Virtual private network
(VPNから転送)
Virtual private network︵バーチャルプライベートネットワーク、略称‥VPN︶、仮想プライベートネットワークは、大規模ネットワークのスケールメリットと管理設備を利用するために、パブリックネットワーク内に構成されるプライベートネットワークである[1]。また、インターネット︵本来は公衆網である︶に跨って、プライベートネットワークを拡張する技術、およびそのネットワークでもある。仮想専用線[2]と表記されることもある。VPNによって、イントラネットなどの私的ネットワークが、本来公的なネットワークであるインターネットに跨って、まるで各プライベートネットワーク間が専用線で接続されているかのような、機能的、セキュリティ的、管理上のポリシーの恩恵などが、管理者や利用者に対し実現される。
VPN接続の概略図
VPNは2つの拠点間に、仮想的に﹁直接的な接続﹂を構築することで実現できる。専用線ではなくインターネットを経由しながら機密性を保つため、IPベースの通信の上に、専用の接続方法や暗号化を乗せている。VPNは以下のIP-VPNとインターネットVPNの2つに大別される。
IP-VPNは、広がりの小さい多数の加入者で帯域共用する閉域網を利用し、そのような接続を実現する技術、もしくは電気通信事業者のサービス。PPVPN︵Provider Provisioned Virtual Private Networks︶と呼ぶこともある。
インターネットVPNは、IP-VPN網とは違い、誰でもアクセスできるインターネット網で仮想専用線通信をする技術である。さらにインターネットVPNは、﹁サイト間VPN﹂と﹁リモートアクセスVPN︵クライアントVPNともいう︶﹂に大別される。
概要
編集
VPNは、インターネットや多人数が利用する閉域網を介して、暗号化やトラフィック制御技術により、プライベートネットワーク間が、あたかも専用線接続されているかのような[注1]状況を実現するものである。
VPNは必ずしも暗号化を目的としていない。VPNで利用されるプロトコルには、SSH/TLS︵SSL︶/IPsec/PPTP/L2TP/L2F/MPLSなどの種類があり、利用するプロトコルやオプションによって提供される機能は異なる。
またもともとは、グローバルなインターネットを介するものであったが、近年の電気通信インフラの形態の傾向などから、IP網︵特にIPv6網のことが多い︶ではあるが、通信キャリアの閉域網内から外に出ないで実現されているVPNも運用されるようになってきている。
またトンネリングの形態として、IPパケットを融通する、いわゆる﹁レイヤ3﹂で実現する方法と、イーサネットのフレーム等を融通する、いわゆる﹁レイヤ2﹂で実現する方法がある。またそれぞれで、接続の両端点となっている両拠点のそれぞれのノードが﹁同一のノードに見える﹂のか、別のノードになるのか、といった違いがある。
レイヤ3かレイヤ2かの違いは、それぞれで可能なことと不可能なことがあり、運用上の要件などから、どちらを採用するか決定する。
種類
編集インターネットVPN
編集
IPsecやPPTP、SoftEtherなどを利用することで、インターネットを介した複数の拠点間で暗号化データをカプセリング・トンネリングし通信を行い、通信データの改竄・窃用[注2]を抑えながら通信を行うことが可能となる。
インターネットVPNには、拠点のLAN同士が接続する﹁LAN型VPN︵サイト間VPN、site-to-site VPNとも︶﹂と、ノートPCやスマートフォンなどにインストールしたVPNクライアントソフト︵VPNサービスプロバイダ︶を利用し、拠点のLANに接続する﹁リモートアクセス型VPN﹂がある。
また、TLSを利用したSSL-VPNも、その手軽さから注目されている。
インターネットVPNは、IP-VPNと比較すると以下のようなメリット・デメリットがある。
メリット
●アクセス回線にインターネットを利用することから生じるメリット
●通信回線のコストを抑えることが可能。インターネット接続さえあればVPNを終端できる装置やソフトウェアを導入することで、インターネットサービスプロバイダ (ISP)など電気通信事業者から提供される閉域網を介さず、自前でVPN網を構築することも可能である。
●リモート型VPNの場合、出先からでもダイヤルアップ接続や公衆無線LANなど何らかの形でインターネットへのアクセスが可能であれば、拠点のLANへアクセスすることが可能となる。
デメリット
●クライアントのアクセス数の増減で機器のパフォーマンスが求められるため、利用スケールにあわせた機器の選択が重要である。
●実効通信速度や安定性は、利用しているインターネット網に依存するため場合によっては不安定となる。
●暗号化を施しているとは言え、グローバルなインターネット経由である為、SSLなどの暗号の強度を除いて通信の安全性を担保するものがない。
また完全にオープンなインターネットではなく、特定ISPのインターネット網上のみで通信が完結するタイプのインターネットVPNもISPからサービスとして提供されている。
専用の閉域網によるVPN
編集企業などの信頼性の要求される通信網を構築するには、拠点間に帯域保証の専用通信回線を占有してきたが、これを第三者が侵入・傍聴・改竄しにくくする技術により帯域共有型の安価な閉域網で実現しようというものがこのタイプのVPNと言える。
IP-VPN
編集
MPLS対応のルータなどを使用し、インターネットとは別に構成されたIP網で、VPNを構成する通信事業者のVPNサービスはIP-VPNと呼ばれることが多い。IP上に構築される専用線網であるが、従来の専用線に比べ低コストでの利用が可能である。ISPの閉域網︵=外部公開されていない通信網︶を利用することでの安全性は確保されるが、その信頼度はサービス提供者に委ねる形となるため、ラベル技術や暗号化技術でセキュリティを確保する形での専用線利用となる。
通信経路は網内で他のユーザと共有している為ベストエフォートの傾向にあり、データの通信速度を厳密に保証しかねるがインターネットVPNのような極端な通信速度の低下はほとんど無いと言える。また、オプションで帯域保証を提供しているISPもある。
VPNに関しての機器の導入・管理をユーザ側で行う必要が無いため、導入や運用保守が容易な点も、IP-VPNの特徴の一つである。利用する際は、BGP対応のルータが推奨されるが、インターフェースさえ合わせればユーザの好みでルータを選択できる。
専用通信回線との違い
編集
専用線︵専用通信回線︶は導入コスト及びランニングコストが高価であるが、接続性及び帯域がSLAによって保証されており、安定性を考えると専用線を選択する企業も多い。専用線ではアクセス回線に合わせ、ルータのインターフェースを選択するだけで対向間の接続が可能であるが、インターネットVPNの場合は、VPN対応のルータ及び専用機、専用クライアントソフトが必要である。
管理や運用保守に関してはVPNが不利であるが、回線コスト︵ランニングコスト︶や自由度でVPNが圧倒的に勝っているため、現在専用線からの移行︵リプレース︶が多く行われている。
レイヤ2 VPN
編集
広域イーサネットはイーサネット︵レイヤ2︶通信が提供されており、利用するプロトコルがIPに依存しないため、LANと同じ感覚で利用可能である。
これと比較して、レイヤ3パケットのトンネリング通信のみをサポートするVPN技術︵IPsecやGRE等︶を用いたVPNの場合は、あらかじめ利用するサービスやプロトコルを考慮しながらネットワークの構築が行われ、構築後のサービスやプロトコルの変更では、VPN機器の変更が必要となる。
レイヤ2︵イーサネット︶パケットのトンネリング通信やブリッジ接続などをサポートしているVPN技術を用いることにより、前述した広域イーサネットのメリットと同等のことを実現でき、インターネットVPNを用いて安価に構築することができる。
特に、仮想LANカードと仮想ハブおよび既存の物理的なLANをVPNプロトコルで接続し、その上でブリッジ接続する手法により、広域イーサネットと同様に、既存のスイッチングハブやレイヤ3スイッチが使用されているLAN同士をVPN接続することができる。遠隔地の拠点間でVoIPやテレビ会議システムなどを利用する場合も、同一のイーサネットセグメント上にある機器とみなすことができるので、より容易・確実に利用可能となるメリットがある。
さらに、LANに対してイーサネットのレイヤでリモートアクセスすることが可能になる。
モード
編集トランスポートモード
編集トランスポートモードではデータの暗号化を、クライアントが直接行う。すべての通信でデータは暗号化されているが、IPヘッダの暗号化は行われない。
すべてのクライアントにVPNソフトウェアをインストールする必要があるが、モバイル端末からのアクセスなどには利用しやすい。
トンネルモード
編集トンネルモードでは、暗号化処理を専用のゲートウェイ(VPNゲートウェイ)で行う。クライアントは、暗号化されていないデータに受信クライアントあてのIPヘッダを付与し、VPNゲートウェイへ送信する。VPNゲートウェイ間の通信では、データ及び受信クライアントあてのIPヘッダはカプセル化され、受信側VPNゲートウェイへのIPヘッダを付与して通信するため、拠点間通信でのIPヘッダの安全性を確保することができる。
拠点間通信でのみ利用可能となり、また、ローカルネットワーク内の通信は暗号化されない。
経路制御
編集トンネリング・プロトコルはPPPトポロジーに使用される。このトポロジーは一般にVPNと考えられてはいない。なぜなら、VPNはネットワークノードの任意なそして変化する集合をサポートすることが期待されているからである。ほとんどのルーターの実装がソフトウェアで定義されたトンネル・インターフェイスをサポートするので、顧客によって構築されたVPNは多くの場合単なるトンネルの集合によって構成され、従来のルーティングプロトコルはこれらのトンネルを通って走ることとなる。PPVPNはしかしながら複数のVPNの共存をサポートする必要がある。これらのVPNは同じサービスプロバイダによって運用されるが、お互いから隔離されている。
管理権限の立場的な関係
編集
IETFが分類するVPNは様々なものがあるが、中にはVLANのように、例えばIEEE 802委員会、すなわちワークグループ802.1︵アーキテクチャ︶といった他の機構の標準化責任のものもある。当初は、Telecommunication Service Provider︵TSP︶が提供しているWANリンクが単一企業内のネットワークノード同士を相互に接続していた。LANの出現と同時に、企業が認めた連絡線を用いたネットワークノード同士が相互接続できるようになった。初期のWANは専用線やフレームリレーといったレイヤー2多重化サービス、ARPANET、インターネットなどのIPベースの第3層ネットワーク[3]、軍事IPネットワーク︵NIPRNet、SIPRNet、JWICS 他︶を利用しているうちに一般的な相互接続メディアとなった。VPNはIPネットワーク上で定義され始めた。ノード間を相互接続するためには、管理の技術よりむしろ関係に基づいて様々なVPNを真っ先に見分けることが有用であった。いったん関係が定義されれば、違った技術がセキュリティやサービスの質といった要求に応じて用いられることがあった。
VPNで利用される技術・手法
編集レイヤ2 VPN技術
編集- Point to Point Tunneling Protocol(PPTP)
- Layer 2 Tunneling Protocol(L2TP)
- OpenVPN(レイヤ3 IPルーティングも可能)
- PacketiX VPN(レイヤ3 IPルーティングも可能)
- SoftEther(レイヤ3 IPルーティングも可能)
- TinyVPN
レイヤ3 VPN技術
編集レイヤ4以上のVPN技術
編集脚注
編集注釈
編集出典
編集- ^ Stallings, William (2016). Foundations of modern networking : SDN, NFV, QoE, IoT, and Cloud. Florence Agboma, Sofiene Jelassi. Indianapolis, Indiana. ISBN 978-0-13-417547-8. OCLC 927715441
- ^ 小項目事典,知恵蔵mini,ASCII.jpデジタル用語辞典,日本大百科全書(ニッポニカ),IT用語がわかる辞典,パソコンで困ったときに開く本,デジタル大辞泉,情報セキュリティ用語辞典, ブリタニカ国際大百科事典. “VPNとは”. コトバンク. 2021年12月18日閲覧。
- ^ IPベースVPN、RFC 2764
参考文献
編集- 岡嶋裕史『平成29年度【春期】【秋期】 情報処理安全確保支援士合格教本』(初版)技術評論社、2017年1月25日。ISBN 978-4-7741-8502-6。
関連項目
編集外部リンク
編集 | この項目は、コンピュータに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています(PJ:コンピュータ/P:コンピュータ)。 |
 | この項目は、インターネットやウェブに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています(PJ:コンピュータ/P:コンピュータ)。 |