まず結論

SSL-VPNとは、SSL/TLSの仕組みを使って、社外端末などから社内システムへ安全に接続するVPN方式です。

SG試験では、細かい製品機能よりも、SSL-VPN装置がサーバとして信頼されるために、FQDNやIPアドレスと対応したデジタル証明書が必要になると判断します。

SSL-VPN = TLSで通信を保護するVPN。装置側には接続先を確認できるサーバ証明書が必要

直感的な説明

SSL-VPN装置は、社外の利用者から見ると「社内への入口」です。

利用者のブラウザやVPNクライアントは、その入口に接続するときに、次のことを確認したいわけです。

• 接続先は本物のSSL-VPN装置か
• 通信途中で盗聴・改ざんされにくいか
• なりすまし装置に接続していないか

この確認に使われるのが、デジタル証明書です。

定義・仕組み

SSL-VPNは、SSL/TLSを使って通信を暗号化し、リモートアクセスVPNを実現する方式です。

基本的な考え方は次のとおりです。

1. 利用者がSSL-VPN装置に接続する
2. SSL-VPN装置がデジタル証明書を提示する
3. クライアント側が証明書の正当性と接続先名を確認する
4. TLSで保護された通信路を作る
5. 必要な認証後、社内システムへのアクセスを中継する

SSL-VPN装置に組み込む証明書には、通常、接続先として使うFQDNやIPアドレスが含まれます。

たとえば、利用者が vpn.example.jp に接続するなら、証明書でもその名前が確認できる必要があります。これにより、利用者は「自分が接続しようとしているSSL-VPN装置」と「証明書が示す接続先」が対応しているかを確認できます。

どんな場面で使う？

SSL-VPNは、主にリモートアクセスの場面で使われます。

• テレワーク端末から社内システムへ接続する
• 外出先から社内Webシステムへ安全に接続する
• ブラウザや専用クライアントでVPN接続する
• 社内ネットワークの入口にSSL-VPNゲートウェイを置く

SG試験では、SSL-VPN装置をTLSのサーバ側として見ると判断しやすくなります。

サーバ側であるSSL-VPN装置は、クライアントに対して「この接続先は本物です」と示す必要があります。そのため、装置には接続先名と対応したデジタル証明書が必要になります。

よくある誤解・混同

SSL-VPN装置に必要なのはベンダー共通証明書ではない

SSL-VPN装置に組み込む証明書は、特定ベンダーが配布する共通の証明書でなければならない、というわけではありません。

重要なのは、利用者が接続するFQDNやIPアドレスと対応し、信頼できる認証局などによって正当性を確認できる証明書であることです。

認証局は製品提供元だけに限定されない

SSL-VPNで使う証明書は、製品提供元が指定した認証局だけに限定されるものではありません。

社内の運用方針に応じて、パブリック認証局や組織内の認証局を使うことがあります。SG試験では、「特定の提供元だけに限定する」断定表現に注意します。

同じドメインなら同じ証明書でよい、とは限らない

同じドメイン内に複数のSSL-VPN装置を置く場合でも、必ず同じデジタル証明書を使うとは限りません。

判断するときは、ドメインが同じかどうかだけでなく、各装置のFQDNやIPアドレスと証明書の対象名が対応しているかを見ます。

SSL-VPNとIPsec VPNを混同しない

用語	見るポイント
SSL-VPN	SSL/TLSを使うリモートアクセスVPN。証明書によるサーバ確認が重要
IPsec VPN	IP層で通信を保護するVPN。AH、ESP、IKEなどと関連する

SG試験では、SSL/TLS、HTTPS、サーバ証明書が出るならSSL-VPN寄り、IP層、ESP、IKE、トンネルモードが出るならIPsec寄りと切り分けます。

確認問題（SG試験対策）

社外端末から vpn.example.jp へSSL-VPN接続させる場合、装置側の証明書に関する説明として最も適切なものはどれか。

• ア. クライアントが接続先を確認できるように、接続先名に対応したサーバ証明書を用意する。
• イ. 製品出荷時に入っている共通証明書を使い続ければ、接続先確認として十分である。
• ウ. 組織内の認証局で発行した証明書は、SSL-VPNでは常に利用できない。
• エ. 同じ組織内のVPN装置であれば、接続先名が違っても証明書の対象名は確認しなくてよい。

▶ クリックして答えと解説を見る（ここを開く）

正解：ア

解説

• ア：適切です。TLSでは、接続先名と証明書の対象が対応しているかを確認します。
• イ：不適切です。共通証明書の使い回しでは、接続先の正当性確認として不十分になるおそれがあります。
• ウ：不適切です。組織内認証局を使う運用もあり得ます。重要なのは信頼設定と対象名の対応です。
• エ：不適切です。装置ごとの接続先名と証明書の対象名の対応を確認します。

👉 判断ポイント SSL-VPN装置はTLS通信のサーバ側として見ます。接続先名を証明できるサーバ証明書が必要と判断します。

まとめ（試験直前用）

• SSL-VPNは、SSL/TLSを使って安全なリモートアクセスを実現する方式。
• SSL-VPN装置には、FQDNやIPアドレスと対応したデジタル証明書が必要。
• ベンダー共通証明書や特定提供元の認証局だけに限定されるわけではない。
• 同じドメインなら同じ証明書、と機械的に判断しない。
• 「TLSのサーバ側として接続先を証明する」と考えると選択肢を切りやすい。

公式情報・参考リンク

• RFC 8446 - The Transport Layer Security (TLS) Protocol Version 1.3
• IPA｜テレワークにおけるセキュリティ対策

🔗 関連記事

• AESとは？鍵長とラウンド数も押さえる共通鍵暗号【SG試験】
• アプリケーションゲートウェイ方式とは？プロキシ型ファイアウォールの切り分け【SG試験】
• 認証・認可・アクセス制御の違いとは？役割の切り分けを整理【SG試験】
• 生体認証とは？指紋・顔・虹彩・静脈認証の違い【SG試験】
• ブラックリストとホワイトリストの違いとは？判断基準を整理【SG試験】

---

🏠 情報セキュリティマネジメントトップに戻る