VPN接続 せつぞく の概略 がいりゃく 図 ず
Virtual private network (バーチャルプライベートネットワーク、略称 りゃくしょう :VPN )、仮想 かそう プライベートネットワーク は、大 だい 規模 きぼ ネットワークのスケールメリットと管理 かんり 設備 せつび を利用 りよう するために、パブリックネットワーク内 ない に構成 こうせい されるプライベートネットワーク である[1] 。また、インターネット (本来 ほんらい は公衆 こうしゅう 網 もう である)に跨 またが って、プライベートネットワーク を拡張 かくちょう する技術 ぎじゅつ 、およびそのネットワークでもある。仮想 かそう 専用 せんよう 線 せん [2] と表記 ひょうき されることもある。VPNによって、イントラネット などの私的 してき ネットワークが、本来 ほんらい 公的 こうてき なネットワークであるインターネットに跨 またが って、まるで各 かく プライベートネットワーク間 あいだ が専用 せんよう 線 せん で接続 せつぞく されているかのような、機能 きのう 的 てき 、セキュリティ的 てき 、管理 かんり 上 じょう のポリシーの恩恵 おんけい などが、管理 かんり 者 しゃ や利用 りよう 者 しゃ に対 たい し実現 じつげん される。
VPNは2つの拠点 きょてん 間 あいだ に、仮想 かそう 的 てき に「直接的 ちょくせつてき な接続 せつぞく 」を構築 こうちく することで実現 じつげん できる。専用 せんよう 線 せん ではなくインターネットを経由 けいゆ しながら機密 きみつ 性 せい を保 たも つため、IPベースの通信 つうしん の上 うえ に、専用 せんよう の接続 せつぞく 方法 ほうほう や暗号 あんごう 化 か を乗 の せている。VPNは以下 いか のIP-VPNとインターネットVPNの2つに大別 たいべつ される。
IP-VPN は、広 ひろ がりの小 ちい さい多数 たすう の加入 かにゅう 者 しゃ で帯域 たいいき 共用 きょうよう する閉域網 もう を利用 りよう し、そのような接続 せつぞく を実現 じつげん する技術 ぎじゅつ 、もしくは電気 でんき 通信 つうしん 事業 じぎょう 者 しゃ のサービス。PPVPN(Provider Provisioned Virtual Private Networks)と呼 よ ぶこともある。
インターネットVPN は、IP-VPN網 もう とは違 ちが い、誰 だれ でもアクセスできるインターネット網 もう で仮想 かそう 専用 せんよう 線 せん 通信 つうしん をする技術 ぎじゅつ である。さらにインターネットVPNは、「サイト間 あいだ VPN」と「リモートアクセスVPN(クライアントVPNともいう)」に大別 たいべつ される。
VPNは、インターネットや多人数 たにんずう が利用 りよう する閉域網 もう を介 かい して、暗号 あんごう 化 か やトラフィック制御 せいぎょ 技術 ぎじゅつ により、プライベートネットワーク間 あいだ が、あたかも専用 せんよう 線 せん 接続 せつぞく されているかのような[注 ちゅう 1] 状況 じょうきょう を実現 じつげん するものである。
VPNは必 かなら ずしも暗号 あんごう 化 か を目的 もくてき としていない。VPNで利用 りよう されるプロトコル には、SSH /TLS (SSL)/IPsec /PPTP /L2TP /L2F /MPLS などの種類 しゅるい があり、利用 りよう するプロトコルやオプションによって提供 ていきょう される機能 きのう は異 こと なる。
またもともとは、グローバルなインターネットを介 かい するものであったが、近年 きんねん の電気 でんき 通信 つうしん インフラの形態 けいたい の傾向 けいこう などから、IP網 もう (特 とく にIPv6 網 あみ のことが多 おお い)ではあるが、通信 つうしん キャリア の閉域網 もう 内 ない から外 そと に出 で ないで実現 じつげん されているVPNも運用 うんよう されるようになってきている。
またトンネリングの形態 けいたい として、IPパケットを融通 ゆうずう する、いわゆる「レイヤ3」で実現 じつげん する方法 ほうほう と、イーサネット のフレーム 等 ひとし を融通 ゆうずう する、いわゆる「レイヤ2」で実現 じつげん する方法 ほうほう がある。またそれぞれで、接続 せつぞく の両 りょう 端点 たんてん となっている両 りょう 拠点 きょてん のそれぞれのノードが「同一 どういつ のノードに見 み える」のか、別 べつ のノードになるのか、といった違 ちが いがある。
レイヤ3かレイヤ2かの違 ちが いは、それぞれで可能 かのう なことと不可能 ふかのう なことがあり、運用 うんよう 上 じょう の要件 ようけん などから、どちらを採用 さいよう するか決定 けってい する。
IPsecやPPTP、SoftEther などを利用 りよう することで、インターネットを介 かい した複数 ふくすう の拠点 きょてん 間 あいだ で暗号 あんごう 化 か データをカプセリング・トンネリング し通信 つうしん を行 おこな い、通信 つうしん データの改竄 かいざん ・窃用[注 ちゅう 2] を抑 おさ えながら通信 つうしん を行 おこな うことが可能 かのう となる。
インターネットVPNには、拠点 きょてん のLAN 同士 どうし が接続 せつぞく する「LAN型 がた VPN (サイト間 あいだ VPN、site-to-site VPNとも)」と、ノートPC やスマートフォン などにインストールしたVPNクライアントソフト(VPNサービスプロバイダ )を利用 りよう し、拠点 きょてん のLANに接続 せつぞく する「リモートアクセス型 がた VPN 」がある。
また、TLSを利用 りよう したSSL-VPN も、その手軽 てがる さから注目 ちゅうもく されている。
インターネットVPNは、IP-VPNと比較 ひかく すると以下 いか のようなメリット・デメリットがある。
メリット
アクセス回線 かいせん にインターネットを利用 りよう することから生 しょう じるメリット
通信 つうしん 回線 かいせん のコストを抑 おさ えることが可能 かのう 。インターネット接続 せつぞく さえあればVPNを終端 しゅうたん できる装置 そうち やソフトウェアを導入 どうにゅう することで、インターネットサービスプロバイダ (ISP)など電気 でんき 通信 つうしん 事業 じぎょう 者 しゃ から提供 ていきょう される閉域網 もう を介 かい さず、自前 じまえ でVPN網 もう を構築 こうちく することも可能 かのう である。
リモート型 がた VPNの場合 ばあい 、出先 でさき からでもダイヤルアップ接続 せつぞく や公衆 こうしゅう 無線 むせん LAN など何 なん らかの形 かたち でインターネットへのアクセスが可能 かのう であれば、拠点 きょてん のLANへアクセスすることが可能 かのう となる。
デメリット
クライアント のアクセス数 すう の増減 ぞうげん で機器 きき のパフォーマンスが求 もと められるため、利用 りよう スケールにあわせた機器 きき の選択 せんたく が重要 じゅうよう である。
実効 じっこう 通信 つうしん 速度 そくど や安定 あんてい 性 せい は、利用 りよう しているインターネット網 もう に依存 いぞん するため場合 ばあい によっては不安定 ふあんてい となる。
暗号 あんごう 化 か を施 ほどこ しているとは言 い え、グローバルなインターネット経由 けいゆ である為 ため 、SSLなどの暗号 あんごう の強度 きょうど を除 のぞ いて通信 つうしん の安全 あんぜん 性 せい を担保 たんぽ するものがない。
また完全 かんぜん にオープンなインターネットではなく、特定 とくてい ISPのインターネット網 もう 上 じょう のみで通信 つうしん が完結 かんけつ するタイプのインターネットVPNもISPからサービスとして提供 ていきょう されている。
企業 きぎょう などの信頼 しんらい 性 せい の要求 ようきゅう される通信 つうしん 網 もう を構築 こうちく するには、拠点 きょてん 間 あいだ に帯域 たいいき 保証 ほしょう の専用 せんよう 通信 つうしん 回線 かいせん を占有 せんゆう してきたが、これを第三者 だいさんしゃ が侵入 しんにゅう ・傍聴 ぼうちょう ・改竄 かいざん しにくくする技術 ぎじゅつ により帯域 たいいき 共有 きょうゆう 型 がた の安価 あんか な閉域網 もう で実現 じつげん しようというものがこのタイプのVPNと言 い える。
MPLS 対応 たいおう のルータなどを使用 しよう し、インターネットとは別 べつ に構成 こうせい されたIP網 もう で、VPNを構成 こうせい する通信 つうしん 事業 じぎょう 者 しゃ のVPNサービスはIP-VPNと呼 よ ばれることが多 おお い。IP上 じょう に構築 こうちく される専用 せんよう 線 せん 網 もう であるが、従来 じゅうらい の専用 せんよう 線 せん に比 くら べ低 てい コストでの利用 りよう が可能 かのう である。ISPの閉域網 もう (=外部 がいぶ 公開 こうかい されていない通信 つうしん 網 もう )を利用 りよう することでの安全 あんぜん 性 せい は確保 かくほ されるが、その信頼 しんらい 度 ど はサービス提供 ていきょう 者 しゃ に委 ゆだ ねる形 かたち となるため、ラベル技術 ぎじゅつ や暗号 あんごう 化 か 技術 ぎじゅつ でセキュリティを確保 かくほ する形 かたち での専用 せんよう 線 せん 利用 りよう となる。
通信 つうしん 経路 けいろ は網 あみ 内 ない で他 た のユーザと共有 きょうゆう している為 ため ベストエフォート の傾向 けいこう にあり、データの通信 つうしん 速度 そくど を厳密 げんみつ に保証 ほしょう しかねるがインターネットVPNのような極端 きょくたん な通信 つうしん 速度 そくど の低下 ていか はほとんど無 な いと言 い える。また、オプションで帯域 たいいき 保証 ほしょう を提供 ていきょう しているISPもある。
VPNに関 かん しての機器 きき の導入 どうにゅう ・管理 かんり をユーザ側 がわ で行 おこな う必要 ひつよう が無 な いため、導入 どうにゅう や運用 うんよう 保守 ほしゅ が容易 ようい な点 てん も、IP-VPNの特徴 とくちょう の一 ひと つである。利用 りよう する際 さい は、BGP 対応 たいおう のルータ が推奨 すいしょう されるが、インターフェースさえ合 あ わせればユーザの好 この みでルータを選択 せんたく できる。
専用 せんよう 線 せん (専用 せんよう 通信 つうしん 回線 かいせん )は導入 どうにゅう コスト及 およ びランニングコストが高価 こうか であるが、接続 せつぞく 性 せい 及 およ び帯域 たいいき がSLA によって保証 ほしょう されており、安定 あんてい 性 せい を考 かんが えると専用 せんよう 線 せん を選択 せんたく する企業 きぎょう も多 おお い。専用 せんよう 線 せん ではアクセス回線 かいせん に合 あ わせ、ルータのインターフェースを選択 せんたく するだけで対向 たいこう 間 あいだ の接続 せつぞく が可能 かのう であるが、インターネットVPNの場合 ばあい は、VPN対応 たいおう のルータ及 およ び専用 せんよう 機 き 、専用 せんよう クライアントソフトが必要 ひつよう である。
管理 かんり や運用 うんよう 保守 ほしゅ に関 かん してはVPNが不利 ふり であるが、回線 かいせん コスト(ランニングコスト)や自由 じゆう 度 ど でVPNが圧倒的 あっとうてき に勝 か っているため、現在 げんざい 専用 せんよう 線 せん からの移行 いこう (リプレース)が多 おお く行 おこな われている。
広域 こういき イーサネット はイーサネット (レイヤ2)通信 つうしん が提供 ていきょう されており、利用 りよう するプロトコルがIPに依存 いぞん しないため、LANと同 おな じ感覚 かんかく で利用 りよう 可能 かのう である。
これと比較 ひかく して、レイヤ3パケットのトンネリング通信 つうしん のみをサポートするVPN技術 ぎじゅつ (IPsecやGRE等 とう )を用 もち いたVPNの場合 ばあい は、あらかじめ利用 りよう するサービスやプロトコルを考慮 こうりょ しながらネットワークの構築 こうちく が行 おこな われ、構築 こうちく 後 ご のサービスやプロトコルの変更 へんこう では、VPN機器 きき の変更 へんこう が必要 ひつよう となる。
レイヤ2(イーサネット)パケットのトンネリング通信 つうしん やブリッジ接続 せつぞく などをサポートしているVPN技術 ぎじゅつ を用 もち いることにより、前述 ぜんじゅつ した広域 こういき イーサネットのメリットと同等 どうとう のことを実現 じつげん でき、インターネットVPNを用 もち いて安価 あんか に構築 こうちく することができる。
特 とく に、仮想 かそう LANカード と仮想 かそう ハブ および既存 きそん の物理 ぶつり 的 てき なLANをVPNプロトコルで接続 せつぞく し、その上 うえ でブリッジ接続 せつぞく する手法 しゅほう により、広域 こういき イーサネットと同様 どうよう に、既存 きそん のスイッチングハブ やレイヤ3スイッチ が使用 しよう されているLAN同士 どうし をVPN接続 せつぞく することができる。遠隔 えんかく 地 ち の拠点 きょてん 間 あいだ でVoIP やテレビ会議 かいぎ システム などを利用 りよう する場合 ばあい も、同一 どういつ のイーサネットセグメント上 じょう にある機器 きき とみなすことができるので、より容易 ようい ・確実 かくじつ に利用 りよう 可能 かのう となるメリットがある。
さらに、LANに対 たい してイーサネットのレイヤでリモートアクセスすることが可能 かのう になる。
トランスポートモードではデータ の暗号 あんごう 化 か を、クライアントが直接 ちょくせつ 行 おこな う。すべての通信 つうしん でデータは暗号 あんごう 化 か されているが、IPヘッダ の暗号 あんごう 化 か は行 おこな われない。
すべてのクライアントにVPNソフトウェアをインストールする必要 ひつよう があるが、モバイル端末 たんまつ からのアクセスなどには利用 りよう しやすい。
トンネルモードでは、暗号 あんごう 化 か 処理 しょり を専用 せんよう のゲートウェイ (VPNゲートウェイ)で行 おこな う。クライアントは、暗号 あんごう 化 か されていないデータに受信 じゅしん クライアントあてのIPヘッダを付与 ふよ し、VPNゲートウェイへ送信 そうしん する。VPNゲートウェイ間 あいだ の通信 つうしん では、データ及 およ び受信 じゅしん クライアントあてのIPヘッダはカプセル化 か され、受信 じゅしん 側 がわ VPNゲートウェイへのIPヘッダを付与 ふよ して通信 つうしん するため、拠点 きょてん 間 あいだ 通信 つうしん でのIPヘッダの安全 あんぜん 性 せい を確保 かくほ することができる。
拠点 きょてん 間 あいだ 通信 つうしん でのみ利用 りよう 可能 かのう となり、また、ローカルネットワーク内 ない の通信 つうしん は暗号 あんごう 化 か されない。
トンネリング・プロトコルはPPP トポロジー に使用 しよう される。このトポロジーは一般 いっぱん にVPNと考 かんが えられてはいない。なぜなら、VPNはネットワークノードの任意 にんい なそして変化 へんか する集合 しゅうごう をサポートすることが期待 きたい されているからである。ほとんどのルーターの実装 じっそう がソフトウェアで定義 ていぎ されたトンネル・インターフェイスをサポートするので、顧客 こきゃく によって構築 こうちく されたVPNは多 おお くの場合 ばあい 単 たん なるトンネルの集合 しゅうごう によって構成 こうせい され、従来 じゅうらい のルーティングプロトコル はこれらのトンネルを通 とお って走 はし ることとなる。PPVPN はしかしながら複数 ふくすう のVPNの共存 きょうぞん をサポートする必要 ひつよう がある。これらのVPNは同 おな じサービスプロバイダ によって運用 うんよう されるが、お互 たが いから隔離 かくり されている。
管理 かんり 権限 けんげん の立場 たちば 的 てき な関係 かんけい [ 編集 へんしゅう ]
IETF が分類 ぶんるい するVPNは様々 さまざま なものがあるが、中 なか にはVLAN のように、例 たと えばIEEE 802 委員 いいん 会 かい 、すなわちワークグループ802.1(アーキテクチャ)といった他 ほか の機構 きこう の標準 ひょうじゅん 化 か 責任 せきにん のものもある。当初 とうしょ は、Telecommunication Service Provider(TSP)が提供 ていきょう しているWANリンクが単一 たんいつ 企業 きぎょう 内 ない のネットワークノード同士 どうし を相互 そうご に接続 せつぞく していた。LANの出現 しゅつげん と同時 どうじ に、企業 きぎょう が認 みと めた連絡 れんらく 線 せん を用 もち いたネットワークノード同士 どうし が相互 そうご 接続 せつぞく できるようになった。初期 しょき のWANは専用 せんよう 線 せん やフレームリレー といったレイヤー2多重 たじゅう 化 か サービス、ARPANET 、インターネット などのIPベースの第 だい 3層 そう ネットワーク[3] 、軍事 ぐんじ IPネットワーク(NIPRNet 、SIPRNet 、JWICS 他 た )を利用 りよう しているうちに一般 いっぱん 的 てき な相互 そうご 接続 せつぞく メディアとなった。VPNはIPネットワーク 上 うえ で定義 ていぎ され始 はじ めた。ノード間 あいだ を相互 そうご 接続 せつぞく するためには、管理 かんり の技術 ぎじゅつ よりむしろ関係 かんけい に基 もと づいて様々 さまざま なVPNを真 ま っ先 さき に見分 みわ けることが有用 ゆうよう であった。いったん関係 かんけい が定義 ていぎ されれば、違 ちが った技術 ぎじゅつ がセキュリティやサービスの質 しつ といった要求 ようきゅう に応 おう じて用 もち いられることがあった。
^ 通信 つうしん するにあたって、セキュリティ 上 うえ の懸念 けねん がない(あるいは少 すく ない)
^ 盗聴 とうちょう 自体 じたい を防 ふせ ぐ術 じゅつ はないし、実際 じっさい に、暗号 あんごう 化 か されていてもディープ・パケット・インスペクション 等 ひとし によって、暗号 あんごう 化 か された通信 つうしん からなんとか特徴 とくちょう を検出 けんしゅつ しようと、セキュリティ業者 ぎょうしゃ やグレート・ファイアウォール の運用 うんよう 者 しゃ は躍起 やっき である。
^ Stallings, William (2016). Foundations of modern networking : SDN, NFV, QoE, IoT, and Cloud . Florence Agboma, Sofiene Jelassi. Indianapolis, Indiana. ISBN 978-0-13-417547-8 . OCLC 927715441 . https://www.worldcat.org/oclc/927715441
^ 小 しょう 項目 こうもく 事典 じてん ,知恵 ちえ 蔵 ぞう mini,ASCII.jpデジタル用語 ようご 辞典 じてん ,日本 にっぽん 大 だい 百科全書 ひゃっかぜんしょ (ニッポニカ),IT用語 ようご がわかる辞典 じてん ,パソコンで困 こま ったときに開 ひら く本 ほん ,デジタル大辞泉 だいじせん ,情報 じょうほう セキュリティ用語 ようご 辞典 じてん , ブリタニカ国際 こくさい 大 だい 百科 ひゃっか 事典 じてん . “VPNとは ”. コトバンク . 2021年 ねん 12月18日 にち 閲覧 えつらん 。
^ IPベースVPN、RFC 2764