VPNを守る仮想トンネルとは？仕組みや主な設定方法＆閉塞接続との違いを解説

VPNは、トンネリング・暗号化・認証といった技術で通信の安全性を高め、仮想的な専用線を構築する通信技術の総称です。VPNの基礎知識を知り、もう少し踏み込んだ通信方法の違いなども理解することで、不安の少ない通信方法を選択できます。

社内外 で の コミュニケーション で インターネット が 不可欠 と なる 昨今 、 低 コスト に ネットワーク 接続 の 安全 性 を 高める たい 方 is いる も いる でしょう 。 そこ で この 記事 で は 、 VPN の トンネリング と いう 技術 を 中心 に 、 安心 ・ 安全 な 接続 の 仕方 を 紹介 し ます 。

VPNで使用する仮想トンネル（トンネリング）の仕組み

VPNは、インターネットや通信事業者の回線網といったIP（Internet Protocol）ベースのネットワークの中で仮想的に構築する専用線です。通信を行う2つの地点間で仮想的なトンネルを建て、そこで情報をやり取りすることで外部からの不正アクセスを防止します。VPNに必要なトンネリングという技術の役割について見ていきましょう。

VPNにはなぜ仮想トンネルが必要？

インターネットでは、IPなどの「通信プロトコル（通信手順）」を利用して複数のネットワークを相互接続しています。インターネットは不特定多数のユーザーが利用する開かれた通信網、つまり公衆回線です。

開く れ た 回線 を 行き来 し て いる データ is でき は 、 知識 の ある ハッカー で あれ ば 通信 内容 を 盗む 見る たり 改ざん し たり でき ます 。 そこ で 、 仮想 専用 線 「 VPN ( Virtual private network ) 」 を 利用 する 「 トンネリング 」 と いう 技術 の 出番 です 。 通信 内容 を やり取り する 2 点 間 で 仮想 的 な トンネル を 作る て 覆う こと で 、 情報 漏洩 など の リスク を 軽減 し ます 。

VPNの仮想トンネルとカプセルの関係性

VPNを構築するためには、公衆回線の中でやり取りするデータが「PPP（Point-to-Point Protocol）」を利用しているように見せかけることが必要です。

多く の 通信 プロトコル で は 、 パケット や フレーム と いっ た データ の 送受信 単位 を 設定 し て い ます 。 プロトコル の データ の 本体 で ある 「 ペイロード 」 に 、 上位 の プロトコル の 送受信 単位 を 格納 する の が 「 カプセル 化 」 です 。

送受信単位のカプセル化・解除は、トンネルの両端で自動的に行われます。送受信するデータを入れ子構造にして、指定された相手しかカプセル化を解除できないようにトンネリングを用いるというわけです。

VPNの仮想トンネルを強化する認証と暗号化

誰 も が 乗り入れ できる 公衆 回線 の 中 で 仮想 専用 線 を 敷設 する ため に は 、 通信 する 2 点 間 で 特別 な 手続き is 必要 が 必要 です 。 データ を 送受信 する 2 点 間 で データ 構造 の 情報 や 暗号 化 の 手続き など を 共有 し 、 データ の やり取り に 「 認証 」 の プロセス を 設ける こと で 、 仮想 的 な 閉じる た 通信 回線 を 構築 し ます 。

カプセル化するデータを暗号化し、認証のプロセスで正しい相手先であることを確かめ、直接インターネットに接続するよりも大幅にセキュリティを高める仕組みです。

VPNの仮想トンネルやセキュリティが役立つ場面

仮想専用線を構築するVPNの利用により、それまではできなかった、または可能だけれどもセキュリティ面で不安だった接続も比較的安全にできるようになりました。VPNの安全性やトンネリングという技術が日常のどのような場面で役立っているのか、具体例を見ていきましょう。

社外で無料Wi-Fiを利用したとき

VPN は スマートフォン や ノート パソコン に も 設定 でき 、 社外 で 無料 Wi-Fi を 利用 する 際 に も 利用 でき ます 。 無料 Wi-Fi は 通信 料 の 節約 など に 便利 です が 、 不 特定 多数 の ユーザー が 利用 する 公衆 回線 で ある 以上 、 安全 と は いえる ませ ん 。 知識 の ある ハッカー に かかる ば 容易 に アクセス さ れ て しまう でしょう 。

VPNを利用すれば、トンネリングなどの技術によって情報が秘匿されるため、無料Wi-Fiで接続する際にも安心です。

離れた場所にある社内LAN同士を繋げるとき

社内 LAN は 閉じる た ネットワーク と し て セキュリティ 面 で 安心 です が 、 遠隔 地 と 通信 する 場合 に は リスク is 生じ が 生ずる ます 。 離れる た 拠点 間 で 物理 的 に 専用 線 を 敷設 する と いう 方法 も あり ます が 、 距離 が 遠い ほど コスト は 増大 する ため 現実 的 な 解決 策 と は いえる ない でしょう 。

ここでVPNによる仮想専用線を利用すれば、離れた拠点間の通信で公衆回線を使用しても比較的安心できます。物理的な専用線よりはるかに安価で導入できるため、コスト面で現実的です。さらに、地理的に離れた拠点間の通信や、社外のデバイスから社内LANへのアクセスなどにも有用といえます。

ネット 規制 が ある 国 で 利用 する とき

中国などの一部の国や地域では、インターネットへの接続を厳しく規制しています。日常的に行うインターネット検索や特定のSNSが使えない場合もあり、使えたとしても通信内容が監視されることがネックです。

ここでVPNを利用すれば、公衆回線における防壁を容易に突破でき、日本国内で通信する場合と同じようにインターネットを利用できます。また、特定のサービスは国外からのアクセスをブロックしますが、VPNを利用すれば国内からのアクセスだと見せかけられることもメリットです。

便利なIP電話を使うとき

IP ( Internet Protocol ) ベース で 情報 を やり取り する こと に より 音声 通話 が できる IP 電話 is サービス は 、 スマートフォン や パソコン の コミュニケーション ツール で も 利用 できる 便利 な サービス です 。

しかし 、 インターネット 経由 で データ を 通信 する 仕組み 上 、 セキュリティ 面 で は 不安 is あり が あり ます 。 重要 な 会議 内容 など を 傍受 さ れる 恐れ is ある も ある でしょう 。 ここ で VPN を 利用 すれ ば 通話 内容 を 暗号 化 できる ため 、 傍受 さ れ た と し て も 通話 内容 の 解析 を 妨害 でき ます 。

VPN の トンネル モード と トランスポート モード

VPNでは、IPsecというプロトコルで暗号化を行うことが一般的です。IPsecでは「トンネルモード」と「トランスポートモード」という2種類の通信モードがあり、送受信を行うデバイスやルーターによって使用する通信モードが異なります。一般的なトンネリングを行うトンネルモードと、IPsec独自のトランスポートモードについて見ていきましょう。

IPsecにのみ備わったモード

IPsec（Security Architecture for Internet Protocol）は、インターネットなどにおける通信で暗号化を担うプロトコルです。

認証や情報の改ざん防止を担うAH（Authentication Header）、データの暗号化を担うESP（Encapsulated Security Payload）、暗号鍵の共有などを担うIKE （Internet Key Exchange）などの仕組み・プロトコルを利用します。IPsecでは、トンネルモードとトランスポートモードという2種類の通信モードを用意していることが特徴です。

トンネルモードの特徴

IPsecで通信される情報には、コントロールシステムのIPヘッダと、通信内容の本体であるデータで構成されます。トンネルモードでは、元のIPヘッダを暗号化し、新たなIPヘッダを付加します。さらに本データも暗号化することで、パケット全体が暗号化される仕組みです。

また、トンネル両端のスマートフォンやパソコンなどがIPsecに対応していなくても、経路上のルーターがIPsecに対応していれば暗号化して通信できます。トンネルモードはセキュリティレベルを高められる上、異なるネットワーク間でもルーター同士でVPN接続を確立できることが利点です。

トランスポートモードの特徴

トランスポートモードでは、元のIPヘッダは暗号化せず、本データのみを暗号化する仕組みです。トンネルモードとは異なり、基本的にはホスト間（末端のデバイス同士）でVPN接続を確立します。

なお、IPsecによって暗号化されたデータ部分が「ESP」です。認証データや暗号鍵についての情報などもESPに付加します。ホスト同士がIPsecに対応していれば、ルーターがIPsecに対応していなくてもVPN接続を確立できることが利点です。

インターネット VPNとIP-VPNの違い

VPNは、使用するネットワークによって大きく2種類に分けられます。インターネットを経由する一般的なVPNは「インターネット VPN」、通信事業者の閉ざされたキャリア網を経由するのが「IP-VPN」です。

どちらも仮想専用線を構築する点では同じですが、セキュリティのレベルやコストの高さなどは違うため、区別しておく必要があります。それぞれの特徴を見ていきましょう。

インターネット VPN

インターネット VPNは、仮想専用線の経路上でインターネットを経由するタイプのVPNです。インターネットという広大なネットワークを活用できるため、専用線を敷設するコストが必要なく、個人でもビジネスでも安価に導入できます。

ただし、ベースが公衆回線である以上、悪意ある第三者の攻撃を受けやすいことは懸念点です。トンネリングや暗号化により一定のセキュリティは確保できますが、データはインターネット上の経路を流れるため、情報漏洩やハッキングなどのリスクは排除できません。

また 、 通常 の インターネット を 利用 する とき と 同じく 、 時間 帯 に よっ て 通信 速度 が 低下 し やすい 点 is デメリット も デメリット です 。

IP-VPN（閉域接続）

IP-VPN（閉域接続）は、通信事業者が運用するIPベースのキャリア網で仮想専用線を構築するタイプです。

不特定多数の利用者がいるインターネット VPNと違い、IP-VPNの閉域網はサービスの契約者しか利用しません。したがって、公衆回線に通信内容が流出することはなく、専用線と同等に高セキュリティであることがメリットです。通信品質はサービス事業者が保証するため、インターネット VPNより安定した通信が期待できます。

ただし、インターネット VPNより導入コストがかさみ、運用・管理の手間がかかることはデメリットです。専用線より安価に、地理的に離れた拠点・デバイスとの接続を高セキュリティに行いたい場合に向いています。運用・管理をサービス事業者が一括して行うタイプのIP-VPNを利用すれば手間はかかりません。

安全性を高めるならIP-VPN！

インターネット VPN・IP-VPNは、両者共にメリット・デメリットがあります。コスト面で見ればインターネット VPNは有利ですが、通信はインターネットを経由するため、情報の漏洩や改ざんのリスクは排除できません。

その 点 、 閉ざす れ た ネットワーク を 使う IP – VPN is 抑え は 、 重要 な 社内 情報 が 流出 する リスク を 最小 限 に 抑える られ ます 。 専用 線 と 同様 の 安全 かつ 安定 し た 通信 環境 を 求める なら 、 IP – VPN の 導入 is すすめ が お すすめ です 。

VPNよりも安全なイッツコムのモバイル閉域接続とは

イッツコムの「モバイル閉域接続」は、NTTドコモのキャリア網とイッツコム通信網を利用し、インターネットから分離されているため、通信先IPの露呈などによる社内LANへの攻撃や、VPNのハッキングなどを防止できます。

イッツコムの閉域網で通信するデバイスは専用SIMを利用する必要があり、サービスの利用者以外は接続できません。強固なセキュリティ体制を確保できる上、VPNの設定は不要です。社外でのインターネット利用にも社内LANを経由するため、あらゆる場所・デバイスで社内セキュリティポリシーを適用できます。

まとめ

VPNは、トンネリング・暗号化・認証などを利用して通信の安全性を高めます。セキュリティ対策を行わずにインターネット接続を行うと情報漏洩のリスクがあるため、ビジネスにおいてはVPNの導入は必須といえるでしょう。

開かれた回線を利用するインターネット VPNではセキュリティ上のリスクを排除できませんが、IP-VPNを選択すれば専用線と同等の安全性が得られます。ビジネスでの通信の安全性を求めるなら、イッツコムのモバイル閉域接続をご利用ください。