VPN接続とは? 仕組みや導入のやり方､メリット･デメリットをわかりやすく解説

VPN と は そもそも ” Virtual private network ” の 略称 で 、 日本 語 に する と 「 仮想 専用 通信 網 」 を 意味 し ます 。 VPN で インターネット に 接続 する こと を VPN 接続 と 言う ます が 、 この 場合 、 専用 ネットワーク と は 言う つつ も 物理 的 な 専用 回線 を 用いる の で は あり ませ ん 。 「 仮想 」 専用 通信 網 と いう よう に 、 共用 の 回線 を 諸々 の 技術 に よっ て 仮想 的 に 独立 し た 専用 回線 で ある か の よう に 扱う の が VPN 接続 な の です 。

たとえば 、 共用 回線 を 通常 通り に 使う こと は 、 人 が 混む 合う 街中 で 電車 や バス など の 公共 機関 を 使う て 移動 する こと に 例える られる でしょう 。 電車 や バス は 他 の 人 と 共有 し て 使う もの な の で コスト が 割安 で 済む ます が 、 その 分 スリ や ひったくり の 被害 に 遭う 可能 性 is 増し も 増す て しまう ます 。

これ に 対する て 物理 的 な 専用 回線 を 引く こと は 、 秘密 の 私道 を 自社 用 に 作る て 、 それ で 必要 な 移動 を 済む せる こと に 例える られ ます 。 これ は 非常 に 安全 で 快適 です が 、 実現 する ため に は 多額 の コスト is 必要 が 必要 です 。

VPN接続は、誰もが使う道路を自家用車で移動することに例えられます。道路それ自体は共用のものですが、車内という一定空間においてそのプライバシーやセキュリティはある程度確保されています。つまり、物理的な専用回線を引くよりもコストを抑えつつ、共用回線を普通に使うよりも安全性を担保できるのです。そのため、たとえば無料で接続可能な公衆Wi-Fiを利用する場合や、複数の拠点間でLANを接続する場合に、通信環境の安全性を強化する目的でしばしば活用されます。

VPN接続は、「仮想化技術」と「セキュリティ技術」によって成立しています。以下では、「トンネリング」「カプセル化」「認証」「暗号化」といった仮想化技術を実現する仕組みについて解説します。

仮想 の 回線 を 指す 「 トンネリング 」

VPN を 仮想 的 な 専用 回線 と し て 成立 さ せ て いる の が 「 トンネリング 」 と 言う れる 技術 です 。 この 原義 は 「 トンネル を 開通 する こと 」 に あり ます が 、 ここ で の トンネル と は ネットワーク 上 の 仮想 回線 の こと を 意味 し ます 。 インターネット is 利用 は 通常 、 不 特定 多数 の 人 が 使う 公衆 回線 を 通す て 利用 さ れ て い ます 。 しかし 、 VPN で は 互い に データ を やり取り する ２ つ の 拠点 間 を 仮想 的 な トンネル で 隔絶 する こと で 、 クローズド な ネットワーク 構成 を 可能 に し ます 。 ネットワーク 上 の 通信 を すべて 暗号 化 する SSH is つ も トンネリング の 1 つ です 。

パケット に アドレス を 付与 する 「 カプセル 化 」

仮想 トンネル 内 を 行き来 する データ は 別 の 形 に 再 パッケージ 化 さ れ て おり 、 ハッカー など の 他者 の 目 から その 性質 を 隠せる ます 。 「 カプセル 化 」 は まさに この 再 パッケージ 化 を 通す て 、 データ の 性質 や 状態 を 外部 から 隠す ため に 利用 さ れる 技術 です 。 カプセル 化 と いう 言葉 は 、 外部 から 隠ぺい する ため に 元 の オブジェクト を 付与 データ で カプセル の よう に すっぽり と 覆う て しまう こと から 来る て い ます 。 データ の やり取り is 捉える は 、 仮想 的 に 構築 さ れ た 専用 トンネル の 中 を 、 正体 を 隠す た カプセル が 往復 し て いる よう な イメージ と 捉える こと が でき ます 。

不正アクセスを防ぐ「認証」

いくら専用の仮想トンネルを設置したところで、その出入り口が開きっぱなしになっていたら意味がありません。トンネル内部への不正アクセスを防ぐためには、トンネルに入ろうとしている利用者が正当な権利を持っていることを証明させる仕組み、すなわち「認証システム」が必要です。この認証機能は、セキュリティを万全にするために二重にかけられることもあり、これを二段階認証と言います。

VPNの認証システムにおいては、シングルサインオン（SSO）という仕組みが利用されることもあります。これは、1組のIDとパスワードを複数のアプリケーションやサービスで統合的に利用できるようにする仕組みです。シングルサインオンはパスワード漏洩のリスクを低減できます。また、ユーザーは複数のID・パスを手帳に書き留めたり記憶したりする必要がありません。また定期的な変更が面倒だからと、パスワードの使いまわしをすることもありません。アプリケーション側の認証システムを変更する必要もないため、管理の手間も省け、ユーザビリティも向上します。

情報漏洩を防ぐ「暗号化」

このようにVPNのセキュリティは一定以上の高さを持ちますが、それでも認証が突破されたり、データが盗み見られたりするリスクは排除できません。そこで情報漏洩対策のために送受信するデータに施されるのが「暗号化」の機能です。暗号化することで、たとえ認証が突破されデータが漏洩したとしても、解読できないようにしてセキュリティを高めることができます。

VPNにおける暗号化には主に２つの種類があります。まず、SSL-VPNはセッション層において施されるもので、ブラウザーなどのSSLを使うため簡単に暗号化できるのが特徴です。外部からの不特定のリモートアクセスに強く、導入コストも抑えられます。もう1つのIP Sec-VPNは、IP層において施される暗号化で、専用ソフトなどで全通信を暗号化するため安全性が高いという特徴があります。通信も比較的高速で、複数拠点間でのやり取りによく使われます。

VPN接続は主に4種類に分けられます。以下では、それぞれの特徴について解説します。

インターネットVPN

インターネットVPNは、誰でも使えるインターネット回線上に「トンネル」を掘って構築する方法です。既存のインターネット回線をそのまま流用できるので、極めて安価にVPN環境を作れます。しかしその反面、インターネットVPNは元々がオープンネットワークを利用しているためセキュリティリスクが高く、通信品質や通信速度にも課題が残ります。

エントリーVPN

ベストエフォート型のADSLやFTTHなど安価な光ブロードバンド回線を使って、閉域網（クローズドネットワーク）を構築する方法です。エントリーVPNを含め、これ以降に説明するVPNはすべて閉域網VPNですが、特定のユーザーしか使えないため、インターネットVPNよりも高いセキュリティを確保できます。閉域網VPNの中でも、エントリーVPNは特に低コストで導入できることが「エントリー」と呼ばれる由縁です。ただし、使われている光ブロードバンド回線には帯域保証がないため、通信品質はインターネットVPN同様に不安定であるという欠点も抱えています。

IP-VPN

専用のクローズドネットワーク上にVPNを構築する方法です。IP VPNは、ネットワークに不確実性を与えるDDoS攻撃に晒される危険性があるパブリックゲートウェイを避けて接続できます。この機能はMPLS（Multiprotocol Label Switching）と呼ばれますが、これを利用することで、企業のインターネット利用は優先的に処理され、重要度の低いトラフィックはネットワークの混雑が緩和されるまで待機させられることになります。IP-VPNを活用することで、企業は主要な技術的課題を解決し、アプリケーションの応答性や通信速度を高速化し、ネットワークの通信品質を安定的に高く保てます。しかし他方で、運用コストは高額であるという欠点もあります。

広域 イーサネット

広域 イーサネットは、アクセス回線などネットワーク構成としてはIP-VPNと同様です。しかしIP-VPNが一般的に複雑な設定を必要としないレイヤ2で提供されるのに対して、広域 イーサネットは設計が複雑な代わりにカスタマイズ性の高いレイヤ2のレベルで提供されるというところに違いがあります。広域 イーサネットはVPNの中でも自由度が最も高く、複雑な設定をこなす技術さえあれば自社のニーズに最適化した高品質のネットワークを構築できます。しかし他方で、ハイレベルのスキルや高コストが要求されるなど、敷居の高さが課題と言えます。また、利用回線の選択の幅が狭い場合もあります。

ときにコストやスキルの高さが必要なVPN接続ですが、VPNを導入することで企業はさまざまな恩恵を受けられます。以下では、導入のメリットについて解説します。

一定の安全性を確保しやすい

VPNは通常のインターネット回線に比べ、カプセル化や認証、暗号化などさまざまなセキュリティ対策が施されているため、一定のセキュリティが確保できます。たとえば社員が何の対策もせずに公共ネットワークを利用して仕事用のPCにリモートで接続したとしたら、理論的にはその公共ネットワーク上の誰もが企業の内部ネットワークにアクセスすることが可能になってしまいます。

会社の機密データや顧客情報への自由なアクセスは、企業の経済活動や社会的信用に壊滅的な被害を与える可能性があるのは周知の事実です。しかしVPNを利用して企業内ネットワークに接続することで、そこで送受信される機密データを高度なセキュリティで守ることが可能です。

リモートワークなどに対応しやすい

VPNには、リモートワークなどに対応しやすいというメリットもあります。近年、企業社会においては、個々人のニーズに合わせた多様な働き方を実現する「働き方改革」や、世界的パンデミックを発生させた新型コロナウイルスの感染予防対策、あるいは企業活動の国際化などの影響を受けてリモートワークの導入が重要性を増しています。しかし、このような遠く離れた拠点間、あるいは従業員一人ひとりの自宅に物理的な専用回線を設置することは難しく、そのセキュリティ対策は常に問題視されるところです。

しかし、VPNならPCはもちろんのこと、スマートフォンやタブレットなどのモバイル端末からのアクセスにもシームレスに対応できます。企業は海外拠点や従業員の個人宅、サテライトオフィス、あるいは外出先や出張中のホテルからでも安全な通信が可能です。シングルサインオンなどと併用することで、その機動性をさらに増すこともできます。企業活動の国際化や働き方改革の推進だけでなく、コロナ禍といった未曾有の事態への対処など環境が大きく変わっても、いつ、どのような場所からも情報の交信が可能であることは、企業の即応性や事業の生産性向上にもつながります。

コストを抑えられる

一定 の セキュリティ レベル を 付与 し つつ コスト を 抑える られる と いう 利点 is あり も あり ます 。 特に 既存 の ネットワーク を 利用 できる インターネット VPN で は 大幅 な コスト カット is 可能 が 可能 です 。 ネットワーク 機器 も 特別 な 製品 で ある 必要 は なく 汎用 品 で 事足りる の で 、 さらに 安上がり に 済む ます 。 クローズド ネットワーク に し て セキュリティ レベル を 高める たい 場合 で も 、 エントリー VPN なら 比較 的 安い 済む せ られる など 、 コスト カット し やすい の も 魅力 です 。 この よう に 、 専用 線 を 引く 体力 の ない 企業 で も 、 セキュア な ネットワーク を 構築 できる と いう 大きな メリット を 持つ て い ます 。

上記のようなメリットが存在する一方で、デメリットも抱えています。以下では、VPN接続を導入する上での注意点について解説します。

セキュリティリスクを伴う

ここまで解説してきたように、VPNはセキュアな通信が可能ですが、それでも完全にセキュリティリスクを排除できるとは言えません。VPNはあくまでも仮想的な専用回線であり、純粋な意味では自社回線ではありません。そのため、サイバー攻撃などを受ける余地はどうしても生じます。特にオープンネットワークを利用するインターネットVPNの場合は、誰もが侵入を試みることができてしまいます。そのため、従業員に十分な教育をしないままいきなり導入すると、マルウェアの感染や乗っ取りなどのサイバーリスクを受けかねず、情報漏洩につながってしまう恐れも十分に考えられます。通信業者などから情報漏洩する恐れも排除できないため、VPNの導入に当たっては信頼できる業者の選定が重要です。

通信 品質 が 低い なる 場合 is ある が ある

VPN の 中 で も インターネット VPN や エントリー VPN を 導入 する 場合 は 通信 品質 が 保証 さ れ ない の で 注意 is 必要 が 必要 です 。 上記 ２ つ は 公衆 回線 を 使用 する ため 、 とりわけ 多数 の 利用 者 が 利用 する ピーク タイム 時 に は 回線 が 混雑 し 、 通信 の 速度 や 品質 に 悪 影響 is 出 が 出る かね ませ ん 。 日常 的 な ピーク タイム で あれ ば 対処 の しよう も ある か も しれる ませ ん が 、 たとえば 災害 の 発生 時 など 何 ら か の 理由 で 突発 的 に アクセス が 急増 し て 通信 困難 に なっ て しまう 場合 is 考え も 考える られ ます 。 コスト を 重視 し すぎる て こう し た 通信 品質 の 不 安定 性 を 軽視 し て しまう と 業務 効率 が 落ちる 、 かえって コスト が かさむ で しまう こと に も なり かね ない の で 注意 is 必要 が 必要 です 。

コスト が 膨らむ 場合 is ある が ある

前項で述べた通り、インターネットVPNやエントリーVPNにはセキュリティや通信品質に不安が残ります。しかし、通信品質を重視してIP-VPNや広範囲イーサネットVPNを導入すると、それはそれで相応のコストがかかるので注意が必要です。導入の際には、自社にとって必要なセキュリティレベルと許容できるコストのバランスを十分に検討することが欠かせません。

また、提供業者に勧められて必要のないものまで買わされてしまったという事例も存在します。そのため、業者に任せきりにするのではなく、必要なソフトウェアや機器などを自社でも下調べし、余計な機能などがないか慎重に検討・確認することが大事です。

ここまでは基本的な概要について解説してきました。続いては、VPN接続導入のやり方についてご紹介します。

インターネットVPNの導入

最初に解説するのは、インターネットVPNの導入方法です。

インターネットVPN環境を構築するためには、既存のルーターにVPNをインストールするか、「VPNルーター」と呼ばれる特殊なルーターを用意する必要があります。これには先ほどご紹介したトンネリングなど、接続を構成するための基本的な機能が最初から搭載されています。通信したい各拠点にこれを設置・設定することで拠点間のインターネットVPN接続が可能になります。VPNにはファイアウォールなどのセキュリティ機能が搭載された製品も存在します。

各拠点に設置したVPNルーターの設定項目としては、主に「使用するプロトコルの選択」「ユーザー名とパスワードの設定」「接続先端末のIPアドレスの入力」などが挙げられます。ルーターの設定完了後は、端末側でもVPNの設定を行う必要があります。これについては後述の解説をご参照ください。

多数の拠点を有する企業の場合、全拠点をVPN接続でつなげるためには多数の機器の設置、設定、運用が必要です。さらに、ノウハウがない状態でこうした作業を行うとセキュリティリスクの不安が生じます。企業規模が大きい場合には通信事業者からこうした導入作業もサービスとして提供してもらう方が現実的と言えます。
なお、VPNはクラウドサービスとして提供される場合もあります。その場合は機器の導入は必要ありません。

閉 域 網 VPN の 導入

閉 域 網 VPN の 導入方法として、エントリーVPN、IP-VPN、広域 イーサネットをまとめてご紹介します。これらの場合はVPN接続用の回線を利用することになるため、環境構築の機能を持ったVPNルーターの導入は不要です。ただし、通信事業者が用意する閉域網とユーザー側のLANを接続するための「CEルーター（Customer Edge Router）」を設置する必要があります。とはいえ、基本的に閉域網VPNは通信事業者が用意する閉域網を使うため、CEルーターの設置も含め、VPN環境の構築は通信会社とサービス契約をして委託するのが通例です。また、導入後のVPN環境の保守運用もそのサービスの中に含まれます。そのため、閉 域 網 VPN の 導入に際して企業が考慮すべき重要なことは、通信会社の選定です。

VPN ルーター や VPN 用 回線 の 設置 が 完了 し たら 、 次 は ユーザー 端末 側 で VPN 設定 を する 必要 is あり が あり ます 。 と は いえ 、 使用 さ れる 主要 な プロトコル ( l 2 TP / IPsec ) は 、 一般 的 な OS に おい て 標準 対応 し て いる の で 特別 な 準備 is あり は 必要 あり ませ ん 。 具体 is 不要 的 に は 、 PC なら Windows 10 / RT / Mac OS を 搭載 し た 機種 、 スマートフォン や タブレット なら 、 iOS / android / Windows Mobile など の OS を 搭載 し た 機種 で あれ ば 、 特別 な アプリケーション の インストール is 不要 は 不要 です 。 その 他 の プロトコル を 使う て VPN 接続 する 場合 は 、 対応 する アプリケーション を インストール する 必要 is あり が あり ます 。

PC で の 設定 手順

クライアントサイドがPCであれば、利用しているOSによって設定方法が異なります。Windows10とMacOSを例に説明をします。

【Windows10の場合】

• 1. [スタート]ボタンから[設定]を選択します。
• 2. [ネットワークとインターネット]を開き、接続オプションのリストから[VPN]を選択してください。
• 3. [VPN接続の追加」を選択します。すると各種の設定項目が表示されます。
• 4. [VPNプロバイダー]に利用するプロバイダー名を入力してください。
• 5. [接続名]の欄にVPN接続に対応する任意の名称を入力します。
• 6. 「サーバー名またはアドレス]の欄に、接続するサーバーの名前ないしはアドレスを入力します。この情報は、利用しているVPNサービスにご確認ください。
• 7. [VPNの種類]のドロップダウンにおいて、利用するVPNサービスが使用しているプロトコルを選択します。
• 8. [サインイン情報の種類]のドロップダウンメニューで、新しいVPN接続にサインインするための方法を選択します。ここで[ユーザー名とパスワード]を選択した場合は、下部の項目で対応する情報を入力してください。
• 9. 一連の設定が終わったら[保存]ボタンをクリックします。これでVPN設定は完了です。[ネットワークとインターネットの設定]ページに戻り、接続オプションから[VPN]を選択すると、新しく作成したVPN接続がリストに表示されています。これを選択するとVPN接続ができます。

【Mac OSの場合】

• 1 . アップル メニュー から [ システム 環境 設定 ] を 選択 し 、 [ ネットワーク ] を 開く ます 。
• 2 . [ 追加 ( + ) ] ボタン を クリック し 、 [ インターフェイス ] > 「 VPN ] と 選ぶ で いく ます 。
• 3 . [ VPN タイプ 」 の 項目 に は 、 接続 先 の VPN の プロトコル を 選ぶ ます 。
• 4.VPNサーバーの[サーバーアドレス]と[アカウント名]を入力します。
• 5.[認証設定]においてパスワードなどの情報を入力します。
• 6.上記の項目をすべて入力したら[適用]を選択してください。[接続]ボタンを押すとVPN接続ができます。

本記事ではVPN接続の概要や具体的な導入の仕方などについて解説してきました。VPN接続は専用回線を設置するよりもコストを抑えつつ、通信回線のセキュリティレベルを高めることが可能です。
VPNには既存のオープンネットワークを利用するインターネットVPNのほか、エントリーVPN、IP-VPN、広域 イーサネットなどの種類があります。これらはそれぞれコスト、セキュリティ、通信品質などの面で違いがあるので、導入する際は自社の予算やニーズに合わせて、最適なVPNサービスを選択する必要があります。

NTTコミュニケーションズでは、予算に応じて柔軟に導入でき、高い品質と安全性が得られる法人向けOCNサービスを提供しています。このOCNサービスにはVPNサービスはもちろんのこと、VPN機器の導入から保守管理までワンストップでサポートを提供しています。セキュアなVPN接続の導入をご希望の場合は、NTTコミュニケーションズの法人向けOCNサービスのご利用をご検討ください。