OpenVPNとSSHとHTTPSのセキュリティ比較

cthart · June 1, 2025, 1:56am

OpenVPN、SSH、HTTPSなどのVPNはすべて似たような暗号化方式を使用しています。これらの中で本質的に安全性が低いものはありますか？仮定を設けても構いません。例えば、SSHはパスワードではなくキー交換認証のみに設定されていると仮定します。HTTPSはTLS1.3のみと仮定します。

私は、従来はOpenVPNを使用して内部アプリケーションにアクセスしていた会社のために働いています。
しかし今や至る所でHTTPSが普及しているため、一部のアプリはインターネットからの直接ログインと2段階認証を許可するように設定しました。

この方向性を続けて最終的にVPNを廃止すべきでしょうか？

一部のリモート拠点からも内部サービスへのアクセスが必要です。現在これらはOpenVPNを経由し、その中でSSHも使用しています。VPN層を持つことには技術的にセキュリティ上の利点はありますか？ (VPNの使いやすさは一旦無視します) 単純にセキュリティ面に関心があります。

jdiscount · June 1, 2025, 1:56am

インターネットにアプリを公開する最大の問題は、攻撃ベクトルを増やすことです。

通信経路は暗号化されているかもしれませんが、ウェブサイトやアプリ自体に脆弱性があれば、それを突いてきます。

個人的には、今はVPNやポートを開ける代わりに、CloudflareやZScalerを使ったリモートアクセスを推奨します。

payne747 · June 1, 2025, 1:56am

VPNは技術者には素晴らしいですが、一般の人にはあまりにも多くのネットアクセス権限を与えすぎます。リモート拠点はすべてのネットワークやサイトにアクセスする必要がありますか、それとも特定のアプリだけですか？

私は、中央集権的なID管理とZTNAに焦点を当てたアクセス制御のもとで、VPNを段階的に廃止していくことを推奨します。完全なゼロトラストアプローチに進むなら、ユーザはどんなネットワークも使えるべきです。なぜなら、それらは常に信頼されていないからです。アクセスを許可する前に、ユーザ・資産・場所を検証してください。暗号化プロトコルは、HTTPSを中心としたZTNAの標準です。

この変化は反発もあるでしょうが、多くの企業や政府機関で効果的に機能しています。

abluedinosaur · June 1, 2025, 1:56am

VPNを公開するのは非常に注意が必要です。これが公司の侵害につながる主要な方法の一つです。VPNアカウントが妥協されると、多くのアクセスが露呈し、アカウントの乗っ取りは比較的簡単です。VPNゲートウェイ自体がハッキングされる可能性もあります。もっと効果的な解決策もあります。Cloudflareの提供サービスがありますが、詳細はあまり確認していません。

Djinjja-Ninja · June 1, 2025, 1:56am

OpenVPNレイヤーを持つことにセキュリティ上のポイントはありますか

防衛の層を増やし、アクセス制御を強化することです。

アプリケーションが内部のもので、一般公開の必要がない場合、それをインターネット全体に公開する理由はありません。

OpenVPNをインターネットに公開するだけで、攻撃対象の表面積は大幅に縮小されます。

fjortisar · June 1, 2025, 1:56am

この道を進み続けて最終的にVPNを廃止すべきか

いいえ、あなたのやり方は違います。これは露出している範囲を減らすことの逆です。理想的には問題ありませんが、アプリには脆弱性があり、認証をバイパスしてコマンドやコードを直接実行できる場合があります。

BarkingArbol · June 1, 2025, 1:56am

ZscalerやNetSkopeのようなSASE製品を検討してください。

これらはこのシナリオに対応するための製品です。

TimedBravado · June 1, 2025, 1:56am

Ibossはこの点で非常に優れています。

d1722825 · June 1, 2025, 1:56am

OpenVPN（およびWireguard）は、パケットが正しいキーで署名されていない場合、サーバーが応答しないように設定できます。あなたのVPNサーバは、正しいキーを持つユーザー以外にはブラックホールのように見えます。

VPNは、ブラウザのような「この証明書を信頼する」ボタンを持っていません。

OpenVPNやWireguardは、TLSのキー交換に事前共有キーを混ぜることで、一部の量子耐性を持つ暗号化対策が可能です（事前共有キーが漏洩しない限り）。

HTTPS/ウェブでは、強力な2要素認証（パスキー、WebAuthn/FIDO2、ハードウェアセキュリティキー）を簡単に使えます。（一部の高価なYubiKeyを使用してOpenVPNのキーを保持することも可能ですが、設定と使用はかなり難しいです。）

beerandbikenerd · June 1, 2025, 1:56am

SSHやHTTPSはVPNの代替ではありません。大きな問題は、VPNサーバーやSSHサーバー、Webサーバーの攻撃対象範囲を増やしたことです。パッチを適用し続けていますか？これらのソフトウェアにゼロデイ脆弱性はありますか？

chaplin2 · June 1, 2025, 1:56am

https (TLS)はプロトコルであり、SSHやOpenVPNのようなアプリケーションではありません。これを使用するアプリケーションやWebサーバは安全であるべきです。TLS 1.3も基本的には非常に安全です。多くのケースでインターネットにHTTPSを公開するのはリスクがあります。

SSHとOpenVPNは同じくらい複雑で、安全性も似ています。OpenVPNはインターネットに公開される設計なので、これが最良の選択です。その後にSSHやOpenVPNにHTTPSを重ねる構成です。

Durakan · June 1, 2025, 1:56am

それぞれがOSIモデルのどの層で動作しているのか調べてから戻ってきて教えてください。（はい、大きな違いがあります。SSHとHTTPSはVPNではありません。）

chaplin2 · June 1, 2025, 1:56am

これらの機関は独自の調整サーバーを運用しています。人々はしません。

また、VPNやリバースプロキシを使ってネットワークアクセスが必要な場合もあります。