VPN(Virtual Private Network)とは、仮想的なプライベートネットワーク接続のことを言います。
離れた人同士のPC端末を、インターネットなどを使用して、安全で暗号化されたネットワークを作ることです。
| VPNの基本的な内容 |
| VPNの種類 |
主要なVPNの種類を以下に示す。
| 分類 | 使用技術 | 説明 |
| インターネットVPN | IPSEC | セキュリティプロトコルにIPsecを使用したインターネット利用のVPNのこと |
| SSL | セキュリティプロトコルにSSLを使用したインターネット利用のVPNのこと | |
| IP-VPN | MPLS | 通信事業者のプライベートIP網内で 経路情報の探索にMPLSを採用したVPNのこと |
これ以外の分類として、L2TP/IPsec VPN、OpenVPN、WireGuard、Hybrid VPN、Cloud VPNなどがあります。
| 分類 | 使用技術 | 説明 |
| L2TP/IPsec VPN | IPSEC | 上記のインターネットVPN,IP-VPNと同様に高セキュリティ。L2TPとIPsecを組み合わせたVPN。 |
| OpenVPN | SSL/TLS | SSL/TLSを利用したオープンソースのVPNプロトコル。 |
| WireGuard | ChaCha20,Poly1305,Curve25519,BLAKE2s | 軽量で高速な新世代のVPNプロトコル。 |
| Hybrid VPN | インターネットVPNとIP-VPNを使い分ける。 | インターネットVPNとIP-VPNを組み合わせた方式。 |
| Cloud VPN | ー | クラウドサービスにアクセスするためのVPN。 クラウドプロバイダー(例: AWS、Azure)による管理。物理的なVPNゲートウェイが不要。 |
| VPNの接続タイプ |
VPNの接続タイプを以下に示す。
【サイト間VPN】
VPNの実装は、全てルータで行われる為、何か特別な設定やインストールは必要ない。
【リモートアクセスVPN】
自分のPCにクライアントソフト(anyconnect等)を入れ、クライアントソフトとVPNゲートウェイの間で、VPNの実装が行われる。
【クライアントレスVPN】
特定のソフトウェアをインストールせず、ブラウザベースで接続できるVPN。
【商用VPN】
個人がプライバシー保護や地域制限回避のために使う一般向けVPN(例: ExpressVPN、NordVPN)。
| 基本用語 |
| 用語 | 説明 |
| 暗号化 | 平文を解読不能な形式に変換するプロセス |
| 複合化 | 解読不能な形式を平文に戻すプロセス |
| トンネル | 仮想的なPtoP接続 |
| ハッシュ関数 | あるデータから、そのデータを代表する固定長の数値を生成する演算手法 |
| CA | 暗号化を目的とするデジタル証明書の作成、発行、管理 |
| 認証 | 正しいユーザーかどうかを判別するプロセス |
| VPNの実現方法 |
VPNは、カプセル化とトンネリング、暗号化、認証によって実現しています。
■暗号化
- 送信されるデータは暗号化され、第三者が内容を盗み見たり改ざんしたりすることができなくなります。
■トンネリングとカプセル化
- 通信データを「トンネル」に通すことで、データが外部から見えないようにします。これにより、データの送信元や宛先を隠すことができます。
| トンネリングの種類 | 説明 | 暗号化 |
| PPTP(Point-to-Point Tunneling Protocol) | 古いトンネリングプロトコル。 シンプルで使いやすいが、セキュリティは低い。 | × |
| L2TP(Layer 2 Tunneling Protocol) | 単独では暗号化を行わないが、IPsecと組み合わせて強力なセキュリティを提供。 | × |
| IPsec(Internet Protocol Security) | IPパケット全体を暗号化してカプセル化するため、高いセキュリティを提供。 通常、L2TPやIKEv2と組み合わせて使用される。 | 〇 |
| OpenVPN | SSL/TLSを使用してトンネリングと暗号化を行う。 柔軟性が高く、非常に安全。 | 〇 |
| GRE(Generic Routing Encapsulation) | 単純なトンネリングプロトコルで、暗号化は提供しない。 プロトコル間の相互運用性を確保する目的で使用される。 | × |
| WireGuard | 次世代のVPNプロトコルで、軽量かつ構成が簡単、そしてセキュリティが非常に高いという特徴を持っている。 | 〇 |
安全性の高いプロトコルである L2TP/IPsec、OpenVPN、IKEv2/IPsec、または WireGuard を使用することが推奨されます。
■認証
・パスワード認証:ID・パスワードによる認証方式
・デバイス証明書:承認されたデバイスからの接続であるかを確かめる認証方式
・多要素認証:パスワード・デバイス証明書・電話番号・指紋認証など複数の要素を組み合わせた認証方式
・SSO(シングルサインオン):複数のサービスを同じID・パスワードで認証し、パスワード漏えいを防止しつつ入力の手間を削減する認証技術