- ベストアンサー
SSL-VPN+PKIについての質問
- リモートアクセスでのセキュリティ対策について質問です。SSL-VPN通信と電子証明書を使用したユーザー認証の方法について検討しています。
- コストを抑える方法として、プライベートCAの構築を考えていますが、手順を理解している必要がありますか?そして、セキュリティの面で心配な点はありますか?
- さらに、SSL-VPN機器を使用した二要素認証の方法についても教えていただきたいです。手軽かつ安全な方法はありますか?
- australia1104
- お礼率100% (2/2)
- ネットワーク
- 回答数2
- ありがとう数4
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
> プライベートCAを独自に構築する手順などを載せたサイトもありますが、 > IT知識のある人でしたら、手順を見ながら構築できるものなのでしょうか? 証明書関係をあまりわかっていない場合はつらいでしょうが、セキュリティを保護する以上は知らなければいけない内容だとは思いますので、チャレンジできる限りは試してみるとよいのではないかと思います。 ただ、継続的な運用を考えると、人的リソースは消費しますね。独学だと特にたいへんでしょう。ちゃんとスクリプトとドキュメントを整備するとすると、初年度は諸々含めて15人日程度消費しそう。 安全性については、サインされたCAを利用する場合と独自CAを利用する場合とでは、基本的には何も変わりません。CA自体がアタックされて陥落した場合は別ですが、言い換えればCAを正しく守れれば同じということです。 独自CAを利用するのは全く問題ありませんが、鍵長だけは長く保ってください。opensslの初期設定でRSA鍵ペアを作ると1024bitだったりしますが、この鍵長は「2010年には破られうる強度」とされています。個人の鍵は2048bit、CAなら4096bitにしておきたいところです。 あとは、個人証明書には必ずパスフレーズを入れること、とかですね。説明サイトにはよくパスフレーズを抜く方法を書いてたりしますが、セキュリティ上はNGです。
その他の回答 (1)
- kaihatusha
- ベストアンサー率46% (7/15)
質問の回答にはならないかもしれませんが・・・。 社内のデータにアクセスするだけなら暗号化通信対応のリモート管理ソフトを入れる方が、SSL-VPN機器などを導入するよりはコストは大分安くなると思いますが・・。
お礼
回答ありがとうございます。 社内に使われていないSSL-VPN機器がありましたので、これを利用したいと思っていました。 そこでセキュリティを強化するために、PKIでユーザの正当性を判断しようと考えて。 長期的な利用が見込まれるので、最初にセキュリティをしっかりしようと思い、 色々考えていたのですが、コストが・・ アドバイスありがとうございました。
お礼
詳細説明をありがとうございました。 よくわかりました。 独自CAに挑戦するか、アウトソースするかまた検討して行きたいと思います。 パスフレーズを長くする事も、セキュリティ強化に繋がるんですね。 勉強になりました。