SSL VPNの安全性に関するホワイトペーパーを読んで

公式クライアントソフトウェアの日本語版作成や関連製品も含め、OpenVPNを扱ってきた身として気になった記事がありました。InfoSecurityで取り上げられた「SSL VPNs pose network security risks」です。OpenVPNもSSL VPNの一種（SSLの機能を使ってVPNを実現している）ですから、この記事は無視するわけにはいかないでしょう。

この記事はNCPというセキュリティ会社が公開したホワイトペーパー「Debunking the Myths of SSL VPN Security」に基づくものです（ホワイトペーパーは無料でダウンロードできますが、メールアドレスの登録が必要です）。タイトルも「SSL VPNのセキュリティの神話を暴く」というほどですから、力の入れようが伝わってきます。

こりゃちゃんと読まないといけないなとメールアドレスを登録し、メールで送信されてきたURLからホワイトペーパー（PDF）をダウンロード、早速さらっと読み始めたのですが......どことなく違和感が...。

このホワイトペーパーは10の「神話」を取り上げ、それぞれを論駁していく流れで書かれています。取り上げられている神話は、次のようなものです。

1. SSL VPNはクライアントレスだ
2. SSLセッション経由のオンラインバンキングは安全だ
3. HTTPSはセキュアなパイプだ
4. SOA Webサービスの一方向証明書認証はHTTPSを使用しているから安全だ
5. SOA Webサービスとクライアントの双方向証明書認証は信頼できる
6. 証明機関（CA）から取得した信頼できる証明書は完璧だ
7. Java Authentication and Authorization Services (JAAS) はすべてのプロトコルやメカニズムをセキュアな方法で処理している
8. RSA SecurIDはセキュアなコネクションを提供している
9. シック・クライアント（Thick-client）のSSL VPNはシン・クライアント（Thin-client）のSSL VPNより安全だ
10. セキュリティは専門の部署の問題だ

あれ、もしかして、SSL VPNってこのレポートでは実はあんまり中心ではない？（笑）

実際、このホワイトペーパーではSSLや証明機関に関連した問題点などが論点の中心で、VPNはタイトルの重さほど出てきません。SSL VPNが一番関係していそうな最初の「神話」（これも「神話」なのかはやや疑問...）も、Webブラウザからアクセスを開始するタイプのSSL VPNにおけるブラウザのセッション処理を取り上げており、OpenVPNのようなアプリケーションを使って接続するSSL VPNはいきなり蚊帳の外です。他にも、ISPからプライベートアドレスを割り当てられることを前提に書かれている部分もあったり（日本でもCATVなどではこのタイプですが、一般的にはグローバルアドレスが割り当てられています）と、なかなか悩ましげ（？）なレポートです。

SSLや関連するアプリケーションの弱点などを概念的に知る上では多少参考にできそうですが、残念ながらSSL VPNのセキュリティに関して突っ込んだ論議は見当たりませんでした。珍しくSSL VPNにフォーカスした記事だと思ったので、ちょっと期待はずれ。残念。

あ、そうそう、このレポートでOpenVPNを検索すると、最後の最後、Appendix Bで登場してきます。OpenVPNを使用しているWatchGuard Mobile VPNの脆弱性に関するアドバイザリですが、結局はWebサーバーから設定ファイルを読み込む部分に関する脆弱性で、SSL VPN（OpenVPN）自体に関するものではありませんでした...。

Related Posts

• 
  インターネット上でまた一人の死者が生まれた
• 
  Dropbox 認証バイパス事件、集団訴訟へ
• 
  ネットワークからの攻撃より危険!? 拾ったUSBメモリを使う人は少なくないらしい
• 
  セキュリティエキスパートのように対応するための6つの方法