SSL/SSL-VPN 装置
はじめに
2025年10月のプロジェクトマネージャ試験受験を終え、2026年春の情報処理安全確保支援士に向けて勉強中です。
本記事を含めた各知識のインデックスや学習の道のりについては、「情報処理安全確保支援士への道のり(随時更新中)」をご参照ください。
本記事は学習した内容を記載しています。
該当問題
SSLとは何か(基礎定義)
SSL の定義(エビデンス)
- RFC 6101(SSL 3.0)
- 現行標準:TLS 1.2/TLS 1.3(RFC 5246/RFC 8446)
- IPA「暗号技術ガイドライン」
SSL(Secure Sockets Layer)とは、TCP/IP 上で通信内容の盗聴/改ざん/なりすましを防止するための暗号化通信プロトコルです。
※ 現在は TLS(Transport Layer Security) が正式名称
SSLが提供するセキュリティ機能(CIA 観点)
| セキュリティ要件 | 実現方法 |
|---|---|
| 機密性(Confidentiality) | 共通鍵暗号による通信暗号化 |
| 完全性(Integrity) | MAC(HMAC)による改ざん検知 |
| 認証(Authentication) | デジタル証明書(X.509) |
| 否認防止(限定的) | 電子署名(主にサーバ認証) |
→ 通信経路の安全性を確保する仕組み
SSLの動作概要(ハンドシェイク)
SSL/TLS ハンドシェイクの流れ(簡略)
- クライアント → サーバ:対応暗号方式提示
- サーバ → クライアント:証明書送信
- クライアント:証明書検証(CA チェーン)
- 共通鍵生成/共有
- 暗号化通信開始
→ 公開鍵暗号+共通鍵暗号のハイブリッド方式
SSL-VPN 装置とは何か(本問の核心)
SSL-VPN 装置の定義
SSL-VPN 装置とは、SSL/TLS 技術を利用して、インターネット経由で安全なリモートアクセスを提供する VPN 装置です。
(エビデンス:IPA ネットワークセキュリティ解説、NIST SP 800-77)
SSL-VPN の仕組み
基本構成
[社外端末]
↓(HTTPS/TLS)
[SSL-VPN装置]
↓
[社内ネットワーク]
- 通信は HTTPS(TCP 443)
- Web ブラウザまたは軽量クライアントを使用
SSL-VPN の接続方式
| 方式 | 特徴 |
|---|---|
| クライアントレス型 | Web ブラウザのみで利用可能 |
| クライアント型 | 専用ソフトを利用し高機能 |
| ポータル型 | Web 画面から社内資源へアクセス |
SSL-VPN が選ばれる理由(試験頻出)
ファイアウォール越えが容易
- TCP 443(HTTPS)は多くの環境で許可済み
- IPsec(UDP 500/4500)より制約が少ない
→ 外出先/公衆 Wi-Fi からでも利用可能
端末依存性が低い
- OS 標準ブラウザで動作
- 管理者権限不要な場合が多い
IPsec-VPN との比較(理解必須)
| 項目 | SSL-VPN | IPsec-VPN |
|---|---|---|
| 使用層 | トランスポート層以上 | ネットワーク層 |
| 使用ポート | TCP 443 | UDP 500/4500 |
| 導入容易性 | 高い | 低い |
| 利用形態 | リモートアクセス向き | 拠点間接続向き |
| ファイアウォール通過 | 容易 | 制限されやすい |
SSL-VPN 装置のセキュリティ機能
- 利用者認証(ID/パスワード、証明書、OTP)
- アクセス制御(URL/アプリ単位)
- ログ取得/監査
- 端末チェック(ウイルス対策状況など)
SSL-VPN の注意点/リスク
利用者端末の安全性
- マルウェア感染端末からの接続
- キーロガーによる情報漏えい
→ 端末認証/多要素認証が重要
周辺知識①:TLS と SSL の違い
| 項目 | SSL | TLS |
|---|---|---|
| 状態 | 廃止 | 現行標準 |
| 安全性 | 低い | 高い |
| 試験表記 | SSL | SSL/TLS |
周辺知識②:リモートアクセス対策の全体像
- SSL-VPN
- 多要素認証(OTP/FIDO)
- 端末証明書
- ゼロトラスト(ZTNA)