VPNを守る仮想トンネルとは?仕組みや主な設定方法&閉塞接続との違いを解説
目次
VPNは、トンネリング・暗号化・認証といった技術で通信の安全性を高め、仮想的な専用線を構築する通信技術の総称です。VPNの基礎知識を知り、もう少し踏み込んだ通信方法の違いなども理解することで、不安の少ない通信方法を選択できます。
社内外でのコミュニケーションでインターネットが不可欠となる昨今、低コストにネットワーク接続の安全性を高めたい方もいるでしょう。そこでこの記事では、VPNのトンネリングという技術を中心に、安心・安全な接続の仕方を紹介します。
VPNで使用する仮想トンネル(トンネリング)の仕組み
VPNは、インターネットや通信事業者の回線網といったIP(Internet Protocol)ベースのネットワークの中で仮想的に構築する専用線です。通信を行う2つの地点間で仮想的なトンネルを建て、そこで情報をやり取りすることで外部からの不正アクセスを防止します。VPNに必要なトンネリングという技術の役割について見ていきましょう。
VPNにはなぜ仮想トンネルが必要?
インターネットでは、IPなどの「通信プロトコル(通信手順)」を利用して複数のネットワークを相互接続しています。インターネットは不特定多数のユーザーが利用する開かれた通信網、つまり公衆回線です。
開かれた回線を行き来しているデータは、知識のあるハッカーであれば通信内容を盗み見たり改ざんしたりできます。そこで、仮想専用線「VPN(Virtual Private Network)」を利用する「トンネリング」という技術の出番です。通信内容をやり取りする2点間で仮想的なトンネルを作って覆うことで、情報漏洩などのリスクを軽減します。
VPNの仮想トンネルとカプセルの関係性
VPNを構築するためには、公衆回線の中でやり取りするデータが「PPP(Point-to-Point Protocol)」を利用しているように見せかけることが必要です。
多くの通信プロトコルでは、パケットやフレームといったデータの送受信単位を設定しています。プロトコルのデータの本体である「ペイロード」に、上位のプロトコルの送受信単位を格納するのが「カプセル化」です。
送受信単位のカプセル化・解除は、トンネルの両端で自動的に行われます。送受信するデータを入れ子構造にして、指定された相手しかカプセル化を解除できないようにトンネリングを用いるというわけです。
VPNの仮想トンネルを強化する認証と暗号化
誰もが乗り入れできる公衆回線の中で仮想専用線を敷設するためには、通信する2点間で特別な手続きが必要です。データを送受信する2点間でデータ構造の情報や暗号化の手続きなどを共有し、データのやり取りに「認証」のプロセスを設けることで、仮想的な閉じた通信回線(トンネル)を構築します。
カプセル化するデータを暗号化し、認証のプロセスで正しい相手先であることを確かめ、直接インターネットに接続するよりも大幅にセキュリティを高める仕組みです。
VPNの仮想トンネルやセキュリティが役立つ場面
仮想専用線を構築するVPNの利用により、それまではできなかった、または可能だけれどもセキュリティ面で不安だった接続も比較的安全にできるようになりました。VPNの安全性やトンネリングという技術が日常のどのような場面で役立っているのか、具体例を見ていきましょう。
社外で無料Wi-Fiを利用したとき
VPNはスマートフォンやノートパソコンにも設定でき、社外で無料Wi-Fiを利用する際にも利用できます。無料Wi-Fiは通信料の節約などに便利ですが、不特定多数のユーザーが利用する公衆回線である以上、安全とはいえません。知識のあるハッカーにかかれば容易にアクセスされてしまうでしょう。
VPNを利用すれば、トンネリングなどの技術によって情報が秘匿されるため、無料Wi-Fiで接続する際にも安心です。
離れた場所にある社内LAN同士を繋げるとき
社内LANは閉じたネットワークとしてセキュリティ面で安心ですが、遠隔地と通信する場合にはリスクが生じます。離れた拠点間で物理的に専用線を敷設するという方法もありますが、距離が遠いほどコストは増大するため現実的な解決策とはいえないでしょう。
ここでVPNによる仮想専用線を利用すれば、離れた拠点間の通信で公衆回線を使用しても比較的安心できます。物理的な専用線よりはるかに安価で導入できるため、コスト面で現実的です。さらに、地理的に離れた拠点間の通信や、社外のデバイスから社内LANへのアクセスなどにも有用といえます。
ネット規制がある国で利用するとき
中国などの一部の国や地域では、インターネットへの接続を厳しく規制しています。日常的に行うインターネット検索や特定のSNSが使えない場合もあり、使えたとしても通信内容が監視されることがネックです。
ここでVPNを利用すれば、公衆回線における防壁を容易に突破でき、日本国内で通信する場合と同じようにインターネットを利用できます。また、特定のサービスは国外からのアクセスをブロックしますが、VPNを利用すれば国内からのアクセスだと見せかけられることもメリットです。
便利なIP電話を使うとき
IP(Internet Protocol)ベースで情報をやり取りすることにより音声通話ができるIP電話は、スマートフォンやパソコンのコミュニケーションツールでも利用できる便利なサービスです。
しかし、インターネット経由でデータを通信する仕組み上、セキュリティ面では不安があります。重要な会議内容などを傍受される恐れもあるでしょう。ここでVPNを利用すれば通話内容を暗号化できるため、傍受されたとしても通話内容の解析を妨害できます。
VPNのトンネルモードとトランスポートモード
VPNでは、IPsecというプロトコルで暗号化を行うことが一般的です。IPsecでは「トンネルモード」と「トランスポートモード」という2種類の通信モードがあり、送受信を行うデバイスやルーターによって使用する通信モードが異なります。一般的なトンネリングを行うトンネルモードと、IPsec独自のトランスポートモードについて見ていきましょう。
IPsecにのみ備わったモード
IPsec(Security Architecture for Internet Protocol)は、インターネットなどにおける通信で暗号化を担うプロトコルです。
認証や情報の改ざん防止を担うAH(Authentication Header)、データの暗号化を担うESP(Encapsulated Security Payload)、暗号鍵の共有などを担うIKE (Internet Key Exchange)などの仕組み・プロトコルを利用します。IPsecでは、トンネルモードとトランスポートモードという2種類の通信モードを用意していることが特徴です。
トンネルモードの特徴
IPsecで通信される情報には、コントロールシステムのIPヘッダと、通信内容の本体であるデータで構成されます。トンネルモードでは、元のIPヘッダを暗号化し、新たなIPヘッダを付加します。さらに本データも暗号化することで、パケット全体が暗号化される仕組みです。
また、トンネル両端のスマートフォンやパソコンなどがIPsecに対応していなくても、経路上のルーターがIPsecに対応していれば暗号化して通信できます。トンネルモードはセキュリティレベルを高められる上、異なるネットワーク間でもルーター同士でVPN接続を確立できることが利点です。
トランスポートモードの特徴
トランスポートモードでは、元のIPヘッダは暗号化せず、本データのみを暗号化する仕組みです。トンネルモードとは異なり、基本的にはホスト間(末端のデバイス同士)でVPN接続を確立します。
なお、IPsecによって暗号化されたデータ部分が「ESP」です。認証データや暗号鍵についての情報などもESPに付加します。ホスト同士がIPsecに対応していれば、ルーターがIPsecに対応していなくてもVPN接続を確立できることが利点です。
インターネットVPNとIP-VPNの違い
VPNは、使用するネットワークによって大きく2種類に分けられます。インターネットを経由する一般的なVPNは「インターネットVPN」、通信事業者の閉ざされたキャリア網を経由するのが「IP-VPN」です。
どちらも仮想専用線を構築する点では同じですが、セキュリティのレベルやコストの高さなどは違うため、区別しておく必要があります。それぞれの特徴を見ていきましょう。
インターネットVPN
インターネットVPNは、仮想専用線の経路上でインターネットを経由するタイプのVPNです。インターネットという広大なネットワークを活用できるため、専用線を敷設するコストが必要なく、個人でもビジネスでも安価に導入できます。
ただし、ベースが公衆回線である以上、悪意ある第三者の攻撃を受けやすいことは懸念点です。トンネリングや暗号化により一定のセキュリティは確保できますが、データはインターネット上の経路を流れるため、情報漏洩やハッキングなどのリスクは排除できません。
また、通常のインターネットを利用するときと同じく、時間帯によって通信速度が低下しやすい点もデメリットです。
IP-VPN(閉域接続)
IP-VPN(閉域接続)は、通信事業者が運用するIPベースのキャリア網で仮想専用線を構築するタイプです。
不特定多数の利用者がいるインターネットVPNと違い、IP-VPNの閉域網はサービスの契約者しか利用しません。したがって、公衆回線に通信内容が流出することはなく、専用線と同等に高セキュリティであることがメリットです。通信品質はサービス事業者が保証するため、インターネットVPNより安定した通信が期待できます。
ただし、インターネットVPNより導入コストがかさみ、運用・管理の手間がかかることはデメリットです。専用線より安価に、地理的に離れた拠点・デバイスとの接続を高セキュリティに行いたい場合に向いています。運用・管理をサービス事業者が一括して行うタイプのIP-VPNを利用すれば手間はかかりません。
安全性を高めるならIP-VPN!
インターネットVPN・IP-VPNは、両者共にメリット・デメリットがあります。コスト面で見ればインターネットVPNは有利ですが、通信はインターネットを経由するため、情報の漏洩や改ざんのリスクは排除できません。
その点、閉ざされたネットワークを使うIP-VPNは、重要な社内情報が流出するリスクを最小限に抑えられます。専用線と同様の安全かつ安定した通信環境を求めるなら、IP-VPNの導入がおすすめです。
VPNよりも安全なイッツコムのモバイル閉域接続とは
イッツコムの「モバイル閉域接続」は、NTTドコモのキャリア網とイッツコム通信網を利用し、インターネットから分離されているため、通信先IPの露呈などによる社内LANへの攻撃や、VPNのハッキングなどを防止できます。
イッツコムの閉域網で通信するデバイスは専用SIMを利用する必要があり、サービスの利用者以外は接続できません。強固なセキュリティ体制を確保できる上、VPNの設定は不要です。社外でのインターネット利用にも社内LANを経由するため、あらゆる場所・デバイスで社内セキュリティポリシーを適用できます。
まとめ
VPNは、トンネリング・暗号化・認証などを利用して通信の安全性を高めます。セキュリティ対策を行わずにインターネット接続を行うと情報漏洩のリスクがあるため、ビジネスにおいてはVPNの導入は必須といえるでしょう。
開かれた回線を利用するインターネットVPNではセキュリティ上のリスクを排除できませんが、IP-VPNを選択すれば専用線と同等の安全性が得られます。ビジネスでの通信の安全性を求めるなら、イッツコムのモバイル閉域接続をご利用ください。