STAGE 05 / ワイヤレス

VPNの基礎

考えてみよう

インターネットという「誰でも通れる公道」を経由して、支社と本社のネットワークを安全につなぐには、どうすればよいでしょうか?

専用線を全拠点に敷設するのは莫大なコストがかかります。そこで多くの企業は、公共のインターネットを使いながらも安全性を確保する技術に頼っています。少し考えてから読み進めてください。

VPNは「公道を走る装甲車」のイメージ

VPN(Virtual Private Network)は、インターネットのような公共のネットワークの上に、暗号化された仮想的な専用トンネルを作る技術です。公道(インターネット)を走ること自体は誰にも止められませんが、中身が見えない・改ざんされない装甲車(暗号化トンネル)に荷物を積んで運べば、安全に届けることができます。VPNはまさにこの発想を実現する仕組みです。

サイト間VPN(Site-to-Site VPN)

サイト間VPNは、本社と支社など、拠点同士のルーターやファイアウォールの間に恒久的なトンネルを構築する方式です。多くの場合、IPsecというプロトコルスイートを使って暗号化と認証を行います。一度構成してしまえば、各拠点の内部にいる利用者は、VPNの存在を意識することなく、あたかも同じ社内ネットワークにいるかのように通信できます。

たとえば東京本社と大阪支社をIPsecサイト間VPNで結んでおけば、大阪の社員は特別な操作をしなくても、東京本社のファイルサーバーに安全にアクセスできます。

確認問題

拠点間のルーター同士を恒久的な暗号化トンネルで結び、IPsecを用いることが多いVPNの方式は何でしょう?

答えを見る

サイト間VPN(Site-to-Site VPN)です。本社・支社間のルーターやファイアウォールの間にトンネルを構築し、内部の利用者は意識することなく安全に拠点間通信を行えます。

リモートアクセスVPN(Remote Access VPN)

リモートアクセスVPNは、自宅やカフェなど社外にいる個人の端末が、VPNクライアントソフトを使って社内ネットワークに接続する方式です。多くの場合、TLS(SSL VPN)をベースにした仕組みが使われ、Webブラウザやクライアントアプリから比較的手軽に接続できるのが特徴です。テレワークをしている社員が、自宅のパソコンから社内システムにアクセスする場面がまさにこれにあたります。

サイト間VPNが「拠点と拠点を結ぶ恒久的なトンネル」であるのに対し、リモートアクセスVPNは「個人の端末が必要なときだけ社内ネットワークに参加する」という違いを押さえておきましょう。

確認問題

自宅やカフェから個人の端末がVPNクライアントを使って社内ネットワークに接続する方式は何でしょう?

答えを見る

リモートアクセスVPNです。多くはTLS(SSL VPN)をベースにしており、拠点同士を結ぶサイト間VPNとは異なり、個人の端末が必要なときだけ社内ネットワークに参加する形になります。

スプリットトンネリングという考え方

リモートアクセスVPNを使う際によく話題になるのが、スプリットトンネリング(split tunneling)という概念です。これは、社内リソース宛の通信だけをVPNトンネルに流し、それ以外の一般的なインターネット閲覧などの通信は、VPNを経由せず直接インターネットに出す設定を指します。

スプリットトンネリングを有効にすると、VPNサーバーの負荷や回線の混雑を抑えられるという利点がありますが、その一方で、VPNを通らない通信は社内のセキュリティ機能(ファイアウォールやフィルタリングなど)の恩恵を受けられなくなるという注意点もあります。利便性とセキュリティのトレードオフとして理解しておくとよいでしょう。

試験でのポイント

VPN分野では、サイト間VPN(拠点間・IPsec中心)とリモートアクセスVPN(個人端末・TLSベース)という2つの方式の違い、そしてそれぞれがどんな場面で使われるかを問う問題が中心です。加えて、スプリットトンネリングが「全通信をVPN経由にするのではなく、社内宛だけをトンネルに流す」考え方であることも、概要レベルで問われることがあります。「誰と誰をつなぐVPNか」「暗号化の対象は何か」という視点で整理しておくと、迷わず判断できます。

ゆみちゃん
ゆみ

サイト間VPNとリモートアクセスVPN、そしてスプリットトンネリングの考え方、つながったかな。VPNは「公道を安全に走る装甲車」ってイメージ、忘れないでね。次はいよいよSTAGE05の総仕上げ、セキュリティ総演習のドリルだよ。