働き方改革が進み、新型コロナウイルス感染拡大防止で人の動きが制限されるなか、ビジネスシーンでは、テレワークをはじめとしたリモートアクセスによる業務が定着してきました。このような状況から、セキュリティに配慮したネットワーク接続環境として、VPNの構築を行う情シス(IT)担当者も増えたのではないでしょうか。そこで本記事では、VPNの仕組みを紹介します。そもそもVPNとは何かといった基礎的な知識をおさらいし、VPNの用途やメリット・デメリット、VPN構築に必要な機能などを解説します。
VPNとは
VPNとは、「Virtual Private Network」の略称で「仮想的な専用回線」のことを指します。VPNは、インターネット上に安全な経路を構築し、セキュア(保護された)なデータのやり取りを実現する技術です。
従来は、セキュアな通信をするために「物理的な専用線」を構築していました。しかし VPN の登場によって、セキュアな通信のために物理専用線を引く必要もなくなりました。 VPN は物理専用線よりも低コストで、手軽に素早く構築できるセキュアな通信手段として導入できるようになったのです。
現在では、本社と支社といった拠点間接続はもちろん、パソコンやスマートフォンなどを介して社外からリモート接続するときも、 VPN 利用により安全なデータ通信を実現できます。
VPNの種類
VPN には、大きく分けて 2 つの種類があります。「インターネット VPN 」と「 IP-VPN 」です。 VPN の基礎を理解するうえでは、この 2 つの違いを把握しておくことが大切です。
インターネット VPN とは
インターネット VPN とは、一般のインターネット回線に仮想的な通信トンネルを構築して通信をするものです。一般的なインターネット回線を利用しますが、トンネリングやカプセル化(後述)といった仕組みを利用して閉じたネットワーク経路を構築するので、セキュアな通信が可能です。
IP-VPNとは
IP-VPN とは、通信事業者独自の閉域ネットワーク(外部干渉のない仮想ネットワーク)を利用する VPN のことです。
インターネット VPN では、データが共用のインターネット回線を通るのに対し、 IP-VPN は通信事業者と契約ユーザーだけが利用できるバックボーン回線を介して通信します。そのため、回線の帯域を他者に干渉されないことはもちろん、よりセキュアな通信が可能です。
VPNの仕組み
それでは、 VPN の仕組みについて見ていきましょう。ここでは、上述した「インターネット VPN 」と「 IP-VPN 」の違いを意識しながら、それぞれの仕組みを把握していきます。
インターネットVPNの仕組み
インターネット VPN を支える仕組みとして把握すべき技術は「トンネリング」「カプセル化」「暗号化」の 3 つです。
簡単な例としては、本社と支社の遠隔地をVPNでつなぐケースがイメージしやすいでしょう。この場合、本社と支社に IPsec (暗号化によってパケットの秘匿や改ざん検知を実現するプロトコル)などの機能を持つルーターを設置して「トンネリング」します。データをやり取りする際には、「暗号化」が可能な通信プロトコルで「カプセル化」して、トンネリング経路を使った通信を行います。
このような流れで 3 つの技術が使われるのです。それぞれの技術の役割を見ていきましょう。
トンネリング
トンネリングとは、インターネット回線上に拠点間をつなぐ仮想的な通信経路を構築して、双方の拠点を接続することです。トンネリング経路は、インターネット回線を利用するその他の通信経路よりもセキュアな通信が可能です。
簡単にイメージするならば、一般道路にマラソン選手が走るためのコースを設けて、規制線を張っているような状態です。選手が走るコースに一般走者は侵入できません。
また、マラソンコースを確保するためには、沿道にロープを張ったり警備員が立ったりする方法があります。その役割として、 VPN 接続では「 IPsec 」や「 L2TP/IPsec 」、「 PPTP 」といったプロトコル(通信規約)を利用します。
カプセル化
カプセル化は、トンネリング経路で通信するデータを、通信プロトコルで包むことです。
カプセル化されたデータは、カプセル化が解除されるまで中身のデータを参照することはできません。つまり、トンネリング経路を流れるデータは、カプセル化によってセキュリティレベルが高くなるということです。
上述のマラソンコースに例えるならば、データはマラソン選手です。マラソンコースを走るマラソン選手を警備員で取り囲んで一緒に走ることで、沿道からは誰が走っているのかが見えない状態を作り上げます。
ただし、厳密にいうとカプセル化=暗号化ではないため、カプセルが外されてしまえば中身のデータが見えてしまいます。例えば、 L2TP や PPTP でカプセル化した場合には、中身のデータは暗号化されません。
暗号化
暗号化は、データ(パケット)をカプセル化する際に、 IPsec のような、暗号化できるプロトコルを用いることで実現します。暗号化すれば、 VPN 通信のセキュリティレベルはさらに上がります。
マラソンコースの例でいうと、マラソン選手の周りを警備員が取り囲むカプセル化を行い、さらにマラソン選手自体を変装させて(暗号化)走るのです。この場合、万が一警備員のすき間からマラソン選手が見えたとしても、誰が走っているかは判断できません。
上述のように、 L2TP や PPTP といったプロトコルでは暗号化されません。セキュリティの高い VPN 通信を行うには、 IPsec や、 IPsec と L2TP を併用する L2TP/IPsec を利用する必要があります。
IP-VPNの仕組み
IP-VPN は、通信サービス提供事業者の閉域ネットワークで通信する際に「 MPLS 」という技術を利用します。 MPLS は「 Multi Protocol Label Switching 」の略称で、宛先識別に IP アドレスではなく「ラベル」を使う通信の仕組みです。
インターネット VPN を含め、 IP アドレスを使った通信の場合はルーティングが必要ですが、 MPLS ではラベルの転送経路で相手を判別し、ユーザーごとに分割された経路を通じてパケットのやり取りができます。
VPN に必要な装置(ルーター)
VPN の構築に欠かせないのが、 VPN サーバ機能を持った装置のルーター機器です。
必要な機能
インターネット VPN を構築するためには、 IPsec 、 L2TP/IPsec 、 PPTP をはじめとしたプロトコルをサポートしている VPN サーバ機能を持ったルーターが必要です。また、 IP-VPN を構築するには、 MPLS に対応したルーターが必要となります。
例えば、テレワークで遠隔地から VPN 接続をする場合は、接続する側のパソコンやスマートフォンにも、 VPN サーバが持つプロトコルに合わせて接続設定ができる機能が必要です。 PPTP の設定しかできないスマートフォンから IPsec の VPN には接続できないため、 VPN を構築する際には双方のプロトコルをしっかりと確認して設計しましょう。
VPN を利用するメリット・デメリット
ここからは、 VPN を利用するメリットとデメリットを見ていきましょう。
インターネットVPNを利用するメリット
インターネット VPN を利用することで、セキュアなネットワーク接続を実現できます。また、専用線に比べれば低コストかつ手軽に導入することが可能です。
もちろん、 VPN 構築のための設計や設定は必要ですが、 VPN 対応の機器は自由に選択できます。ランニングコストがかからない(一部の製品では VPN 接続のための料金が発生する場合もある)こともメリットといえるでしょう。
テレワークの導入が急務で、すぐに VPN 環境を構築したい場合には、インターネット VPN が適しています。
インターネットVPNを利用するデメリット
インターネット VPN を利用するデメリットとしては、 VPN ルーターの導入費用がかかることが挙げられます。複数の拠点でインターネット VPN を利用する場合は、拠点の数だけ VPN ルーターが必要です。接続するユーザー数が多い場合には、高性能なルーターを選定しなければならず、比較的高価なルーターが必要になります。
また、 VPN の基本的なネットワーク設計をしなければならないため、 VPN の基本的な知識が必要です。設計・設定の工数も考慮しなければなりません。
IP-VPNを利用するメリット
IP-VPN を利用するメリットは、閉域ネットワークが利用できることです。閉域ネットワークなので盗聴される心配がなく、インターネット VPN よりも通信の安全性や信頼性の高い VPN 利用が可能です。
IP-VPN はいわば専用線のようなものであるため、インターネットを利用する一般ユーザーに通信帯域を圧迫されることがなく、高速で大容量通信が可能です。インターネット VPN の場合は、インターネット回線を利用する一般ユーザーと同じ帯域を共用するため、通信速度が低下する場合があります。
IP-VPNを利用するデメリット
一方、コスト面ではインターネット VPN に比べて高くなります。事業者が提供する閉域ネットワークを利用するための利用料金が発生するからです。
しかし、より高度なセキュリティや高速な通信、また大容量データの送受信が多い場合には、インターネット VPN よりも IP-VPN を選択したほうがよいでしょう。
VPNの構築手順
それでは、実際に VPN を構築する手順を見ていきましょう。ここでは、低コストで比較的手軽に構築できるインターネット VPN を例に構築手順を紹介します。
【拠点間VPNを導入する例】
- VPN の設計:本社と支社のプライベート IP アドレス( LAN のサブネット)が同一とならないように設計する(必要に応じて、本社か支社のプライベート IP アドレスを変更する)
- VPN 機器の導入:設計した VPN に適した VPN サーバ機能付きのルーターを、本社と支社に購入する(主な選定基準は、利用する IPsec などのプロトコルの種類が使えることと、想定される接続数を許容できる機器であること)
- VPN の設定:購入した VPN ルーターに、 VPN に必要な値を設定する
- 本社と支社のルーターで VPN 接続を行う
【テレワークにVPNを導入する例】
- VPN の設計:遠隔地からの VPN 接続に使用するプロトコルを決定する
- VPN 機器の導入:社内ネットワークのルーターを VPN サーバ機能付きルーターに置き換える
- VPN の設定: VPN ルーターに、 VPN 接続に必要な値を設定する
- パソコンやスマートフォンに VPN 設定:ルーターに設定した VPN 情報に沿って、テレワークで利用するパソコンやスマートフォンに VPN 接続設定を施す
- 遠隔地からパソコンやスマートフォンで VPN 接続を行う
関連リンク「 VPNとリモートデスクトップを組み合わせて安全なテレワークを実現する 」
まとめ:VPNの導入でテレワークも安全に!
外部ネットワークから社内のネットワークに接続するためには、 VPN 接続を利用した安全な接続が求められます。 VPN には「インターネット VPN 」と「 IP-VPN 」がありますが、低コストで手軽に導入できるのはインターネット VPN です。ただし、通信速度や、やり取りするデータ容量、データの機密性などによっては、インターネット VPN よりもセキュアな IP-VPN を導入することも検討しましょう。 VPN は、セキュアなネットワーク接続には欠かせない技術です。拠点間の接続はもちろん、テレワークを安全に行うためにも、 VPN の仕組みを理解して、適切な VPN 接続を設計・構築することが大切です。
