執筆：乙部 幸一朗

　すでにSSL VPN市場の成長は当初の技術論先行の過熱期を脱し、実運用レベルでのユーザー浸透が進む安定期に入ったといえる。海外をはじめ、日本でも多くの大手企業がリモートアクセスとしてSSL VPNを利用し始めたことにより、ベンダーから提供される製品も幅が広がった。さらに、低価格・ローエンド向けのアプライアンス製品が登場したことで中小規模企業での導入も進むようになり、SSL VPN市場は2008年にワールドワイドで5億ドルを越えるといわれている（図1）。

　今日のSSL VPNの用途はまだ従来のリモートアクセスの延長という域を出ていないが、マイクロソフトがSSLVPNベンダーである「Whale」を買収したニュースに代表されるように、さまざまなアプリケーションにおけるクライアントアクセスを、安全そして効果的に実現する手段として、SSL VPNが持つポテンシャルはまだまだ大きいといえる。それでは今後どのような場面での利用が期待されるのか、鍵となる技術も含めて紹介していきたい。

図1 SSL VPNベンダー相関図

　最近とくにセキュリティ管理者の頭痛のタネとなっているのは日本版SOX法（注1）への対応ではないだろうか。

　まずSOX法への対応というと、フォレンジックソフトやERPシステムでの対応に注目されがちであるが、ネットワーク管理者の立場からみれば、従来のアプリケーションを極力変更せずにアクセス権の管理やログ管理を行うということがさしあたっての課題となる。

　これに対応する形でネットワーク上のパケットを自動的にキャプチャして保存するような製品なども出てきているが、そもそもネットワークアドレスベースのアクセス管理では柔軟なコントロールができない上、膨大な量のパケットログからようやくアドレスを特定できたとしても、そこから利用ユーザーまでは特定できない。

　それに対して、SSL VPNが持つAAA機能（注2）を活用すれば、既存のアプリケーション・インフラをほとんど変更することなく、必要な認証・承認・ログ監査という一連のアクセス管理を一台で行うことが可能だ。アクセスコントロールという機能にフォーカスしていえば、利用用途としてはリモートアクセス以上にSSL VPNの効果を発揮することができる。もちろん導入する機会も飛躍的に増加することになり、SSLVPNの市場は単なるリモートアクセス製品の枠を超えた新しい領域に入っていくことになる。実際、2006年に入って社内ネットワークのアクセス管理用にSSL VPNを導入し始める企業が特に増えてきている。

---

（注1） 日本版SOX法
SOX（サーベンス・オクスリー）法とはコーポレートガバナンスのあり方と監査制度について定めた米国での連邦法のひとつで、企業会計や財務報告の透明性を高めることを目的としている。対象としては会計・財務上の報告内容だけに限らず、会計システムやERPなどの情報システムの開発・保守・運用といった業務プロセスや、システムへのアクセス権限の管理やログ監査なども明確な方法で実施され、日本でも段階的に施行されている。

（注2）AAA機能
Authentication、Authorization、Accounting 機能の略。ユーザーの認証、アクセスの承認、ロギング／アカウンティングの3つのステップからなるアクセス管理体系を指す。