いまさら聞けない【情シス知識】VPNってなに?

最近では、働き方改革の旗振りのもと、多くの企業が在宅勤務やサテライトオフィスを導入するようになり、リモートで会社のシステムにアクセスするニーズは随分と高まってきました。これに関連して拠点間の通信やリモートアクセスの為にVPNという手法が使われています。さて、このVPNは一体どのようなものなのでしょうか。

【おさらい】VPNってなんだ?

VPN(virtual private network)はその名の通り、仮想的なプライベートネットワークです。例えば離れた拠点のサーバーに接続する場合でも、構内LANで使っていた時と同じように接続することができます。

遠隔地のネットワークに接続する場合、専用線で接続する方法もあります。専用線の場合、セキュリティは高くなりますが、月額使用料が高額になり、拠点間の距離に比例して価格が高くなります。また、リモート端末からアクセスする場合は、ダイヤルアップをする必要があり、回線速度が遅く、使い勝手が悪くなるという問題がありました。

そこで、インターネットや通信業者の提供する閉域網を利用して、宛先を付加してカプセル化したパケットをやりとりする通信方式「VPN」が利用されるようになりました。

VPNには、通信業者が提供する閉域網を利用するVPNと、インターネットを利用するVPNがあります。前者には回線品質が保証されているIP-VPN、広域イーサネットVPNのほか、ブロードバンド回線で接続可能なエントリーVPNなどがあります。

通信業者が提供する閉域網は、回線を共有するもののネットワークごとに論理的に分離されているため、インターネットVPNと比較して安全性が高いのが特徴です。また、VPNの機能が閉域網で実現されるため、ユーザー側ではVPN関連の設定が不要になります。

ただ、近年ではVPN環境をユーザー自身で構築できる手軽さやコストが抑えられることから、インターネットVPNに注目が集まっています。インターネットを利用した通信は、データの盗聴や改ざんなどのリスクがありますが、VPNでは接続先と認証を行い、データを暗号化してやりとりすることで、セキュアな接続環境を作ることができます。

次章ではインターネットVPNの仕組みについてご紹介します。

 

【5分でわかる】インターネットVPNの仕組み

インターネットVPNの仕組みはどのようになっているのかみてみましょう。

(1)トンネリング

トンネリングとは、パケットを別の通信プロトコルでくるみカプセル化することで、別のネットワークを経由しても同じネットワークであるかのようにやりとりができます。

通常の構内LANやインターネットの場合は、IPによってパケットの交換をしています。ただ、この場合は、パケットをキャプチャできるツールで読み取りや改ざんができてしまいます。

トンネリングでは、パケットを異なるレイヤーのパケットでカプセル化するため、単純なキャプチャでは読み取れません。拠点間でやりとりをする場合は、送信側のVPNゲートウェイでパケットをカプセル化し、受信側のVPNゲートウェイでパケットを取り出して端末へ転送します。

(2)「認証」「暗号化」

インターネットVPNでセキュアな通信をするために欠かせないのが「認証」と「暗号化」です。公共の回線を使うため、社内ネットワークへ不正に侵入するのを防ぐための「認証」とデータを盗聴・改ざんされないための「暗号化」が必要となります。

(3)インターネットVPNの種類

インターネットVPNには、以下の種類があります。

・ネットワーク層(レイヤー3)で暗号化・認証を行う「IPsec-VPN」
・セッション層(レイヤー5)であるSSL暗号通信で暗号化・認証を行う「SSL-VPN」
・SSL暗号通信で暗号化と認証はし、データリンク層(レイヤー2)でカプセル化をして通信を行う「L2VPN」

IPsec-VPNはリモートアクセス端末に専用ソフトをインストールする必要がありますが、SSL-VPNはSSL暗号通信機能がWebブラウザやグループウェアに標準で搭載されているため、リモートアクセス端末に特別な設定はありません。

ただし、SSL暗号通信はレイヤー5でのWebアクセスが前提となるため、ブラウザで動作するアプリケーションしか操作することができません。そこで、この問題を解消するべく、Javaアプレットによりポート別にトンネリングする「ポートフォワード方式」、VPNクライアントソフトを認証時に自動ダウンロードしてトンネリングする「L2フォワーディング方式」も登場しました。

また、L2VPNは、レイヤー2のイーサネットフレームをカプセル化して通信します。論理ネットワーク単位でローカルIPアドレスを設定できます。例えば上記の図では、ローカルIPアドレスを拠点Aと拠点Bとで重複しないように設定していますが、L2VPNの場合はそれが不要となります。そのため、複雑なIPアドレス管理が不要となり、既存のネットワークを大幅に変更することなくVPN環境が構築できます。トンネルの両端に専用装置またはソフトウェアが必要になりますが、拠点ごとに専用装置を設置すればすぐに使えるようになるため、コストを抑えることができます。

 

【導入のポイント】コスト以外も要チェック!

VPNはコストでの判断も必要ですが、それ以外でも確認しておかないと「こんなはずではなかった・・・」と後悔することになりかねません。そこで導入を検討する時に注意点をご紹介します。

(1) 導入作業・構築作業がどこまで必要かを把握する

専用線や通信業者の提供する閉域網を利用する場合は、通信業者に依頼するだけで済んでいた作業も、VPNを導入したがために、自社で設定が必要になってしまうこともあります。導入時、運用時、拠点を増やした際にどのような作業が必要となるのかあらかじめ確認しておきましょう。

(2) 通信量・求める速度を確認しておく

インターネットや、帯域を確保していない閉域網を経由する場合は、遅延したり切断したりする可能性があり、リアルタイム性が高いシステムの通信には向きません。通信量・求める速度を過去のデータから割り出して検討する必要があります。

(3) セキュリティリスクを考慮する

どれだけ高度なセキュリティ技術が採用されていたとしても正しく設定されていなければ意味がありません。VPNにも同じことが言えます。例えば公共Wi-Fiを使ってリモートで接続していた場合VPNが切断されると、トラフィックがインターネットに流れてしまう恐れがあります。Windows7以降のWindows製品には再接続の機能がありますが、市販のVPNクライアントでも同様の機能が含まれているものがあります。リモート端末がどのような環境であるか検討しておきましょう。

 

【メリット活かして】コストメリットとリスクの検討を

VPNはコストメリットがあればあるほどリスクが高くなります。自社の用途とそれに対するリスクを把握した上で、最も適したVPNの方式を選びたいものです。

余談ではありますが、VPNとは異なる「LTE over IP」という方式を用いて通信経路を秘匿するという技術も登場し、VAIOではこの秋からサービスを開始するというアナウンスもされており、この仕組みを使うことで、これまでは心配で使えなかった公衆無線LAN(Free Wi-Fi)スポットを積極的に活用するという新たな選択肢が加わります。コストと利便性、そして安全性という軸でどう評価するか、情シスの悩みはつきません。

 

【執筆:編集Gp 山際 貴子】

関連記事

カテゴリー:

ナレッジ情シス知恵袋

情シス求人

  1. チームメンバーで作字やってみた#1

ページ上部へ戻る