こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

-広告-

解決済みの質問

SSL-VPN + PKI について

リモートアクセスで社内のサーバーにアクセスする際、
SSL-VPN通信と、電子証明書でユーザーの正当性を判断する方法を
取ろうと思っています。

そこで質問なのですが、コスト的にどのような方法が一番安いでしょうか?
リモートアクセス利用者は10名以下だと思います。
アクセスは外出先や自宅のラップトップからになります。

Pentioの提供する プライベートCA+USBトークン+SSL-VPN などの商品は
300万円を超えてきますよね・・ ちょっと現実的じゃないです。

プライベートCAを独自に構築する手順などを載せたサイトもありますが、
IT知識のある人でしたら、手順を見ながら構築できるものなのでしょうか?

独自のプライベートCAで、サーバー&クライアント証明書の認証して、SSL-VPN通信する事は
セキュリティの面から見て、不安なことはありますか?
(社員が社内のデータにアクセスするだけなのですが)

SSL-VPN機器を使った二要素認証で、
どのような方法が最も手軽で、安全なのか、ご教示頂ければ助かります。

投稿日時 - 2010-12-22 12:47:56

QNo.6400269

困ってます

質問者が選んだベストアンサー

> プライベートCAを独自に構築する手順などを載せたサイトもありますが、
> IT知識のある人でしたら、手順を見ながら構築できるものなのでしょうか?
証明書関係をあまりわかっていない場合はつらいでしょうが、セキュリティを保護する以上は知らなければいけない内容だとは思いますので、チャレンジできる限りは試してみるとよいのではないかと思います。
ただ、継続的な運用を考えると、人的リソースは消費しますね。独学だと特にたいへんでしょう。ちゃんとスクリプトとドキュメントを整備するとすると、初年度は諸々含めて15人日程度消費しそう。

安全性については、サインされたCAを利用する場合と独自CAを利用する場合とでは、基本的には何も変わりません。CA自体がアタックされて陥落した場合は別ですが、言い換えればCAを正しく守れれば同じということです。

独自CAを利用するのは全く問題ありませんが、鍵長だけは長く保ってください。opensslの初期設定でRSA鍵ペアを作ると1024bitだったりしますが、この鍵長は「2010年には破られうる強度」とされています。個人の鍵は2048bit、CAなら4096bitにしておきたいところです。
あとは、個人証明書には必ずパスフレーズを入れること、とかですね。説明サイトにはよくパスフレーズを抜く方法を書いてたりしますが、セキュリティ上はNGです。

投稿日時 - 2010-12-24 06:05:33

お礼

詳細説明をありがとうございました。
よくわかりました。
独自CAに挑戦するか、アウトソースするかまた検討して行きたいと思います。
パスフレーズを長くする事も、セキュリティ強化に繋がるんですね。
勉強になりました。

投稿日時 - 2010-12-24 07:56:30

このQ&Aは役に立ちましたか?

2人が「このQ&Aが役に立った」と投票しています

-広告-
-広告-

回答(2)

ANo.1

質問の回答にはならないかもしれませんが・・・。

社内のデータにアクセスするだけなら暗号化通信対応のリモート管理ソフトを入れる方が、SSL-VPN機器などを導入するよりはコストは大分安くなると思いますが・・。

投稿日時 - 2010-12-23 10:11:47

お礼

回答ありがとうございます。
社内に使われていないSSL-VPN機器がありましたので、これを利用したいと思っていました。
そこでセキュリティを強化するために、PKIでユーザの正当性を判断しようと考えて。
長期的な利用が見込まれるので、最初にセキュリティをしっかりしようと思い、
色々考えていたのですが、コストが・・ 
アドバイスありがとうございました。

投稿日時 - 2010-12-24 08:08:04

-広告-
-広告-
-広告-

あなたにオススメの質問

-広告-
-広告-