IT資産管理入門

VPNの基礎知識
仕組み・専用線との違い・導入のメリットデメリット

VPNとは、ネットワーク上に仮想の専用線を構築し、安全かつ安定した通信を実現したネットワーク環境です。物理的な専用線を使った通信よりも柔軟性に富み、インターネットを使った通信よりもセキュリティ面に優れた通信を確立できます。社内ネットワークの構築やテレワークを目的に、VPNを導入する企業も増えてきました。

当記事ではVPNの基礎知識として、VPNの概要や仕組み、種類、メリット・デメリットを解説します。またVPNを導入した際のセキュリティ対策で注意すべき点も紹介します。

VPN
目次

VPNとは|定義と種類などの基礎知識

VPN(Virtual Private Network・バーチャルプライベートネットワーク)とは、インターネットや通信事業者の独自ネットワーク上に作る仮想専用線のことです。拠点同士を物理的につながずとも、専用線のようなPoint to Pointの接続や、LAN接続のような通信を可能にします。

例えば、遠隔地にある支店と本店の間でデータのやり取りをする場合、不特定多数の企業や個人が接続しているインターネットをそのまま利用すると、第三者への情報漏えいや社内ネットワークへのウイルス侵入などのリスクが考えられます。とくに無料のフリーWi-Fiの利用は非常に危険です。

そこでVPNによって専用の通信経路を確保することで、インターネットと分離したセキュアな情報のやり取りが可能になります。

なおVPN接続は、WindowsやMac、スマートフォン(iPhone・Android)などの多くのOS・端末で問題なく設定可能です。そのためテレワークを行う従業員が、個人の端末から社内ネットワークへアクセスするときにもVPNは有効といえます。

以下ではさらにVPNに関わる基礎知識を解説します。

基礎知識1.専用線との違い

専用線とは、ある決まった拠点と拠点を物理的に一対一でつなぐ完全専有のネットワークのことです。

セキュリティの信頼性や通信品質に関しては、専用線のほうがVPNより優れます。しかし一対一でしかつながっていないため、他の拠点では同じ環境を使えません。

例えば本店と支店Aが専用線でつながっている場合だと、「本店と支店B」や「支店Aと支店B」という組み合わせでは同一の専用線の利用は不可になります。仮にすべての拠点と本店、すべての拠点同士をひとつひとつ専用線でつなごうとすると、かかる費用は膨大になるでしょう。拠点間の距離が遠いほど費用が高くなることも考慮する必要があります。

その反面、VPNはサービス1つで「すべての拠点と本店」および「すべての拠点同士」での通信が可能です。また距離によるコスト変動もありません。

専用線との違い

基礎知識2.トンネリングと必要な仕組み

トンネリングとは、外部からの影響を受けずにデータ送信者とデータ受信者で通信するために、2点間でトンネルのような閉じられた仮想通信路を構築することです。

トンネリングを行うには、カプセリング(カプセル化)や暗号化、承認といった仕組みが必要不可欠になります。これらの仕組みによって、クローズドかつ安全性の高い仮想通信路を確立できます。

カプセリング(カプセル化)

VPNにおけるカプセリング(カプセル化)とは、本来のプロトコル(端末やデータ形式などの通信を行う上での手順)を別のプロトコルのパケットで包んで送る技術のことです。仮想通信路ではカプセリングされたパケットで送受信が行われます。

カプセリングを行うことで、外部ネットワークの影響を受けることなく指定先へデータを正しく届けられます。

暗号化

カプセリングしたデータを暗号化することで、第三者によるデータの盗聴や改ざんを防止できるように鍵をかけられます。

認証(承認)

認証(承認)とは、データの送信者とデータ受信者がお互いに正規の相手であると確かめるための仕組みです。

基礎知識3.VPNに使われるプロトコルについて

VPNでよく使われるプロトコルは以下のとおりです。

VPNで用いられるプロトコル 概要
IPsec
(Security Architecture for Internet Protocol)

・パケットを暗号化し、完全性や気密性を実現する仕組み

・IPsecを用いたVPNをIPsec-VPNと呼ぶ

・AH・ESP・IKEなどの複数のプロトコルから構成されている

・特定の拠点間の通信に強いが、VPN専用の環境が必要

SSL

・暗号化技術であるSSL技術を使った仕組み

・SSLを用いたVPNをVPN-SSLと呼ぶ

・リモートアクセスに強く、Webブラウザがあれば使用できる

PPTP

・マイクロソフト社が提唱したVPN接続を行うためのプロトコル

・暗号化はできない

L2F

・Ciscoが開発したプロトコル

・2LTPに統合

2LTP

・PPTPとL2Fを統合したプロトコル

・暗号化できないためIPsecと併用される

OpenVPN

・単体で暗号化(SSL)と通信を行えるプロトコル

・オープンソースとして公開されている

・幅広いOSに対応

WireGuard

・Jason A. Donenfeldによって開発されたプロトコル

・シンプルかつ使いやすい

基礎知識4.VPNの種類

まずVPNの種類は「既存のインターネットを使うタイプ」と「通信事業者の閉域網を使うタイプ」の2つに大別されます。

既存のインターネットを使ったVPNは「インターネットVPN」です。一方、通信事業者の閉域網を使ったVPNは主に「IP-VPN」「広域イーサネット」「エントリーVPN」の3つが存在します。

閉域網とは通信事業者が独自に提供する、限られた利用者だけが使えるクローズドなネットワークのことです。物理的かつ論理的にインターネットと分かれており、かつ通信事業者のセキュリティを利用できます。

インターネットVPN

インターネットVPNとは、既存のインターネット上にトンネルを通すイメージで仮想専用線を構築し、拠点同士を接続するネットワーク環境です。インターネットを海、仮想専用線を海底トンネルに置き換えるとわかりやすいと思います。

インターネットVPNでは、新たに回線を増設する必要が出たり、利用者が限定されたりなどはありません。接続コストも安価で済むメリットがあります。

ただしインターネットはベストエフォート(最大限の努力)が前提となっており、常に回線業者が出している最高理論値の通信速度や通信品質は保証されません。他からのインターネットへのアクセス状況次第で、通信速度の遅延や第三者による攻撃のリスクが発生します。別途でデータの暗号化や認証の対策が必要です。

IP-VPN(レイヤー3VPN)

IP-VPN(レイヤー3VPN)とは、通信事業者が提供する閉域IP網を使って通信を行うネットワーク環境です。通信事業者と契約者のみが利用できます。

インターネットからは完全に切り離された環境であるため、インターネットの状況に左右されない安全かつ安定した通信を行えます。複雑な設定が必要なく導入しやすいのもメリットです。

ただしかかるコストは高めの傾向がみられます。また使えるプロトコルがIPに限定されるため、ネットワーク設計のカスタマイズ度は低めです。

広域イーサネット(レイヤー2VPN)

広域イーサネット(レイヤー2VPN)とは、通信事業者が提供する閉域イータネット網を使って通信を行うネットワーク環境です。IP-VPNと同じく、インターネットとは完全に切り離された通信になります。

IP-VPNとは非常に似たネットワーク環境ですが、広域イーサネットの場合はIP以外にもさまざまなプロトコルを使えます。そのためネットワーク環境のカスタマイズ度が高いのが特徴です。ただし各種設定がIP-VPNと比べて複雑になります。

エントリーVPN

エントリーVPNとは、通信事業者の閉域網へのアクセスはブロードバンド回線で使い、その閉域網からもう1つの拠点までがつながっているネットワーク環境です。

インターネットVPNとIP-VPN(広域イーサネット)の良い部分を集めたイメージで、インターネットVPNよりも高いセキュリティレベル、専用線よりも安いコストを実現しています。ただし通信速度はインターネットの状況に依存します。

VPNの種類

ページトップへ

VPNのメリット・デメリット

VPN接続による通信は、一対一でつなぐ専用線を用いた通信やインターネットを利用した通信の両方のメリット・デメリットを内包しています。

VPNのメリット

VPNの主なメリットは次のとおりです。

・インターネットの利用と比べて悪意ある第三者からの盗聴や改ざんを防げるセキュアな通信ができる

・専用線のように物理的な距離に影響されず、かつ離れた拠点同士で同一のネットワークが使える

・遠隔地でのリモートワークに使いやすい

・専用線を使うよりも設置・運用コストを削減できる

VPNのメリット

VPNのデメリット

VPNの主なデメリットは次のとおりです。

・盗聴や改ざんの防止については専用線のほうが優れる

・誤ったVPN設定を行うと盗聴や改ざんのリスクが増す

・インターネットの状況や暗号化処理等などによっては通信速度が遅くなる

・外出先の利用だとスマホやPCのバッテリーの消耗が激しくなる

VPNのデメリット

ページトップへ

VPN接続でセキュリティ対策を強化するための注意点

テレワークや企業間の通信でVPNの利用を考えたとき、VPNは専用線と比べるとセキュリティ面で不安があるのは事実です。企業の情報システム部はVPNの性能に頼り切るのではなく、よりセキュリティ対策を強化するための策を考える必要があります。

(⇒ IT資産管理入門「テレワークセキュリティ」

無料のVPNは利用しないこと

VPNの中には無料で利用できるサービスがありますが、セキュリティ対策の面から考えるとおすすめできません。有料VPNと比較した場合に懸念される、無料VPNのデメリットは次のとおりです。

・利用者の閲覧履歴やIPアドレス、アクセス先などの通信関係の記録を残さない「ノーログポリシー」が約束されていないケースがある

・通信速度や通信品質が有料VPNより劣る傾向がある

・無料である代わりにユーザーの個人情報や行動履歴の収集や販売を目的にしているケースがある

いくらコストが安くとも、機密情報や従業員の個人情報の漏えいや、コンプライアンス違反による企業価値の低下などのリスクを考慮すると、無料VPNを企業が利用するのは避けておくべきでしょう。

導入するVPNを比較検討すること

数あるVPNサービスはどれも同じではなく、それぞれに違った特徴を持っています。導入前には以下5つの要素について比較検討することが大切です。

・セキュリティ性能に問題はないか

・通信速度やデータ通信量を考慮した自社に合う環境であるか

・対費用効果は問題ないか

・自社デバイスに対応しているのか

・インターネットVPNか閉域網を利用したVPNか(閉域網を利用したほうがよい)

たとえ優れたサービスでも、自社ネットワークに合ったVPNでなければセキュリティ対策や作業効率の強化は見込めません。

また企業で用いることを考えると、前述したインターネットVPNよりも閉域網を利用したVPNのほうがよいでしょう。

ウイルス対策ソフト・OSのアップデート・従業員教育を実施すること

VPN接続では情報漏えいやウイルス侵入のリスクをゼロにできない以上、企業として利用する場合はVPN以外のセキュリティ対策も必須です。万が一外部からのウイルスや不正アクセスがあったときに検知・対応ができるよう、ウイルス対策ソフトの導入や最新OSへのアップデートを忘れないようにしましょう。

またいくらVPNの性能が優れていても、従業員の操作ミスや悪意ある行動が原因の異常は防げません。普段から従業員のITリテラシーやコンプライアンス意識を高める教育の実施を推奨します。

もしウイルス対策ソフトの動作状況やOSアップデート、従業員・第三者による内部不正、PC操作ログなどを同時に管理したい場合は、それらをすべて一括管理できるIT資産ツールの導入もおすすめです。

VPNのセキュリティ対策の注意点

ページトップへ

VPN接続の柔軟性や優れたセキュリティと
企業間通信・テレワークの実施を

VPN接続によって、「拠点と拠点」や「拠点と従業員の端末」などの柔軟かつ広い範囲でのネットワーク接続や、専用線のような安心・安全の通信環境が可能になります。ただし専用線と比べるとセキュリティ面は少し劣るので、VPN以外でのセキュリティ対策も必要です。

もしVPNの導入に際し、よりセキュリティ面を強化したいとお考えの場合は、弊社のIT資産管理ツール「MCore」の導入もぜひご検討ください。MCore」は住友グループで実際に導入することを目的に開発された信頼性高いIT資産管理ツールです。

MCoreを用いることで、従業員の内部不正の検知やウイルス対策ソフト・OSアップデート状況の管理、テレワーク中のPC使用状況の把握などができます。VPNだけでは不安な領域をカバー可能です。

MCoreを用いることで、従業員の内部不正の検知やウイルス対策ソフト・OSアップデート状況の管理、テレワーク中のPC使用状況の把握などができます。VPNだけでは不安な領域をカバー可能です。

資料請求や体験セミナー、オンラインウェビナーなどにも対応していますので、まずはお気軽にお問い合わせください。

(⇒ IT資産管理/セキュリティ管理統合システム「MCore」

ページトップへ

【関連記事】

・内部不正対策を強化し、情報漏洩を防ぎたい
https://www.sei-info.co.jp/mcore/task/security/internal/

・IT資産管理入門「情報漏洩対策」
https://www.sei-info.co.jp/mcore/novice/security.html

・PCの操作を監視して内部不正を防止する「PC操作ログ」
https://www.sei-info.co.jp/mcore/function/log-management/pclog/

・パソコンの使用者・使用場所や状態を正確に把握したい
https://www.sei-info.co.jp/mcore/task/efficiency/management/

・IPアドレスの使用状況を的確に把握する「IPアドレス管理」
https://www.sei-info.co.jp/mcore/function/operation/ipaddress-management/

 
IT資産管理入門

ページトップへ