード)」と社内ネットワーク全体へのアクセスが可能な「SSLトンネルVPN(トンネルモード)」の2種類があり、またリバースプロキシ方式、ポートフォワーディング方式、L2フォワーディング方式の3つの接続方法があります。リモートアクセスにより使用したいアプリケーションを吟味し、導入料金を勘案した上で、自社に合ったVPNを選択しましょう。
また、VPNは100%安全というわけではありません。導入の際には、今回紹介した脆弱性を理解した上で、適切なセキュリティ対策を施しましょう。
また、もしVPNのことでご不明な点、お困りのことなどがございましたら、是非NTTPCまでお気軽にご連絡ください。
※ICT Digital Columnに記載された情報は、リリース時点のものです。
商品・サービスの内容、お問い合わせ先などの情報は予告なしに変更されることがありますので、あらかじめご了承ください。
