現在、UMINでは、VPNの導入と通信のSSL化を同時に推進しております。本ページでは、SSL化とVPN導入の関係を整理して、解説してございます。
TCP/IPのTCPのストリームを暗号化するための技術。UDPの暗号化はできない。HTTPをSSLで暗号化すれば、SSL-HTTP、POPをSSLで暗号化すれば、SSL-POPになる。SSL化するためには、通常サーバ、クライアント双方に対応(改造)が必要。WWWブラウザーは、現在ほぼSSL-HTTP対応版となっている。
1.2 VPNとは
IPのパケットを仮想的な専用回線(Virtual Private Network)を利用して流す技術。仮想的な専用回線を通ったパケットはすべて暗号化されている。仮想的な専用回線は、通常施設と施設の間で1対1で張られる。IPのレベルで仮想化専用回線化するため、TCPもUDPもパケットも暗号化できる。またVPNを通すことによって暗号化されるため、サーバ、クライアント側の対応(改造)は必要ない。
SSL | VPN | |
---|---|---|
暗号化の対象 | ストリーム(TCPセッション等) | IPパケット (TCP及びUDPパケット) |
暗号化される経路の範囲 | サーバ・クライアント間のすべての経路 | サーバ・クライアント間の経路のうち、仮想専用回線の中にある部分のみ |
認証の単位 | コンピュータ | 施設 |
サーバ・クラインとソフトの対応(改造) | 必要 | 必要なし |
専用機器・ソフトの設置 | 必要なし | 必要 |
1.3 SSLとVPN − 各々の単独利用と併用例
SSLとVPNの単独利用と併用例について、図1を用いて説明します。
1)HTTPだけの通信では、まったく平文で情報が流れます。クライアントのPC及びWWWサーバとも通常のものが利用できます。
2)SSL-HTTPの通信では、クライアントのPC及びWWWサーバともSSL対応のものが必要です。通信は、すべてSSLによって暗号化されています。
3)HTTP+VPNの通信では、外部からみうとVPNの仮想回線の中を通っている部分(赤の点線の部分)のみ暗号化されています。クライアントのPC及びWWWサーバとも通常のものが利用できます。VPNの仮想回線で通信内容が隠された形になっています。
4)SSL-HTTP+VPNの通信では、SSL-HTTPで暗号化された上に、VPNの仮想回線の部分は更に二重に暗号化されています。
VPN導入時に、登録利用者用サービスのうち、国立大学病院の利用者しか利用できないサービス(当面は事務系のサービス)を分離して、VPN系サーバ(国立大学専用)を設置します。各国立大学病院とVPN系サーバの間に、VPNの仮想回線を設定して、VPN系サーバには、国立大学病院のファイアウォールの中からしかアクセスできないように設定します。登録利用者用サーバ(共用)には、従来とおりアクセスができます(図2.b)。
SSL(暗号)化後には、やりとりされるすべてのデータが暗号化され、更にVPN系サーバへのアクセスは二重に暗号化されるようになります(図2.c)。