Sstrhsrtj

「VPN」はこの項目へ転送されています。その他の用法については「VPN (曖昧さ回避)」をご覧ください。

この記事は検証可能な参考文献や出典が全く示されていないか、不十分です。 出典を追加して記事の信頼性向上にご協力ください。（2017年1月）

VPN connectivity overview

Virtual Private Network（バーチャル プライベート ネットワーク、VPN）は、インターネット（本来は公衆網である）に跨って、プライベートネットワークを拡張する技術、およびそのネットワークである。VPNによって、イントラネットなどのプライベートネットワークが、本来公的なネットワークであるインターネットに跨って、まるで各プライベートネットワーク間が専用線で接続されているかのような、機能的、セキュリティ的、管理上のポリシーの恩恵などが、管理者や利用者に対し実現される。

仮想プライベートネットワーク、仮想専用線とも呼ばれる。

VPNは2つの拠点間に、仮想的に「直接的な接続」を構築することで実現できる。専用線ではなくインターネットを経由しながら機密性を保つため、IPベースの通信の上に、専用の接続方法や暗号化を乗せている。また、近年はインターネットではなく少し広がりの小さい多数の加入者で帯域共用する閉域網を利用し、そのような接続を実現する技術、もしくは電気通信事業者のサービスもVPNと呼ばれている。後者を指して特にPPVPN（Provider Provisioned Virtual Private Networks）と呼ぶこともある。

概要

VPNはインターネットや多人数が利用する閉域網を介して、暗号化やトラフィック制御技術により、プライベートネットワーク間があたかも専用線接続されているかのような^[1]状況を実現するものである。

一言でVPNと言っても、様々なプロトコルが利用されるため、そのオプションによって様々な利用が可能である。VPN=暗号化技術という誤解が多いが、それは利用するプロトコルやオプションによって異なる。VPNで利用されるプロトコルには、SSH/TLS（SSL）/IPsec/PPTP/L2TP/L2F/MPLSなどがある。

またもともとは、グローバルなインターネット（the Internet）を介するものであったが、近年の電気通信インフラの形態の傾向などから、IP網（特にv6網のことが多い）ではあるがキャリアの閉域網内から外に出ないで実現されているVPNも運用されるようになってきている。

またトンネリングの形態として、IPパケットを融通する、いわゆる「レイヤ3」で実現する方法と、イーサネットのフレーム等を融通する、いわゆる「レイヤ2」で実現する方法がある。またそれぞれで、接続の両端点となっている両拠点のそれぞれのノードが「同一のノードに見える」のか、別のノードになるのか、といった違いがある。

レイヤ3かレイヤ2かの違いは、それぞれで可能なことと不可能なことがあり、運用上の要件などからどちらを採用するか決定する。

種類

インターネットVPN

IPsecやPPTP、SoftEtherなどを利用することで、インターネットを介した複数の拠点間で暗号化データをカプセリング・トンネリングし通信を行い、通信データの改竄・窃用^[2]を抑えながら通信を行うことが可能となる。

インターネットVPNには、拠点のLAN同士が接続する「LAN型VPN（サイト間VPN、site-to-site VPNとも）」と、ノートPCやスマートフォンなどにインストールしたVPNクライアントソフトを利用し、拠点のLANに接続する「リモートアクセス型VPN」がある。

また、最近ではSSLを利用したSSL-VPNも、その手軽さから注目されている。

インターネットVPNは、IP-VPNと比較すると以下のようなメリット・デメリットがある。

• メリット
  
  • アクセス回線にインターネットを利用することから生じるメリット
    
    
    
    • 通信回線のコストを抑えることが可能。インターネット接続さえあればVPNを終端できる装置やソフトウェアを導入することで、ISPなど電気通信事業者から提供される閉域網を介さず、自前でVPN網を構築することも可能である。
    
    
    • リモート型VPNの場合、出先からでもダイヤルアップ接続や公衆無線LANなど何らかの形でインターネットへのアクセスが可能であれば、拠点のLANへアクセスすることが可能となる。
    
    
    
    
  
  


• デメリット
  
  
  
  • 
    クライアントのアクセス数の増減で機器のパフォーマンスが求められるため、利用スケールにあわせた機器の選択が重要である。
  
  
  • 実効通信速度や安定性は、利用しているインターネット網に依存するため場合によっては不安定となる。
  
  
  • 暗号化を施しているとは言え、グローバルなインターネット経由である為、SSLなどの暗号の強度を除いて通信の安全性を担保するものがない。
  
  
  
  

また完全にオープンなインターネットではなく、特定ISPのインターネット網上のみで通信が完結するタイプのインターネットVPNもISPからサービスとして提供されている。

専用の閉域網によるVPN

企業などの信頼性の要求される通信網を構築するには、拠点間に帯域保障の専用通信回線を占有してきたが、これを第三者が進入・傍聴・改竄しにくくする技術により帯域共有型の安価な閉域網で実現しようというものがこのタイプのVPNと言える。

IP-VPN

MPLS対応のルータなどを使用し、インターネットとは別に構成されたIP網で、VPNを構成する通信事業者のVPNサービスはIP-VPNと呼ばれることが多い。IP上に構築される専用線網であるが、従来の専用線に比べ低コストでの利用が可能である。ISPの閉域網（=外部公開されていない通信網）を利用することでの安全性は確保されるが、その信頼度はサービス提供者に委ねる形となるため、ラベル技術や暗号化技術でもってセキュリティを確保する形での専用線利用となる。

通信経路は網内で他のユーザと共有している為ベストエフォートの傾向にあり、データの通信速度を厳密に保証しかねるがインターネットVPNのような極端な通信速度の低下はほとんど無いと言える。また、オプションで帯域保証を提供しているISPもある。

VPNに関しての機器の導入・管理をユーザ側で行う必要が無いため、導入や運用保守が容易な点も、IP-VPNの特徴の一つである。利用する際は、BGP対応のルータが推奨されるが、インターフェースさえ合わせればユーザの好みでルータを選択できる。

専用通信回線との違い

専用線（専用通信回線）は導入コスト及びランニングコストが高価であるが、接続性及び帯域がSLAによって保証されており、安定性を考えると専用線を選択する企業も多い。専用線ではアクセス回線に合わせ、ルータのインターフェースを選択するだけで対向間の接続が可能であるが、インターネットVPNの場合は、VPN対応のルータ及び専用機、専用クライアントソフトが必要である。

管理や運用保守に関してはVPNが不利であるが、回線コスト（ランニングコスト）や自由度でVPNが圧倒的に勝っているため、現在専用線からの移行（リプレース）が多く行われている。

レイヤ2 VPN

広域イーサネットはイーサネット（レイヤ2）通信が提供されており、利用するプロトコルがIPに依存しないため、LANと同じ感覚で利用可能である。

これと比較して、レイヤ3パケットのトンネリング通信のみをサポートするVPN技術（IPsecやGRE等）を用いたVPNの場合は、あらかじめ利用するサービスやプロトコルを考慮しながらネットワークの構築が行われ、構築後のサービスやプロトコルの変更では、VPN機器の変更が必要となる。

レイヤ2（イーサネット）パケットのトンネリング通信やブリッジ接続などをサポートしているVPN技術を用いることにより、前述した広域イーサネットのメリットと同等のことを実現でき、インターネットVPNを用いて安価に構築することができる。

特に、仮想LANカードと仮想HUBおよび既存の物理的なLANをVPNプロトコルで接続し、その上でブリッジ接続する手法により、広域イーサネットと同様に、既存のスイッチングハブやレイヤ3スイッチが使用されているLAN同士をVPN接続することができる。遠隔地の拠点間でVoIPやテレビ会議システムなどを利用する場合も、同一のイーサネットセグメント上にある機器とみなすことができるので、より容易・確実に利用可能となるメリットがある。

さらに、LANに対してイーサネットのレイヤでリモートアクセスすることが可能になる。

モード

トランスポートモード

トランスポートモードではデータの暗号化を、クライアントが直接行う。すべての通信でデータは暗号化されているが、IPヘッダの暗号化は行われない。

すべてのクライアントにVPNソフトウェアをインストールする必要があるが、モバイル端末からのアクセスなどには利用しやすい。

トンネルモード

トンネルモードでは、VPNゲートウェイで行う。クライアントは、暗号化されていないデータに受信クライアントあてのIPヘッダを付与し、VPNゲートウェイへ送信する。VPNゲートウェイ間の通信では、データ及び受信クライアントあてのIPヘッダはカプセル化され、受信側VPNゲートウェイへのIPヘッダを付与して通信するため、拠点間通信でのIPヘッダの安全性を確保することができる。

拠点間通信でのみ利用可能となり、また、ローカルネットワーク内の通信は暗号化されない。

経路制御

トンネリング・プロトコルはPPPトポロジーに使用される。このトポロジーは一般にVPNと考えられてはいない。なぜなら、VPNはネットワークノードの任意なそして変化する集合をサポートすることが期待されているからである。ほとんどのルーターの実装がソフトウェアで定義されたトンネル・インターフェイスをサポートするので、顧客によって構築されたVPNは多くの場合単なるトンネルの集合によって構成され、従来のルーティングプロトコルはこれらのトンネルを通って走ることとなる。PPVPNはしかしながら複数のVPNの共存をサポートする必要がある。これらのVPNは同じサービスプロバイダーによって運用されるが、お互いから隔離されている。

管理権限の立場的な関係

IETFが分類するVPNは様々なものがあるが、中にはVLANのように、例えばIEEE 802委員会、すなわちワークグループ802.1（アーキテクチャ）といった他の機構の標準化責任のものもある。当初は、Telecommunication Service Provider（TSP）が提供しているWANリンクが単一企業内のネットワークノード同士を相互に接続していた。LANの出現と同時に、企業が認めた連絡線を用いたネットワークノード同士が相互接続できるようになった。初期のWANは専用線やフレームリレーといったレイヤー2多重化サービス、ARPANET、インターネットなどのIPベースの第3層ネットワーク^[3]、軍事IPネットワーク（NIPRNet、SIPRNet、JWICS 他）を利用しているうちに一般的な相互接続メディアとなった。VPNはIPネットワーク上で定義され始めた。ノード間を相互接続するためには、管理の技術よりむしろ関係に基づいて様々なVPNを真っ先に見分けることが有用であった。いったん関係が定義されれば、違った技術がセキュリティやサービスの質といった要求に応じて用いられることがあった。

VPNで利用される技術・手法

• AH


• ESP


• SSL（TLS）


• 仮想HUB


• 仮想LANカード


• ブリッジ接続

レイヤ2 VPN技術

• PPTP


• 
  Layer 2 Tunneling Protocol（L2TP）


• 
  OpenVPN（レイヤ3 IPルーティングも可能）


• 
  PacketiX VPN（レイヤ3 IPルーティングも可能）、SoftEther 1.0
  


• TinyVPN

レイヤ3 VPN技術

• Hamachi


• IPsec


• GRE

レイヤ4以上のVPN技術

• SOCKS


• SSH

脚注

参考文献

• 岡嶋裕史 『平成29年度【春期】【秋期】 情報処理安全確保支援士合格教本』 技術評論社、2017年1月25日、初版。ISBN 978-4-7741-8502-6。

関連項目

• 専用線


• 広域イーサネット

この項目は、コンピュータに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています（PJ:コンピュータ/P:コンピュータ）。

この項目は、インターネットやウェブに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています（PJ:コンピュータ/P:コンピュータ）。