VPN接続とは?いまさら聞けない基本を仕組みから接続方法まで解説
目次
VPN接続は安全なリモートアクセスや拠点間接続に役立ちます。ただしインターネットVPNにもIP-VPNにもセキュリティリスクがあるため、仕組みを理解した上で適切な運用を考えることが大切です。
ネットワークセキュリティの向上のために、VPN接続について理解を深めたい方もいるのではないでしょうか。そこでこの記事では、VPNの仕組みや種類、接続方法について紹介します。
VPN接続とは?
VPNはネットワークセキュリティを安価に向上させる手段として、多くの個人・企業に利用されています。VPNの接続形態は、デバイスを起点に接続する「リモートアクセスVPN」と、VPNゲートウェイを起点に接続する「拠点間VPN」の2種類です。
専用回線より利便性が高いVPN接続
VPN(Virtual Private Network)とは、公衆回線を経由して構築された組織内ネットワークや、それを実現する技術の総称です。VPNを経由してインターネットや離れた拠点にアクセスすることを、VPN接続と呼びます。VPN接続は、より安全なインターネット接続や拠点間接続を低コストで実現する方法です。
高セキュアな拠点間接続には物理的な専用回線を利用することもできますが、高コストかつ柔軟性に欠けます。このデメリットを解消しつつ、安全なネットワークアクセスを提供する技術がVPNです。
通信事業者の広域回線網やインターネットなど公衆網内に構築されたVPNを経由し、情報漏えいなどのセキュリティリスクを抑えつつ、インターネットや離れた拠点にアクセスできます。
接続形態は「リモートアクセスVPN」と「拠点間VPN」の2つ
VPNの接続形態は「リモートアクセスVPN」と「拠点間VPN」の2種類です。
VPN接続はPC・スマホ・タブレットなどに搭載されたOS(Windows・macOS・iOS・Androidなど)により、標準的な機能として提供されています。各種デバイスでVPNの接続設定をし、社内ネットワークなどのLAN(Local Area Network)やWebサービスに接続するものがリモートアクセスVPNです。
またVPNは、拠点内・拠点外ネットワークの境界に「VPNゲートウェイ(VPN機能を提供するソフトウェアやハードウェア)」を設置することでも構築できます。VPNゲートウェイが拠点内デバイスのVPN接続を一括で処理し、離れた拠点同士でVPNを構築するものが拠点間VPNです。
VPN接続を実現する技術と仕組み
VPN接続を実現する基幹的な技術は「トンネリング」です。トンネルの構築には多くの場合、データを入れ子状に格納する「カプセル化」という技術を用います。さらに「暗号化」や「認証」によってセキュリティを高めるのが標準的な仕様です。
通信データを秘匿する「カプセル化」と「トンネリング」
トンネリング(tunneling)とは、ネットワーク上の2拠点間で仮想的な直結回線(トンネル)を構築することを指します。これがVPN接続を実現する基幹的な技術です。
トンネリングは一般的に、2拠点間を行き来する通信パケットの「カプセル化」によって実現されます。データ通信におけるカプセル化とは、送受信されるデータを別のプロトコル(通信規約)のデータ領域に格納する技術です。
通信パケットは制御情報を含む「ヘッダ」の後にデータ本体(ペイロードやボディ)が続く構造になっています。カプセル化により、VPN接続の送信元は各プロトコルのデータ本体に上位プロトコルのヘッダ+データ本体を格納し、宛先で自動的に解除する仕組みです。
Ethernet・IP・TCP・HTTP・HTMLといった複数プロトコルを多段的にカプセル化(入れ子状にデータ格納)することで、IPアドレスや宛先ポート番号などが秘匿され、外部からはトンネルの両端が直結されているように見えます。
通信データを無意味な文字列に変換する「暗号化」
VPN接続は一般的に、トンネリングに「暗号化」を組み合わせます。暗号化とは、元データ(平文)と暗号鍵を組み合わせ、一定の計算手順(暗号化アルゴリズム)で無意味な文字列(暗号文)に変換する技術です。
VPN接続の送信元でデータをカプセル化および暗号化し、宛先でカプセル化および暗号化を解除します。これにより通信経路上でパケットの内容を秘匿するとともに、通信傍受されても内容を読み解けなくできる仕組みです。
VPNは使用する暗号化プロトコルによって区別され、SSL/TLSを用いるものを「SSL-VPN」、IPsecを用いるものを「IPsec VPN」と呼びます。
【関連記事:AESとは?暗号化の仕組みや安全性、データ通信での利用方法を解説】
第三者による不正なVPN接続を防ぐ「認証」
VPNはセキュリティを高めるために「認証」の仕組みも組み合わせます。VPN接続における認証とは、VPNサーバにログインしようとするデバイスやユーザーを限定する技術です。
例えば企業のオフィスにVPNゲートウェイを設置する場合、認証の仕組みがなければ、悪意ある第三者が社内ネットワークに不正アクセスできてしまいます。以下のような認証の仕組みがあることで、正当なデバイス・ユーザーのみVPN接続ができる仕組みです。
・パスワード認証:ID・パスワードによる認証方式
・デバイス証明書:承認されたデバイスからの接続であるかを確かめる認証方式
・多要素認証:パスワード・デバイス証明書・電話番号・指紋認証など複数の要素を組み合わせた認証方式
・SSO(シングルサインオン):複数のサービスを同じID・パスワードで認証し、パスワード漏えいを防止しつつ入力の手間を削減する認証技術
通信経路別に見るVPN接続の種類
VPNは通信経路の違いで以下4種類に分類できます。
・インターネットVPN:経路上にインターネットがあるVPN。個人ユーザーがスマホやPCから利用できる無料VPNサービスなど
・IP-VPN:経路が通信事業者の閉域網に限られるVPN。他の契約ユーザーと回線を共有するもののインターネットVPNより安全性が高く、拠点間接続に用いられることが多い
・エントリーVPN:比較的安価な光回線やLTE回線などのブロードバンド回線を使って閉域網に接続する、入門向けのIP-VPN
・広域イーサネット:通信事業者のイーサネット網を利用したVPN。IPレベルより下層のデータリンク層(レイヤ2)で接続するため多拠点接続に有利だが、IP-VPNより高価
広域イーサネットは大企業の選択肢になりやすいVPNで、一般的にはインターネットVPNやIP-VPN(またはエントリーVPN)を利用します。
インターネットVPNの仕組みと特徴とは?
インターネットVPNは安価かつ手軽に利用できるVPNです。自社努力でVPNゲートウェイを設定し閉域網を用意していない場合や、個人向けのVPNサービスを利用する場合、インターネットVPNを使用しています。
インターネットVPNの仕組み
インターネットVPNは、経路上にインターネットを含むVPNの総称です。自社拠点内でVPNゲートウェイを設定して自前のインターネットVPNを構築することもできますが、多くの事業者が無料または有料のインターネットVPNサービスを提供しています。
例えばスマホやPCで利用できるVPNアプリです。このタイプのインターネットVPNは、クライアント(PC・スマホなど)とインターネット上のVPNサーバでVPNを構築し、そのVPNサーバを起点として目的のWebサーバなどとデータの送受信を行います。
インターネットVPNの特徴
サービスとしてのインターネットVPNは、インターネット接続時のクライアント・VPNサーバ間のセキュリティ向上に効果的です。また通信パケットを解析されても接続元のIPアドレスはVPNサーバのものとなるため、クライアントの情報を秘匿できます。Web経由の契約とデバイス上の簡単な設定で利用開始でき、追加の設備も必要ありません。
有料サービスでも非常に安価に利用できますが、インターネットを経由する以上、IP-VPNに比べて低セキュアです。またベストエフォート型のため、帯域保証がありません。人気の高いサービスだと、アクセス集中によりインターネット接続が非常に低速になることもあります。
IP-VPNの仕組みと特徴とは?
IP-VPNは高品質な回線を提供するため、インターネットVPNと比べて価格が多少高額になる傾向です。しかし、あらゆる面で性能に優位性があります。機密性の高い情報を扱う企業などの通信には、こちらの接続方式がおすすめです。ここでは、IP-VPN接続の仕組みや特徴を詳しく紹介します。
IP-VPNの仕組み
通信事業者が自社で所有している、閉じた回線網を通じて接続するのがIP-VPNの特徴です。インターネットVPNは不特定多数のユーザーと回線網を共有しますが、IP-VPNは事業者と有料契約したユーザーに限り、インターネットを経由しない閉域網を共有します。
契約するサービスにもよりますが、通信事業者が一定の水準で通信速度を保証しており、安定性の高い速度を実現できる仕組みです。ベストエフォートに対して、このような仕組みを「ギャランティー型」と呼びます。
IP-VPNの特徴
通信事業者が所有する回線を使用するため、セキュリティの高い環境が保たれるという特徴があります。盗聴や改ざん、成りすましなどのリスクを大きく下げられるでしょう。「MPLS(Multi Protocol Label Switching)」と呼ばれる技術で論理的にユーザーごとの帯域を分離するため、パケットを暗号化することなく高セキュアかつ高速な通信ができます。
また、回線の品質も全体的に安定しているのが特徴です。インターネットVPNに比べるとコストは上がる傾向にありますが、信頼性の確保を優先する方に向いています。
VPN接続を行う4つのメリット
企業が扱う機密情報の含まれたデータは、漏えいや改ざんが行われないようにセキュリティの高い環境で送受信を行う必要があります。また海外に拠点があり、国内の事業所と接続を行うケースもあるでしょう。近年ではリモートワークの需要も増えており、そんな時にもVPNが活躍します。ここでは、VPN接続の4つのメリットについてご紹介します。
安全な環境でインターネット通信ができる
誰でもアクセスできるインターネット上にそのままのデータを流すと、悪意を持った侵入者に簡単に内容を把握されてしまうでしょう。そのため、VPNは独自の暗号技術によって内容を解明されないようにしています。また、トンネリング機能によってアクセス経路が保護されるので、データの安全性が高まります。
遠隔利用が可能
仮想的な専用線を利用するため、拠点間が離れていても利用できるというメリットがあります。例えば、国内と海外の拠点をVPNで結べば、出張先の海外拠点から国内拠点のサーバにアクセスすることも可能です。どんなに物理的な距離があっても、安全性の高いネットワーク環境を構築できます。
在宅勤務、テレワークに効果的
VPN接続は、在宅勤務やモバイルワークなどのリモートワークにおいて高い効果を発揮します。会社のサーバには外部に流出させてはならないデータが大量にあるため、信頼性の高いネットワークを利用しなければなりません。会社とリモート用のPCをVPNで結べば、第三者が入ることができないためデータの安全性を確保できます。
専用線よりも安価
拠点同士を物理的なケーブルで直接結ぶ必要がある専用線は、工事のために高額な費用がかかります。一方VPNは仮想的に拠点間を結ぶだけなので、構築費用を格段に安く抑えることができ、維持費も専用線に比べると安価です。
また、専用線は2つの拠点同士でしか接続できないというデメリットがありました。VPNはこの点を解消し、同じネットワークの中なら複数ある拠点同士で接続できるので、運用が容易になるというメリットもあります。
VPN接続にデメリットはないのか?
VPNサービスの利用に当たっては以下のようなデメリット・注意点があります。
・導入費用やランニングコストがかかる
・非VPN接続より通信速度が落ちる場合も
・セキュリティは完全ではない
特に注意したいのはセキュリティです。IP-VPNはインターネットVPNより高セキュアですが、社内に設置するVPNサーバ(CEルーター)の脆弱性を狙ったサイバー攻撃が増加しています。
例えば脆弱性の発見されたファームウェアをアップデートせずにハッキングされたり、ID・パスワードが漏えいして社内LANに不正アクセスされたりするケースです。「VPN接続さえすれば安全」と考えるのではなく、本当に安全なサービスなのかしっかりと検討し、運用中にも必要な対策を講じましょう。
VPN以外の接続は危険なのか?
VPN接続以外にも、インターネットに接続する方法はいくつかあります。最近では、公共の場でフリーWi-Fiが提供されていることも少なくありません。誰でも自由に使えるフリーWi-Fiや自宅のWi-Fiは便利ですが、セキュリティ上のリスクも抱えています。次に、Wi-Fi接続の危険性について紹介します。
フリーWi-Fiの危険性
暗号化が行われていないフリーWi-Fiへの接続は、周囲に悪意を持った利用者がいると情報を抜き取られる危険性があります。
また、偽のアクセスポイントを用意し、気が付かずに接続してきた利用者の情報を盗み取るという悪質性の高い手法に巻き込まれる可能性も否定できません。例えば、カフェなどのフリーWi-Fiと全く同じSSIDを設定し、誰かが誤って接続するのを待っているということも考えられます。
自宅Wi-Fiの危険性
Wi-Fi経由でインターネット接続をする世帯は少なくありませんが、気が付かないうちに第三者が自宅のWi-Fiに接続し、データを盗み出されたりサイバー攻撃の踏み台にされたりする危険性もあります。
LANケーブルによる有線接続に比べ、Wi-Fiによる無線接続は盗聴や侵入のリスクが高いことが特徴です。しかし、VPNを使えば暗号化や閉域網によって外部からの接触に強い環境を構築できるので、データを守ることができます。
VPN接続の設定方法
ここではユーザー側のVPN接続の設定方法を解説します。インターネットVPNの場合、VPNアプリまたはデバイスのVPN設定画面から設定が必要です。IP-VPNはVPNゲートウェイで設定を行うため、ユーザー側の設定は特に必要ありません。
専用アプリでVPN接続する場合
専用アプリを提供しているVPNサービスの場合、デバイス側で簡単な設定をすればVPN接続ができます。なお以下の手順はWindows PC・Mac・iPhone/iPad・Android端末で共通です。
1.利用するVPNサービスの専用アプリをインストール
2.アプリを立ち上げ、VPNサービスのアカウント情報に基づいてサインイン
3.VPNアプリで通信をVPNに切り替える
デバイスの設定画面からVPN接続する場合
専用アプリを提供していないVPNサービスを利用し、社内ネットワークなどでVPNサーバを設定しない場合、デバイスのVPN設定画面を操作します。iPhoneの場合、操作方法は以下の通りです。
1.[設定]→[VPN]→[VPN構成を追加]の順にタップ
2.VPNサービスの暗号化プロトコル・サーバ情報・認証情報を入力し[完了]をタップ
3.[VPN]画面に戻るため、追加したVPNを選択し、[VPN構成]欄のトグルをオンにする
IP-VPNでVPN接続する場合
IP-VPNの場合、管理者または通信事業者によるVPNサーバ(CEルーター)の設定が必要ですが、従業員は特に設定することはありません。社内ネットワークからインターネット接続をすると、自動的にVPN接続されます。
またVPN専用のSIMカードを利用するタイプのIP-VPNの場合、スマホなどにSIMカードを挿入するだけです。あとは社内外どこからでも、自動的にVPN経由で社内ネットワークへの接続やインターネット接続ができます。
VPN接続の悩みを解消する通信サービスはイッツコム!
イッツコムが提供する「モバイル閉域接続」は、手間なく高セキュアなデータ通信ができる法人向けサービスです。一般的なVPNサービスにありがちなセキュリティや管理上の悩みを解消します。また「法人データSIM」 は、VPN導入企業がリモートアクセスするデバイスを拡大する際に最適です。
「モバイル閉域接続」で手間なく高セキュアなデータ通信
インターネットVPNはインターネットを経由するためセキュリティリスクを排除できず、IP-VPNもVPNハッキングなどの対策が必要です。
イッツコムの「モバイル閉域接続」なら、手間をかけずにVPNの悩みを解消できます。デバイスに専用SIMカードを挿入するだけで、NTTドコモおよびイッツコムの閉域網を経由し、社内ネットワークへ高セキュアにアクセスできる仕組みです。
専用SIMカードにより経路判別するため、ユーザーに専用アプリの設定は必要ありません。また管理者は認証情報の管理が不要です。この仕組みにより、VPNハッキングや認証情報の漏えいなどのリスクも排除できます。
どこからインターネットにアクセスしても社内LANを経由するため、通信ログを社内ネットワークで管理でき、社内セキュリティポリシーを標準化しやすいこともメリットです。
VPN設定済み企業に最適な「法人データSIM」
自社でVPNサーバを設定済みの場合、テレワーカーなどに必要となるのは、インターネット回線とデバイス側の設定のみです。追加でVPNサービスを契約する必要はありません。
イッツコムの「法人データSIM」なら、PC・スマホだけでなくSIMカード対応のモバイル決済端末・監視カメラなど、あらゆるデバイスに対応可能です。
複数SIMカードで通信容量をシェアできる「シェアプラン」も利用でき、月間通信容量に差があってもコストの無駄を抑えられます。
まとめ
VPNは比較的安価にリモートアクセスや拠点間接続を安全にする技術です。ただしインターネットVPNのセキュリティレベルに過信は禁物で、より安全なIP-VPNにもVPNハッキングなどのセキュリティリスクがあります。
イッツコムが提供する「モバイル閉域接続」なら、より安全かつ安価にリモートアクセスが可能です。VPN導入済みなら「法人データSIM」でリモートアクセスするデバイスを拡大する選択肢もあります。安全なVPN環境の運用をお求めなら、さまざまなニーズに柔軟に対応できるイッツコムにご相談ください。
