VPN 解説
概要:VPNとは何か
VPN(Virtual Private Network、仮想プライベートネットワーク)とは、誰でも自由に通れる「公道」のようなインターネットの中に、自分たちだけが使える「専用の通路」を作り出す技術のことだ。
たとえば、自宅のパソコンから会社のネットワークに接続する場面を考える。本来、インターネットを流れるデータは、途中にあるWi-Fiルーターやプロバイダーなど、いくつもの中継地点を経由する。この通り道では、悪意のある第三者にデータの内容を覗き見られたり、書き換えられたりする危険がある。
そこでVPNは、送るデータを**鍵のかかった箱(暗号化)**に入れたうえで、外側にもう一つの宛名(別のネットワーク用の情報)を付けて送り出す。これにより、データが通る道筋自体は普通のインターネットでも、中身は途中の誰にも読み取れない「専用通路(トンネル)」のような状態が作られる。
この仕組みのおかげで、自宅にいながら会社の社内ネットワークに直接つながっているかのように振る舞ったり、外出先や海外から国内向けのサービスにアクセスしたりすることが可能になる。
深掘り:技術的な仕組みを理解する
1. トンネリングとカプセル化
VPNの中核となる仕組みはトンネリングである。元のデータ(パケット)を、別のプロトコルのヘッダーで包み込み、新しいパケットとして送り出すことを**カプセル化(Encapsulation)**と呼ぶ。
受信側ではこの逆の処理(デカプセル化)が行われ、外側の包みを取り除いて元のパケットを取り出す。この仕組みにより、社内ネットワーク専用のプライベートIPアドレスを持つパケットであっても、インターネット上のグローバルIPアドレスのネットワークを経由して目的地まで届けることができる。
カプセル化が行われる層は、OSI参照モデルにおいて**データリンク層(L2)またはネットワーク層(L3)**にあたることが多く、これがVPNプロトコルの種類を分ける一つの基準になる。
2. VPNの種類(接続形態による分類)
| 種類 | 概要 | 主な用途 |
|---|---|---|
| リモートアクセスVPN | 個々の端末(PCやスマホ)が、インターネット経由で拠点のネットワークに接続する形態 | 自宅や外出先からの社内システムへのアクセス |
| 拠点間VPN(サイト間VPN) | 本社・支社などの異なる拠点同士のネットワークを、VPN装置(ルーターなど)を介して常時接続する形態 | 複数店舗・拠点間の社内ネットワーク統合 |
3. 主要なVPNプロトコルの比較
| プロトコル | 動作レイヤー | 暗号化強度 | 特徴・現状 |
|---|---|---|---|
| PPTP | L2 | 弱い | 古い規格で、現在は脆弱性のため非推奨 |
| L2TP/IPsec | L2+L3 | 高い | L2TPでトンネルを作り、IPsecで暗号化を行う組み合わせ。広く利用 |
| IPsec(単体) | L3 | 高い | 拠点間VPNで標準的に使われる。IKEによる鍵交換を行う |
| OpenVPN | L3〜L4(SSL/TLS) | 高い | オープンソース。SSL/TLSを利用し、ファイアウォール越えに強い |
| WireGuard | L3 | 高い | 新世代の規格。コードがシンプルで処理が軽く、通信速度が速い |
4. 暗号化と認証の仕組み
VPNの安全性は、大きく分けて暗号化と認証という二つの要素によって支えられている。
データそのものの暗号化には、**共通鍵暗号方式(AESなど)**が使われる。共通鍵暗号は処理が高速だが、その鍵を安全に相手と共有する必要がある。
この鍵を安全に交換するために、公開鍵暗号方式を用いた鍵交換プロトコル(IPsecにおけるIKE:Internet Key Exchangeなど)が利用される。さらに、接続する相手が正しい本人・拠点であることを確認するための認証には、事前共有鍵(PSK)や電子証明書が使われる。
5. NATとIPアドレスの扱い
VPNに接続すると、端末にはVPN用のネットワークが管理する仮想的なIPアドレスが割り当てられる。これにより、端末は物理的にどこにいても、社内ネットワークの一員として振る舞うことができる。
また、自宅のルーターなどでNAT(Network Address Translation)が行われている環境では、VPNのパケットがそのままでは通過できない場合がある。この問題に対応するための仕組みが**NAT-T(NAT Traversal)**であり、VPNのパケットをUDPでカプセル化することで、一般的なルーターでも通過できるようにしている。
6. 発展:ゼロトラストネットワークアクセス(ZTNA)との関係
近年では、従来型の「社内ネットワークに丸ごと接続する」VPNに代わり、**ゼロトラストネットワークアクセス(ZTNA)**という考え方が広がっている。
ZTNAでは、ユーザーやデバイスを社内ネットワークに接続させるのではなく、必要なアプリケーションやサービスへのアクセスごとに、その都度認証・認可を行う。これにより、VPN接続後にネットワーク全体へアクセスできてしまうリスクを抑えることができる。
VPNとZTNAは置き換えの関係にあるとは限らず、用途や規模に応じて組み合わせて利用されることも多い。
まとめ表
| 機能 | 対応するOSIレイヤー | 関連技術・用語 |
|---|---|---|
| トンネリング/カプセル化 | L2〜L3 | IPsec, GRE |
| 暗号化 | L3〜L4 | AES, IPsec, TLS |
| 鍵交換・認証 | - | IKE, PSK, 電子証明書 |
| 接続形態 | - | リモートアクセスVPN, 拠点間VPN |
| NAT越え | L3〜L4 | NAT-T, UDPカプセル化 |
| 次世代の考え方 | - | ZTNA |
キーワード早見表
| 用語 | 一行説明 |
|---|---|
| VPN | インターネット上に専用の安全な通路を作る技術 |
| トンネリング | 元のデータを別のパケットで包んで送る仕組み |
| カプセル化 | パケットを別のヘッダーで包むこと |
| IPsec | ネットワーク層で暗号化と認証を行う標準プロトコル群 |
| OpenVPN | SSL/TLSを利用したオープンソースのVPNソフトウェア |
| WireGuard | シンプルで高速な新世代のVPNプロトコル |
| NAT-T | NAT環境でもVPN通信を通過させる仕組み |
| ZTNA | アクセスごとに認証・認可を行う次世代のセキュリティモデル |