目次
1.VPN概要
VPNというのは、Virtual Private Network、つまり「仮想専用通信網」を指します。インターネットへの接続をVPNを通じて行う際、これを「VPN接続」と呼びます。この際、物理的な専用の回線を使用するわけではなく、既存の公共回線を技術的に仮想の独立した回線のように機能させるのがVPNの特徴です。
このプロセスは、一般の道路を使って自分の車で移動することに似ています。道は共有されていますが、車内では一定のプライバシーとセキュリティが保たれます。同様に、VPN接続は物理的な専用回線よりもコストを抑え、通常の共有回線よりも高い安全性を提供します。
VPNは特に、公共の無料Wi-Fiを使用する場合や複数の拠点でLANを接続する際など、通信の安全性を向上させるために頻繁に利用されます。
2.VPNを支えている技術
VPN接続は、特定の「仮想化技術」と「セキュリティ技術」に支えられています。これには次の4つの主要な技術が含まれます。
- トンネリングプロトコル:これにより、インターネット上で専用の通信経路(トンネル)が形成されます。
- データカプセル化:ユーザーデータを特定のパケットに包み込み、外部からのアクセスを防ぎます。
- ユーザー認証:接続を試みるユーザーが正当であることを確認し、不正アクセスを防止します。
- データ暗号化:情報が第三者に読み取られるのを防ぐために、データを暗号化します。
これらの技術により、VPNはセキュアで信頼性の高い通信手段として機能します。
2-1.仮想の回線を指す「トンネリング」
VPNでは、「トンネリング」という技術が重要な役割を果たしています。この技術の名前の由来は「トンネルを作ること」ですが、ここで言うトンネルはネットワーク上で作られる仮想的な通信路を指します。一般的にインターネットは、多くの人々によって利用される公共の通信路を経由してアクセスされます。
しかし、VPNを使うことで、データのやり取りが行われる2つの地点を仮想的なトンネルで結び、他から隔離することができます。これにより、閉じたネットワーク環境を作り出すことが可能になります。
また、SSHのようにネットワーク上の通信を全て暗号化する技術もトンネリング技術の一種とされています。
2-2.パケットにアドレスを付与する「カプセル化」
仮想トンネル内を行き来するデータは別の形に再パッケージ化されており、ハッカーなどの他社の目からその性質を隠せます。
「カプセル化」はまさにこの再パッケージ化を通して、データの性質や状態を外部から隠すために利用される技術です。
2-3.不正アクセスを防ぐ「認証」
いくら専用の仮想トンネルを設置したところで、その出入り口が開きっぱなしになっていたら意味がありません。
トンネル内部への不正アクセスを防ぐためには、トンネルに入ろうとしている利用者が正当な権利を持っていることを証明させる仕組み、すなわち「認証システム」が必要です。この認証機能は、セキュリティを万全にするために二重にかけられることもあり、これを二段階認証と言います。
2-4.情報漏洩を防ぐ「暗号化」
情報漏洩対策のために送受信するデータに施されるのが「暗号化」の機能です。暗号化することで、例え認証が突破されデータが漏洩したとしても、解読できないようにしてセキュリティを高めることができます。
3.VPN接続の種類
VPN接続はインターネット上にVPN(仮想専用通信網)を構築して利用するインターネットVPNと閉域ネットワークを利用して専用のVPNを構築するVPNのおおきく2つに分類できます。
両者の違いを簡単に説明します。
3-1.インターネットVPN
インターネットVPNはインターネット環境があればVPN機能を備えているルータやサーバを用意すれば誰でも安く気軽にVPNを利用することができます。
安く気軽にVPNを利用できる反面、公共のインターネットを利用するため他のインターネット利用の混雑状況により通信速度に影響を与え通信速度が低下するリスクがあります。
また、VPNとはいえオープンなインターネットを利用するため不正アクセスやデータの盗聴などのリスクもゼロではありません。
インターネットVPNの最大のメリットはメリット導入コストを抑えられ早急にVPNが必要な場合に有効だと言えます。
また、インターネットVPNはSSL-VPNとIPsecVPNの2種類に分けられます。
違いはまず通信プロトコル階層が違う点が大きな違いです。プロトコルというのは英語本来の意味は「約束事」です。コンピュータの世界では「通信プロトコル」、IT専門用語では「通信規則」、「通信規約」、「通信手順」を示します。
通信(信号やデータ、情報)をするためにあらかじめ決められた約束事や手順のことです。
日本人同士だと原則は日本語で通じ合いますし、アメリカだと英語が共通の言語なので相手がどんな言語を使うのか決まっていればそれに従いコミュニケーションが取れます。
コンピュータも同じで異なるメーカー(Microsoft、Apple、富士通、NECなど)のソフトウェアやハードウェア同士でも、共通のプロトコル(HTTPSやFTPなど)に従うことによって正しい通信(コミュニケーション)が可能になります。逆にこの決まりがないとお互いに通信ができなくなってしまいます。
IPアドレスの「IP」の「P」、HTTPの「P」、SMTPの「P」など最後の「P」はプロトコルのことを指しています。インターネットVPNのSSL-VPNとIPsecVPNではこのプロトコルが異なります。
3-2.インターネットVPN : SSL-VPN
SSL-VPNは、通信をSSL方式で暗号化することにより情報漏洩を防ぐVPNです。
SSL(Secure Sockets Layer)とはWEB上で通信されるデータを暗号化するための技術です。SSL-VPNは
このSSLの技術を利用して接続元から接続先までの通信をSSLにより暗号化してVPN(仮想専用通信網)を構築する方法です。
デメリットはWEBブラウザを経由するアプリケーションの使用が前提のためWEBブラウザを経由しないアプリケーションへの接続にはポートフォワーディングなど
3-3.IPsecVPN
IPsec-VPNは、IPパケットを暗号化するIPsec技術を採用したインターネットVPNです。
こちらはIPパケット単位でデータ改ざんのリスクを検知できるため、VPN接続のセキュリティを強化することができます。
IPsec-VPNは、IPパケットを暗号化するIPsec技術を採用した接続方式です。IPパケット単位でデータ改ざんのリスクを検知できるため、VPN接続のセキュリティを強化することができます。
SSL-VPNとは異なり、専用ソフトウェアのインストールや初期設定が必要で、導入にはある程度の手間がかかります。ただし、一度導入すれば、制限なくすべてのアプリケーションで利用できるのがメリットです。
3-1.閉域ネットワークを利用したVPN
インターネットVPNは、誰でも使えるインターネット回線上に「トンネル」を掘って構築する方法です。
既存のインターネット回線をそのまま流用できるので、極めて安価にVPN環境を作れます。
しかしその反面、インターネットVPNは元々がオープンネットワークを利用しているためセキュリティリスクが高く、通信品質や通信速度にも課題が残ります。
3-2.IP-VPN(通信事業者との契約が必要)
専用のクローズドネットワーク上にVPNを構築する方法です。
IP VPNは、ネットワークに不確実性を与えるDDoS攻撃に晒される危険性があるパブリックゲートウェイを避けて接続できます。
この機能はMPLS(Multiprotocol Label Switching)と呼ばれますが、これを利用することで、企業のインターネット利用は優先的に処理され、重要度の低いトラフィックはネットワークの混雑が緩和されるまで待機させられることになります。
IP-VPNを活用することで、企業は主要な技術的課題を解決し、アプリケーションの応答性や通信速度を高速化し、ネットワークの通信品質を安定的に高く保てます。しかし他方で、運用コストは高額であるという欠点もあります。
3-3.IPsec-VPN
最も安全性の高い方式。各拠点のLAN同士を接続したい場合などに用いられる。
IPsecはネットワーク層(L3)でパケットを暗号化して内容が読み取れないようにするプロトコルです。
IPsec-VPNはこの技術を利用して通信を行うので、内容を解読されることがありません。
3-4.L2TP/IPsec
L2TP/IPsecは、「L2TP」と「IPsec」の2つのプロトコルを併用した接続方式です。
モバイル端末や自宅のPCなどから、インターネット経由で企業などのプライベートネットワークへ安全に通信する場合などに用いられます。
データリンク層(L2)で仮想トンネルを作成(トンネリング)してデータを送受信するため、L2TPと呼ばれています。
L2TPには暗号化機能がありませんが、IPsecと併用することで、暗号化を実現することができます。
最後に
VPNを急いで低コストで導入するときはインターネットVPN。よりセキュアに品質の高いネットワーク帯域を求める場合は閉域VPNと覚えておくといいでしょう。また、ここではネットワークVPNと閉域ネットワークVPNを具体的に解説しましたが、それぞれ細かいところでVPNも様々な種類がありますので興味がありましたら各自勉強していただけたらと思います。
以上です。ありがとうございました😄