Virtual Private Network

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動: 案内検索
VPN connectivity overview

Virtual Private Network(バーチャル プライベート ネットワーク、VPN)または仮想プライベートネットワーク(かそうプライベートネットワーク)は、インターネットのようなパブリックネットワークを跨ってプライベートネットワークを拡張する技術である。 VPNによってコンピュータはパブリックなネットワークを跨って、まるで直接接続されたプライベートネットワークにつながっているかのようにプライベートネットワークの機能的、セキュリティ的、管理上のポリシーの恩恵を受けつつデータを送受信できる。 これは2つの拠点間で、専用の接続方法や暗号化を用いることにより仮想的な接続をつくり上げることで実現される。

また、通信相手の固定された専用通信回線(専用線)の代わりに多数の加入者で帯域共用する閉域網を利用し、LAN間などを接続する技術もしくは電気通信事業者のサービスもVPNと呼ばれる。

後者を指して特にPPVPN(Provider Provisioned Virtual Private Networks)と呼ぶこともある。

概要[編集]

VPNはインターネットや多人数が利用する閉域網を介して、暗号化やトラフィック制御技術によりサイト間があたかもプライベート接続されているかのような状況を実現するものである。

一言でVPNと言っても、様々なプロトコルが利用されるため、そのオプションによって様々な利用が可能である。VPN=暗号化技術という誤解が多いが、それは利用するプロトコルやオプションによって異なる。VPNで利用されるプロトコルには、SSH/TLS/SSL/IPsec/PPTP/L2TP/L2F/MPLSなどがある。

現在VPNには、インターネットを介しVPNを構成する「インターネットVPN」と、ISPが提供する閉域網を利用するタイプの二種類が主流である。後者はISPの専用IP網を利用する「IP-VPN」などがある。

更にIPに限定されないL2レイヤ(Ethernet)で通信を分離することで広域イーサネット的に利用できる「レイヤ2 VPN」などがある。

インターネットVPN[編集]

インターネットを利用したVPNであり、IPsecPPTPおよびTLSといったプロトコルが主流である。

IPsecやPPTP、SoftEtherなどを利用することで、インターネットを介した複数の拠点間で暗号化データをカプセリング・トンネリングし通信を行い、通信データの改竄・盗聴を抑えながら通信を行うことが可能となる。

インターネットVPNには、拠点のLAN同士が接続するLAN型VPNと、ノートPCなどにインストールしたVPNクライアントソフトを利用し、拠点のLANに接続するリモート型VPNがある。

また、最近ではSSLを利用したSSL-VPNも、その手軽さから注目されている。

インターネットVPNは、IP-VPNと比較すると以下のようなメリット・デメリットがある。

  • メリット
    • アクセス回線にインターネットを利用することから生じるメリット
      • 通信回線のコストを抑えることが可能。インターネット接続さえあればVPNを終端できる装置やソフトウェアを導入することで、ISPなど電通事業者から提供される閉域網を介さず、自前でVPN網を構築することも可能である。
      • リモート型VPNの場合、出先からでもダイヤルアップ接続や公衆無線LANなど何らかの形でインターネットへのアクセスが可能であれば、拠点のLANへアクセスすることが可能となる。
  • デメリット
    • クライアントのアクセス数の増減で機器のパフォーマンスが求められるため、利用スケールにあわせた機器の選択が重要である。
    • 実効通信速度や安定性は、利用しているインターネット網に依存するため場合によっては不安定となる。
    • 暗号化を施しているとは言え、グローバルなインターネット経由である為、SSLなどの暗号の強度を除いて通信の安全性を担保するものがない。

また完全にオープンなインターネットではなく、特定ISPのインターネット網上のみで通信が完結するタイプのインターネットVPNも ISPからサービスとして提供されている。

専用の閉域網によるVPN[編集]

企業などの信頼性の要求される通信網を構築するには、拠点間に帯域保障の専用通信回線を占有してきたが、これを第三者が進入・傍聴・改竄しにくくする技術により帯域共有型の安価な閉域網で実現しようというものがこのタイプのVPNと言える。

IP-VPN[編集]

MPLS対応のルータなどを使用し、インターネットとは別に構成されたIP網で、VPNを構成する通信事業者のVPNサービスはIP-VPNと呼ばれることが多い。IP上に構築される専用線網であるが、従来の専用線に比べ低コストでの利用が可能である。ISPの閉域網(=外部公開されていない通信網)を利用することでの安全性は確保されるが、その信頼度はサービス提供者に委ねる形となるため、ラベル技術や暗号化技術でもってセキュリティを確保する形での専用線利用となる。

通信経路は網内で他のユーザと共有している為ベストエフォートの傾向にあり、データの通信速度を厳密に保証しかねるがインターネットVPNのような極端な通信速度の低下はほとんど無いと言える。また、オプションで帯域保証を提供しているISPもある。

VPNに関しての機器の導入・管理をユーザ側で行う必要が無いため、導入や運用保守が容易な点も、IP-VPNの特徴の一つである。利用する際は、BGP対応のルータが推奨されるが、インターフェースさえ合わせればユーザの好みでルータを選択できる。

専用通信回線との違い[編集]

専用線(専用通信回線)は導入コスト及びランニングコストが高価であるが、接続性及び帯域がSLAによって保証されており、安定性を考えると専用線を選択する企業も多い。専用線ではアクセス回線に合わせ、ルータのインターフェースを選択するだけで対向間の接続が可能であるが、インターネットVPNの場合は、VPN対応のルータ及び専用機、専用クライアントソフトが必要である。

管理や運用保守に関してはVPNが不利であるが、回線コスト(ランニングコスト)や自由度でVPNが圧倒的に勝っているため、現在専用線からの移行(リプレース)が多く行われている。

レイヤ2 VPN[編集]

広域イーサネットはイーサネット(レイヤ2)通信が提供されており、利用するプロトコルがIPに依存しないため、LANと同じ感覚で利用可能である。

これと比較して、レイヤ3パケットのトンネリング通信のみをサポートするVPN技術(IPsecPPTP等)を用いたVPNの場合は、あらかじめ利用するサービスやプロトコルを考慮しながらネットワークの構築が行われ、構築後のサービスやプロトコルの変更は、VPN機器の変更が必要となる。

レイヤ2(イーサネット)パケットのトンネリング通信やブリッジ接続などをサポートしているVPN技術を用いることにより、前述した広域イーサネットのメリットと同等のことを実現でき、インターネットVPNを用いて安価に構築することができる。

特に、仮想LANカード仮想HUBおよび既存の物理的なLANをVPNプロトコルで接続し、その上でブリッジ接続する手法により、広域イーサネットと同様に、既存のスイッチングハブレイヤ3スイッチが使用されているLAN同士をVPN接続することができる。遠隔地の拠点間でVoIPテレビ会議システムなどを利用する場合も、同一のイーサネットセグメント上にある機器とみなすことができるので、より容易・確実に利用可能となるメリットがある。

さらに、LANに対してイーサネットのレイヤでリモートアクセスすることが可能になる。

管理権限の立場的な関係[編集]

IETFが分類するVPNは様々なものがあるが、中にはVLANのように、例えばIEEE802委員会、すなわちワークグループ802.1(アーキテクチャ)といった他の機構の標準化責任のものもある。当初は、Telecommunication Service Provider (TSP) が提供しているWANリンクが単一企業内のネットワークノード同士を相互に接続していた。LANの出現と同時に、企業が認めた連絡線を用いたネットワークノード同士が相互接続できるようになった。初期のWANは専用線フレームリレーといったレイヤー2多重化サービス、ARPANETインターネットなどのIPベースの第3層ネットワーク[1]、軍事IPネットワーク(NIPRNETSIPRNETJWICS 他)を利用しているうちに一般的な相互接続メディアとなった。VPNはIPネットワーク上で定義され始めた。軍事ネットワークは一般的な通信機器を使いつつも、それとは別に暗号化とおそらくルーター群を用いて、ネットワーク自身がVPNとして伝送を行うだろう。[要検証 ]ノード間を相互接続するためには、管理の技術よりむしろ関係に基づいて様々なVPNを真っ先に見分けることが有用であった。いったん関係が定義されれば、違った技術がセキュリティやサービスの質といった要求に応じて用いられることがあった。

経路制御[編集]

トンネリング・プロトコルはPoint to Pointトポロジーに使用される。このトポロジーは一般にVPNと考えられてはいない。なぜなら、VPNはネットワークノードの任意なそして変化する集合をサポートすることが期待されているからである。ほとんどのルーターの実装がソフトウェアで定義されたトンネル・インターフェイスをサポートするので、顧客によって構築されたVPNは多くの場合単なるトンネルの集合によって構成され、従来のルーティングプロトコルはこれらのトンネルを通って走ることとなる。PPVPNはしかしながら複数のVPNの共存をサポートする必要がある。これらのVPNは同じサービスプロバイダーによって運用されるが、お互いから隔離されている。

VPN接続の前の認証[編集]

既知の信頼されたユーザは、時によっては信頼されたデバイスを使用する場合だけ、一般のユーザに利用できないリソースにアクセスするための適切なセキュリティ特権を提供される。サーバもVPNに加わるためにはそれら自身の認証が必要とされる。認証の仕組みは種々さまざまに存在する。VPNはファイアーウォール、アクセスゲートウェイ、その他のデバイスに認証を実装する場合がある。これらのVPNにはパスワード、生体認証、もしくは暗号学的方法が使用されることがある。厳密な認証はそれとは別の認証体系に暗号を付けることに関与する。認証体系はユーザによる明確な動作を必要とするか、VPNクライアントあるいはワークステーションに組み込まれる。

VPNで利用される技術・手法[編集]

レイヤ2 VPN技術[編集]

レイヤ3 VPN技術[編集]

レイヤ4以上のVPN技術[編集]

脚注[編集]

[ヘルプ]
  1. ^ IPベースVPN, RFC 2764