社外から社内ネットワークに接続できる便利なリモートアクセス環境。安全な通信にはVPNの構築が欠かせない。SSL-VPN環境構築時はデジタル証明書の検証に注意しよう。

 高速モバイル通信の普及とスマートデバイスの性能向上により、社外からインターネット経由で社内ネットワークに接続するリモートアクセス環境の導入が広がっている。どこにいても仕事ができる環境は便利な半面、社外から通信する際はセキュリティーを考慮しなければならない。安全に通信するため、スマートデバイスと社内ネットワークをSSL-VPNで接続してセキュリティーを担保している企業も多いだろう。

 ただし、SSL-VPNに利用するVPN装置は標準化された通信方式や規格に基づき製品化されているが、製品固有の仕様により思わぬトラブルに遭遇することがある。今回はSSL-VPN環境で起きたデジタル証明書にまつわるトラブルを紹介する。

事例1
VPN装置の変更で接続不可に

 A社は社員がスマートデバイスからインターネット経由で社内ネットワークに接続できるSSL-VPN環境を導入していた。自社のデータセンターに認証局(プライベート認証局)を配備し、社外からアクセスする社員のスマートデバイスに5年間有効なデジタル証明書を発行。その認証局が発行したデジタル証明書をスマートデバイスとVPNゲートウエイの双方にあらかじめインストールしておき、互いの電子署名を検証してから接続を許可する。

 併せて、データセンターにWebサーバー(CRL配布ポイント)を構築し、認証局が発行したデジタル証明書の失効リストを配置した。VPNゲートウエイがCRL配布ポイントから失効リストを1日1回能動的に取得し、スマートデバイスにインストールされた証明書の有効性を接続時にチェックする仕組みを採用した。

 ところが、VPNゲートウエイを機種変更したタイミングでトラブルが発生した。デジタル証明書をインストールした一部のスマートデバイスでSSL-VPNによる通信ができなくなったのだ。担当者は当初、VPNゲートウエイの不具合を疑った。しかし、正常に通信できている端末があり、調査してもVPNゲートウエイに問題は見つからなかった。

 さらに原因の調査を進めると、意外な事実に気づいた。スマートデバイスにインストールしたデジタル証明書の発行時期によって接続できるかどうかが決まっていたのだ。具体的には、2年以上前にデジタル証明書をインストールしたスマートデバイスでトラブルが発生していた。

図 A社で発生したトラブル
VPNゲートウエイの変更後、一部端末でSSL-VPN通信が不可に
[画像のクリックで拡大表示]
SSL-VPN
SSLはSecure Sockets Layerの略。TLS/SSLの通信暗号機能を利用したVPNのこと。

この先は有料会員の登録が必要です。「日経コンピュータ」定期購読者もログインしてお読みいただけます。今なら有料会員(月額プラン)が12月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら