VPNや暗号化の仕組みや種類は?安全なテレワークのための知識を解説
目次
テレワークを推進するならセキュリティ対策としてVPNの導入は必須です。VPNには暗号化という技術も関わりますが、VPNや暗号化についてきちんと把握できていない方もいるのではないでしょうか。
VPNという技術にはどのような役割があり、どのような仕組みで実現されるのでしょうか。さらに、暗号化はセキュリティ対策にどのように関わるのかを知ることで、安全なテレワーク環境とは何なのかが理解できます。デバイスに依存せず全てのテレワーカーに適用できるVPNサービスも知り、テレワークのセキュリティレベルを高めましょう。
そこでこの記事では、VPN・暗号化の基礎知識やVPN接続方法の種類、テレワークでVPNを導入するメリットや注意点についてご紹介します。
VPNと暗号化の基礎知識
VPNとは何なのかを理解するためには、ネットワークの仕組みや通信経路の選択、トンネリングやカプセル化について知る必要があります。また、暗号化には暗号鍵・認証・暗号化方式・暗号化アルゴリズムといった要素もかかわるので、順に理解を進めていきましょう。
ネットワークの通信経路とVPN
社内ネットワークやホームネットワークといった「LAN(Local Area Network)」の中における通信は、外部ネットワークを経由しないので高セキュアです。
LANからインターネット接続をする際はプロバイダが管理する「WAN(Wide Area Network)」を経由し、「パケット」と呼ばれる単位に分割されたデータを、経路上のルーターでバケツリレー式に伝送します。
インターネットは無数のWAN・LANで構築される世界規模のネットワークで、接続される機器はメーカーや仕様がさまざまです。そこで通信のルールはさまざまな「プロトコル(通信規約)」によって定義・標準化されています。
LANの末端にあるルーターは、プロトコルを守って経路選択する、つまり「ルーティング」を担う機器です。ルーティングは基本的に自動的に行われるため通信経路は予測しにくく、低セキュアのネットワークを経由したり、経路によっては通信傍受の被害に遭ったりします。
そこで重要なのが「VPN(Virtual Private Network)」を利用することです。VPNはプロトコルを巧みに利用してパケットを保護・管理し、公衆回線経由の接続でも社内LANに近いセキュリティを確保した仮想専用ネットワークを指します。
VPNサーバー機能付きのルーターやNAS(Network-Attached Storage)でVPNサーバーを構築したり、VPNサービス事業者が提供するアプリをインストール・設定したりして、異なるネットワークにあるVPNサーバー・クライアントをVPN接続する仕組みです。
トンネリングとカプセル化
VPNは通信経路にかかわらず、LANで接続するようなセキュアな直結回線を論理的に構築します。VPNを実現させる手法はさまざまですが、最も基礎的かつ必須なのは「トンネリング」と呼ばれる技術です。仮想的な直結回線を確立することをトンネリングと呼び、その仮想回線を「トンネル」と呼びます。
トンネリングを実現する代表的な技術は「カプセル化」です。パケットの先頭には宛先・送信元・ファイル形式といった制御情報を格納する「ヘッダ」と呼ばれるデータ領域があり、その後ろに「ペイロード」と呼ばれるデータの本体があります。カプセル化は、パケットを異なるプロトコルのペイロードに格納する技術です。
カプセル化におけるパケットを郵便物に例えるなら、複数の段ボールをそのまま送るのではなく、一つの大きな段ボールの中に小さな複数の段ボールを格納(秘匿)することと似ています。パケットをひとまとめにすることでパケットごとのルーティングがなくなり、トンネルの両端で機器が直結しているように見える仕組みです。
暗号化と暗号鍵・認証
トンネリングによって仮想的な直結回線は確立できますが、通信経路上に読み取り可能なデータが流れることは避けられません。そこで重要なのが「暗号化」です。データを無意味な文字列に置き換えることで、通信傍受があっても第三者からはデータの意味を解読できなくします。
送信元で暗号化したデータは宛先で「復号」することで意味を成しますが、暗号化・復号のために必要なのが「暗号鍵」と「認証」です。あらかじめ送信元・宛先で暗号化・復号に用いる暗号鍵を共有しておき、正しい宛先であることをIDやパスワードで認証することで、セキュアなVPN接続が確立できます。
暗号鍵による暗号化方式の分類
暗号化と復号には暗号鍵を用いますが、この暗号鍵の仕組みによって暗号化方式は2種類に大別できます。
・対称暗号化方式(共通鍵暗号鍵方式/秘密鍵暗号鍵方式):暗号化と復号に同じ暗号鍵を用いる
・非対称暗号化方式(公開鍵暗号方式):暗号化用の暗号鍵と復号用の暗号鍵という、対になる暗号鍵のセットを用いる
対称暗号化方式は暗号化・復号の処理が高速なので、大量のデータ送信に向いています。送信元・宛先で同じ暗号鍵を用いるのでセキュリティ上の懸念はありますが、「Diffie-Hellman鍵交換(DHE)」によってセキュアな鍵交換が可能です。
非対称暗号化方式は「送信元・宛先は必ずセット」という意味で理論上はセキュアな暗号化方式ですが、第三者に渡っても時間的に読み取り不可なほど長大な暗号文を生成するので、暗号化・復号の処理速度は対称暗号化方式に劣ります。対称暗号化方式で使用する暗号鍵の交換や、通信相手の認証に使用される暗号化方式です。
暗号化方式による暗号化アルゴリズムの分類
暗号化はデータを第三者から容易に解読できない文字列に変換しますが、暗号化に用いられる数学的な計算手順を「暗号化アルゴリズム」と呼びます。暗号化アルゴリズムは対称暗号化方式・非対称暗号化方式それぞれで使用されるものが異なり、対称暗号化方式ではDES・3DES・AES、非対称暗号化方式ではRSAが代表的です。
・DES:IBMにより開発された暗号化アルゴリズム。鍵長は56ビットで、セキュリティレベルは高くない
・3DES:DESの改良版。DESによる処理を3回繰り返すので、DESより高セキュア
・AES:米国政府の暗号化標準。鍵長は128ビット・192ビット・256ビットのいずれかで、非常に強力な暗号化アルゴリズム
・RSA:鍵長は512ビット・768ビット・1024ビットなど長大。元データが比較的コンパクトである場合に向くため、暗号化方式で使用する暗号鍵の交換や、通信相手の認証に使用される
VPN接続方式の種類4選
オフィスや自宅のネットワークの末端にはルーターがありますが、VPNサーバー機能のあるルーターをVPNルーターと呼び、VPNルーターによって対応するVPN接続方式が異なります。VPNルーターとテレワーカーのデバイスのVPN接続方式は一致させる必要があるので、主なVPN接続方式も把握しましょう。
SSL-VPN
「SSL-VPN」は通信の暗号化に「SSL(Secure Sockets Layer)」や「TLS(Transport Layer Security)」を用いるVPN接続方式です。SSLはインターネットにおける汎用的な暗号化方式で、組み合わせるプロトコルによって「○○S」と呼ばれます。例えば、HTTPと組み合わせた暗号化通信ならHTTPS、POP3と組み合わせるならPOP3Sといった具合です。
TLSはSSLの後継規格で、実際はTLSを使っているケースが大半ですが、SSLが有名でTLSを指してSSLと表記したり「SSL/TSL」と併記したりします。
SSL-VPNにはリバースプロシキ型・ポートフォワーディング型・L2フォワーディング型の3種類があり、それぞれで必要な構成や利用できるアプリケーションが異なる仕組みです。主にリモートアクセス用途で採用されます。
IPsec VPN
「IPsec(Security Architecture for Internet Protocol)」は複数のプロトコルを組み合わせて実現する通信技術で、IPsecを用いたVPN接続方式を「IPsec VPN」と呼びます。テレワーク環境でよく利用される、非常に安全性の高いVPN接続方式です。
中核となるプロトコルは「ESP(Encapsulating Security Payload)」「AH(Authentication Header)」「IKE(Internet Key Exchange)」の3種類があります。
・ESP:暗号化・完全性・送信元認証・アンチリプレイをサポートし、IPパケットのペイロードを高度に暗号化する
・AH:完全性・送信元認証・アンチリプレイをサポートし、なりすましやデータ改ざんを防止する
・IKE:Diffie-Hellman鍵交換によって、ESPやAHで使用する暗号化アルゴリズムや暗号鍵などの情報を安全に交換する
L2TP/IPsec
「L2TP/IPsec」は、IPsecと「L2TP(Layer 2 Tunneling Protocol)」を組み合わせたVPN接続方式です。IPsecはネットワーク層の「IP(Internet Protocol)」のレベルでパケットを暗号化し、ファイルウォールにブロックされるケースもあります。
L2TPは一段階下層のデータリンク層でカプセル化するので、透過できるネットワークの幅広さが利点ですが、暗号化をサポートしません。そこでIPsecと組み合わせ、社内LANへのセキュアなアクセスのために使われることが多いVPN接続方式です。
PPTP
「PPTP(Point to Point Tunneling Protocol)」は、拠点間接続のためのプロトコル「PPP(Point to Point Protocol)」を用いたVPN接続方式です。PPTPはトンネリング・暗号化・認証をサポートしますが、IPsec VPNに比べるとセキュリティレベルは高くありません。
一方で、ひとつのVPN接続方式で拠点間接続とリモートアクセスの両方を実現できるのが利点です。Microsoft社によって提案されたVPN接続方式なので、Windows PCを手軽にPPTPクライアントとして利用できるという利点もあります。
VPNサービスの4つの分類とそれぞれの特徴
VPNは自前のVPNサーバーを構築することでも利用できますが、サービス事業者が提供するVPNサービスも利用できます。主なサービス形態は、インターネットを経由するインターネットVPNや、インターネットを経由しないIP-VPN・エントリーVPN・広域イーサネットです。それぞれのサービス形態を解説します。
インターネットVPN
「インターネットVPN」は通信経路にインターネットを含むタイプのVPN接続サービスです。自前で構築したVPN環境がインターネットを経由する場合もインターネットVPNと呼びます。
通常のインターネットに接続するだけで利用できるので、通信事業者の専用回線を利用するより低コストであることが利点です。ただし、通信の品質や安全性は通信経路に依存するため、遅延が発生しやすいことやセキュリティレベルに注意を要します。通信の暗号化にはIPsec・SSL・PPTPなどを用いるのが一般的です。
IP-VPN
「IP-VPN」は通信事業者が管理運用するIPベースの閉域網を利用したVPN接続サービスです。インターネットと同じくIPベースのネットワークで、VPN接続方式は共通しますが、インターネットを経由しないため通信の品質や安全性に優れます。
通信事業者の契約者のみが利用できるネットワークなので、暗号化が不必要なケースも珍しくありません。ただし、複数の契約者で回線を共有するため、遅延が発生するケースもあるのは注意点です。専用線を敷設するよりは低コストですが、インターネットVPNより高コストになる傾向があります。
エントリーVPN
エントリーVPNは、その名の通り入門向けのVPN接続サービスです。IP-VPNと同様に通信事業者の閉域網を経由しますが、光回線やADSLといった安価なブロードバンド回線を利用します。
セキュリティ面ではインターネットVPNより優れますが、IP-VPNの入門版として初期費用0円で提供されるケースもあり、契約者が多い傾向にあることは注意点です。回線の品質は保証されず、不特定多数のユーザーが利用するためにセキュリティリスクもあります。
広域イーサネット
広域イーサネットは地理的に離れた複数拠点のLANを、イーサネット(有線LAN)で接続した広域的なネットワークです。
各拠点のL2スイッチ(スイッチングハブ)から通信事業者の広域イーサネット網に接続するので、IPより下層のデータリンク層で相互接続することになり、IPベースのインターネットVPN・IP-VPN・エントリーVPNとは大きく異なります。
プロトコルの制限を受けずに自由なネットワーク設計ができる上、有線LANベースの閉域網を利用するので高セキュアです。サービス事業者がカスタマイズ可能なVPNサービスとして提供する他、コストを惜しまなければ自社構築も可能です。
テレワークに必須!VPNを導入するメリットと注意点
VPNを実現する方法はさまざまですが、全てのVPNに共通していえるのはVPNサーバーとクライアントを仮想専用線で直結することです。この特徴によって、VPNはテレワークで必須といえる3つの理由があります。ここでは、VPN導入のメリットと合わせて注意点も把握しましょう。
【メリット】テレワーカーが社内ネットワークにアクセスできる
テレワーカーはPCやスマホから社内ネットワーク内のデータにアクセスすることが多々ありますが、このときテレワーカーは社内ネットワークに対して外部ネットワークからアクセスします。外部ネットワークとの通信には、ネットワークの端末に「IPアドレス」が必要です。
IPアドレスには「プライベートIPアドレス」と「グローバルIPアドレス」の2種類があり、社内ネットワークのサーバーがプライベートIPアドレスを使っていると通常は外部ネットワークからアクセスできません。
自社構築したVPNサーバーにクライアント(テレワーカーのデバイス)がアクセスすると、クライアントのアカウント認証後に、クライアント・社内ネットワーク間で直結回線があるように接続できます。
【メリット】社内ネットワークのセキュリティを確保
社内ネットワークでグローバルIPアドレスを使っている場合、外部ネットワークから簡単に社内ネットワークへアクセスできてしまいます。これはWebサイトを公開しているような状態、つまりサーバーの内容がインターネットに対してオープンになっている状態です。
プライベートIPアドレスを利用するより低コストですが、サイバー攻撃の被害に遭いやすくセキュリティ上の懸念があります。VPNを利用すると社内ネットワークに接続するデバイスを企業側がコントロールしやすくなり、送受信されるデータは自動的に暗号化されるので、社内情報の安全性を確保できるのも利点です。
【メリット】テレワーカーのインターネット利用も高セキュア
テレワーカーが使用するPCやスマホには何らかの社内情報が保存されています。デバイスには機密情報が保存されているケースもありますが、そのデバイスでインターネット接続すると不正アクセスや情報窃取といったサイバー攻撃の被害に遭う恐れがあり、情報管理の面で好ましくありません。
自社構築のVPNサーバーを運用すると、テレワーカーのデバイスは社内ネットワーク内のVPNサーバーを経由してインターネット接続します。つまり企業がテレワーカーのトラフィックを管理できるので、テレワーカーのインターネットセキュリティを企業側がコントロールできるのも利点です。
【注意点】VPNサービスの品質はさまざま
世界中の多くのサービス事業者がVPNサービスを提供していますが、VPNサーバーの構築方法や管理保守体制は事業者によって異なります。ここで意識したいのは、VPN接続をする際の通信経路は、接続しているVPNサーバーを必ず経由することです。
VPNサーバーまでの通信経路でデータが秘匿・暗号化されているかどうかにかかわらず、VPNサーバー側では全ての通信データが取得できます。さらに、技術さえあれば誰でもVPNサーバーの構築・公開が可能です。
悪質な詐欺業者が情報窃取を目的としているVPNサーバーを運用しているケースもあり、VPN接続を確立した瞬間に個人情報が抜き取られるケースも珍しくありません。特に無償サービス(収益源が不明なサービス)を利用する際には注意が必要です。
【注意点】VPN接続が遅いケースもある
VPN接続をする際にはVPNサーバーを経由するので、VPNサーバーのトラフィック集中により接続が遅くなるケースは珍しくありません。VPNサーバーを利用しないタイプのVPNサービスもありますが、いずれにせよ社内ネットワークにアクセスが集中すればネットワークリソースは不足しがちです。
自宅の通信環境で大量のダウンロード・アップロードをするとインターネット接続が遅くなるように、VPNサーバーにトラフィック集中するとデータ伝送の中継が遅くなります。
また、VPN接続で利用する暗号化技術が高度(演算量が膨大)であるほど処理速度は遅くなる傾向にあり、高セキュアであることと通信品質が良いこととの両立は困難です。特にテレワークを導入している企業は社外デバイスとのVPN接続が多いので、高速かつ安定した通信回線の整備が求められます。
テレワークの快適かつセキュアなインフラ構築はイッツコム!
VPNはトンネリングと暗号化によってセキュアな仮想専用線を構築しますが、テレワーク環境では社内ネットワークへのトラフィックが集中しがちなので、通信環境の整備が求められます。
イッツコムなら高速かつ安定した光回線や、テレワーク環境に向いたVPNサービスをセットで導入可能です。イッツコムの多彩なサービスの中から、イッツコム光接続サービスとモバイル閉域接続を紹介します。
イッツコムの法人向け光回線
テレワーク環境で社内ネットワークに安全にアクセスするならVPNの導入が必須ですが、自社構築のVPNサーバーを運用する上で問題になるのはトラフィック集中による通信品質の低下です。テレワーク環境で生産性を高めるには自社の通信環境のアップグレードが求められます。
イッツコムの法人向け光回線「イッツコム光接続サービス」は、下り最大2Gbpsの高速かつ安定した光回線です。イッツコム独自の光ファイバー網を利用したプロバイダ・光回線一体型サービスなので、トラブルの際にはひとつの窓口でスピーディーに対応できます。光回線以外のサービスをオプション化しており、他社サービスより通信費を抑えられることも利点です。
モバイル閉域接続
一般的なVPNサービスは設定やアカウント管理が煩雑で、管理者・テレワーカー双方の負担となることが懸念点です。サービス事業者の信頼性にも注意を要します。
イッツコムの「モバイル閉域接続」は、NTTドコモ網・イッツコム網による閉域網を経由する、信頼性の高いVPNサービスです。PCやスマホに専用SIMを挿入するだけで導入でき、管理の手間もかかりません。
専用SIMを挿入したデバイスは通信回線も得られるので、テレワーカーは信頼性の低いネットワークを利用する必要はなく、エリア内のどこからでも標準化されたセキュアアクセスが可能です。
まとめ
VPNは仮想専用線を構築する技術の総称で、利用する暗号化アルゴリズムや接続方式はさまざまです。VPNサーバーとクライアントの暗号化プロトコルを一致させる必要もありますが、テレワーカーのPC環境は一様ではないので、デバイスの仕様に依存しないモバイル閉域接続が効果的です。
イッツコムはモバイル閉域接続・boxによるセキュリティ対策やワークフロー管理の他、ZoomやホットプロファイルによるWeb会議や営業支援、光回線やWi-Fi接続によるインフラ整備まで幅広いサービスを提供しています。ビジネス環境のトータルなアップグレードをお求めなら、多彩なサービスを自由に組み合わせられるイッツコムにご相談ください。
