コラム/トピック

VPNの仕組みを理解しよう!その種類から構築に必要な機能をわかりやすく解説

働き方改革が進み、新型コロナウイルス感染拡大防止で人の動きが制限されるなか、ビジネスシーンでは、テレワークをはじめとしたリモートアクセスによる業務が定着してきました。このような状況から、セキュリティに配慮したネットワーク接続環境として、VPNの構築を行う情シス(IT)担当者も増えたのではないでしょうか。そこで本記事では、VPNの仕組みを紹介します。そもそもVPNとは何かといった基礎的な知識をおさらいし、VPNの用途やメリット・デメリット、VPN構築に必要な機能などを解説します。

VPNとは

VPNとは、「Virtual Private Network」の略称で「仮想的な専用回線」のことを指します。VPNは、インターネット上に安全な経路を構築し、セキュア(保護された)なデータのやり取りを実現する技術です。

従来は、セキュアな通信をするために「物理的な専用線」を構築していました。しかしVPNの登場によって、セキュアな通信のために物理専用線を引く必要もなくなりました。VPNは物理専用線よりも低コストで、手軽に素早く構築できるセキュアな通信手段として導入できるようになったのです。

現在では、本社と支社といった拠点間接続はもちろん、パソコンやスマートフォンなどを介して社外からリモート接続するときも、VPN利用により安全なデータ通信を実現できます。

VPN_illust1.png

VPNの種類

VPNには、大きく分けて2つの種類があります。「インターネットVPN」と「IP-VPN」です。VPNの基礎を理解するうえでは、この2つの違いを把握しておくことが大切です。

インターネットVPNとは

インターネットVPNとは、一般のインターネット回線に仮想的な通信トンネルを構築して通信をするものです。一般的なインターネット回線を利用しますが、トンネリングやカプセル化(後述)といった仕組みを利用して閉じたネットワーク経路を構築するので、セキュアな通信が可能です。

VPN_illust2.png

IP-VPNとは

IP-VPNとは、通信事業者独自の閉域ネットワーク(外部干渉のない仮想ネットワーク)を利用するVPNのことです。

インターネットVPNでは、データが共用のインターネット回線を通るのに対し、IP-VPNは通信事業者と契約ユーザーだけが利用できるバックボーン回線を介して通信します。そのため、回線の帯域を他者に干渉されないことはもちろん、よりセキュアな通信が可能です。

VPN_illust3.png

VPNの仕組み

それでは、VPNの仕組みについて見ていきましょう。ここでは、上述した「インターネットVPN」と「IP-VPN」の違いを意識しながら、それぞれの仕組みを把握していきます。

インターネットVPNの仕組み

インターネットVPNを支える仕組みとして把握すべき技術は「トンネリング」「カプセル化」「暗号化」の3つです。

087_01.png

簡単な例としては、本社と支社の遠隔地をVPNでつなぐケースがイメージしやすいでしょう。この場合、本社と支社にIPsec(暗号化によってパケットの秘匿や改ざん検知を実現するプロトコル)などの機能を持つルーターを設置して「トンネリング」します。データをやり取りする際には、「暗号化」が可能な通信プロトコルで「カプセル化」して、トンネリング経路を使った通信を行います。

このような流れで3つの技術が使われるのです。それぞれの技術の役割を見ていきましょう。

トンネリング

トンネリングとは、インターネット回線上に拠点間をつなぐ仮想的な通信経路を構築して、双方の拠点を接続することです。トンネリング経路は、インターネット回線を利用するその他の通信経路よりもセキュアな通信が可能です。

簡単にイメージするならば、一般道路にマラソン選手が走るためのコースを設けて、規制線を張っているような状態です。選手が走るコースに一般走者は侵入できません。

また、マラソンコースを確保するためには、沿道にロープを張ったり警備員が立ったりする方法があります。その役割として、VPN接続では「IPsec」や「L2TP/IPsec」、「PPTP」といったプロトコル(通信規約)を利用します。

カプセル化

カプセル化は、トンネリング経路で通信するデータを、通信プロトコルで包むことです。

カプセル化されたデータは、カプセル化が解除されるまで中身のデータを参照することはできません。つまり、トンネリング経路を流れるデータは、カプセル化によってセキュリティレベルが高くなるということです。

上述のマラソンコースに例えるならば、データはマラソン選手です。マラソンコースを走るマラソン選手を警備員で取り囲んで一緒に走ることで、沿道からは誰が走っているのかが見えない状態を作り上げます。

ただし、厳密にいうとカプセル化=暗号化ではないため、カプセルが外されてしまえば中身のデータが見えてしまいます。例えば、L2TPPPTPでカプセル化した場合には、中身のデータは暗号化されません。

暗号化

暗号化は、データ(パケット)をカプセル化する際に、IPsecのような、暗号化できるプロトコルを用いることで実現します。暗号化すれば、VPN通信のセキュリティレベルはさらに上がります。

マラソンコースの例でいうと、マラソン選手の周りを警備員が取り囲むカプセル化を行い、さらにマラソン選手自体を変装させて(暗号化)走るのです。この場合、万が一警備員のすき間からマラソン選手が見えたとしても、誰が走っているかは判断できません。

上述のように、L2TPPPTPといったプロトコルでは暗号化されません。セキュリティの高いVPN通信を行うには、IPsecや、IPsecL2TPを併用するL2TP/IPsecを利用する必要があります。

IP-VPNの仕組み

IP-VPNは、通信サービス提供事業者の閉域ネットワークで通信する際に「MPLS」という技術を利用します。MPLSは「Multi Protocol Label Switching」の略称で、宛先識別にIPアドレスではなく「ラベル」を使う通信の仕組みです。

インターネットVPNを含め、IPアドレスを使った通信の場合はルーティングが必要ですが、MPLSではラベルの転送経路で相手を判別し、ユーザーごとに分割された経路を通じてパケットのやり取りができます。

VPNに必要な装置(ルーター)

VPNの構築に欠かせないのが、VPNサーバー機能を持った装置のルーター機器です。

必要な機能

インターネットVPNを構築するためには、IPsecL2TP/IPsecPPTPをはじめとしたプロトコルをサポートしているVPNサーバー機能を持ったルーターが必要です。また、IP-VPNを構築するには、MPLSに対応したルーターが必要となります。

例えば、テレワークで遠隔地からVPN接続をする場合は、接続する側のパソコンやスマートフォンにも、VPNサーバーが持つプロトコルに合わせて接続設定ができる機能が必要です。PPTPの設定しかできないスマートフォンからIPsecVPNには接続できないため、VPNを構築する際には双方のプロトコルをしっかりと確認して設計しましょう。

VPNを利用するメリット・デメリット

ここからは、VPNを利用するメリットとデメリットを見ていきましょう。

itspice_point.pngインターネットVPNを利用するメリット

インターネットVPNを利用することで、セキュアなネットワーク接続を実現できます。また、専用線に比べれば低コストかつ手軽に導入することが可能です。

もちろん、VPN構築のための設計や設定は必要ですが、VPN対応の機器は自由に選択できます。ランニングコストがかからない(一部の製品ではVPN接続のための料金が発生する場合もある)こともメリットといえるでしょう。

テレワークの導入が急務で、すぐにVPN環境を構築したい場合には、インターネットVPNが適しています。

itspice_point.pngインターネットVPNを利用するデメリット

インターネットVPNを利用するデメリットとしては、VPNルーターの導入費用がかかることが挙げられます。複数の拠点でインターネットVPNを利用する場合は、拠点の数だけVPNルーターが必要です。接続するユーザー数が多い場合には、高性能なルーターを選定しなければならず、比較的高価なルーターが必要になります。

また、VPNの基本的なネットワーク設計をしなければならないため、VPNの基本的な知識が必要です。設計・設定の工数も考慮しなければなりません。

itspice_point.pngIP-VPNを利用するメリット

IP-VPNを利用するメリットは、閉域ネットワークが利用できることです。閉域ネットワークなので盗聴される心配がなく、インターネットVPNよりも通信の安全性や信頼性の高いVPN利用が可能です。

IP-VPNはいわば専用線のようなものであるため、インターネットを利用する一般ユーザーに通信帯域を圧迫されることがなく、高速で大容量通信が可能です。インターネットVPNの場合は、インターネット回線を利用する一般ユーザーと同じ帯域を共用するため、通信速度が低下する場合があります。

itspice_point.pngIP-VPNを利用するデメリット

一方、コスト面ではインターネットVPNに比べて高くなります。事業者が提供する閉域ネットワークを利用するための利用料金が発生するからです。

しかし、より高度なセキュリティや高速な通信、また大容量データの送受信が多い場合には、インターネットVPNよりもIP-VPNを選択したほうがよいでしょう。

VPNの構築手順

087_02.png

それでは、実際にVPNを構築する手順を見ていきましょう。ここでは、低コストで比較的手軽に構築できるインターネットVPNを例に構築手順を紹介します。

【拠点間VPNを導入する例】

  1. VPNの設計:本社と支社のプライベートIPアドレス(LANのサブネット)が同一とならないように設計する(必要に応じて、本社か支社のプライベートIPアドレスを変更する)
  2. VPN機器の導入:設計したVPNに適したVPNサーバー機能付きのルーターを、本社と支社に購入する(主な選定基準は、利用するIPsecなどのプロトコルの種類が使えることと、想定される接続数を許容できる機器であること)
  3. VPNの設定:購入したVPNルーターに、VPNに必要な値を設定する
  4. 本社と支社のルーターでVPN接続を行う

【テレワークにVPNを導入する例】

  1. VPNの設計:遠隔地からのVPN接続に使用するプロトコルを決定する
  2. VPN機器の導入:社内ネットワークのルーターをVPNサーバー機能付きルーターに置き換える
  3. VPNの設定:VPNルーターに、VPN接続に必要な値を設定する
  4. パソコンやスマートフォンにVPN設定:ルーターに設定したVPN情報に沿って、テレワークで利用するパソコンやスマートフォンにVPN接続設定を施す
  5. 遠隔地からパソコンやスマートフォンでVPN接続を行う

関連リンク「VPNとリモートデスクトップを組み合わせて安全なテレワークを実現する

まとめ:VPNの導入でテレワークも安全に!

外部ネットワークから社内のネットワークに接続するためには、VPN接続を利用した安全な接続が求められます。VPNには「インターネットVPN」と「IP-VPN」がありますが、低コストで手軽に導入できるのはインターネットVPNです。ただし、通信速度や、やり取りするデータ容量、データの機密性などによっては、インターネットVPNよりもセキュアなIP-VPNを導入することも検討しましょう。VPNは、セキュアなネットワーク接続には欠かせない技術です。拠点間の接続はもちろん、テレワークを安全に行うためにも、VPNの仕組みを理解して、適切なVPN接続を設計・構築することが大切です。

お問い合わせ

ページトップへ