VPNとは?~VPNの基本知識について分かりやすく解説~
近年、IoTやクラウドなどの技術をビジネスで活用することが増えています。それと同時にネットワークのセキュリティ対策がますます重要になっており、セキュアで安定したネットワーク構築手法としてVPNの導入が進んでいます。本記事では、VPNの仕組みやVPNの種類などの基本知識からモバイル通信を使った場合の接続方法まで、分かりやすく解説いたします。
VPNとは?
そもそも、開放的なインターネットでは、悪意のあるユーザーによって情報が読み取られてししまうリスクが常に存在します。そういったことを防止するため、専用回線の利用やVPN、情報の暗号化等が行われています。
なかでもVPNとは、「Virtual Private Network」の略で、直訳すると「仮想の専用ネットワーク」となります。専用回線になるので特定の人・端末しかアクセスできず、安全性の高いネットワークシステムを構築できます。一方、「Virtual(仮想)」とある通り「専用線」のように、通信を完全に独占する1対1の通信方式ではなく、あくまで「仮想」の専用線を構築しています。「仮想」とは、伝送路(データ通信回線)としては他の利用者と共用している状況ではあるものの、プロトコルによって、ソフトウェア的にはあたかも専用ネットワークであるかのような挙動をするようなネットワークであるということです。
また、VPNは、企業の拠点間の通信などでもよく使われており、企業内のサーバーやサーバーに保管されたファイルにアクセスするなどの用途で使われています。一般的にプライベートIPアドレスによる閉域ネットワークを拠点間にまたがって構築するという考え方で構築されます。
グローバルIPやプライベートIPに関しては下記コラムでも解説しております。
VPNの種類
VPNは使用するネットワークやプロトコル、対象としているレイヤーなどによって、分類されています。本記事では①ネットワークの種類、②プロトコルの種類の2つについて解説します。
①ネットワークの種類
VPNを構築する際、どのようなネットワーク(開かれたネットワークか、閉じられたネットワークかなど)を利用するかによって、VPNの種類が変わってきます。本記事では下記3つについて取り上げて説明します。
- インターネットVPN
- IP-VPN
- 広域イーサネット
②プロトコルの種類
どのプロトコルを使って、どの階層・レイヤーに対してセキュリティ対策を行うかという、VPN構築の手法の違いによっても分類することが出来ます。上記にあげたどのネットワークを使ったVPNを構築するかで、使われるプロトコルは変わってきます。代表的なプロトコルには下記のようなものがあげられます。
ネットワークの種類 | プロトコルの種類 |
---|---|
IP-VPN | MPLS |
広域イーサネット | VLAN |
インターネットVPN | IPsec-VPN、SSL-VPN、L2TP/IPsec、PPTP |
なお、インターネットVPNで使われるプロトコルについては、下記コラムでも詳しく解説しています。
VPNで使われるネットワークの種類
それでは、VPNで使われるネットワークの種類について解説します。VPNを構築する際、選ぶネットワークの種類としては2つに大別できます。開かれたネットワークを利用するか、閉じられた閉域のネットワークを利用するかです。開かれたネットワークを利用する場合は「インターネットVPN」、閉じられたネットワークを利用する場合は「IP-VPN」「広域イーサネット」などがあります。
- 閉じられたネットワークを利用する:「IP-VPN」「広域イーサネット」など
- 開かれたネットワークを利用する:「インターネットVPN」
IP-VPNの構成
通信事業者はIP-VPN専用の大容量通信回線を全国に張り巡らせており、これは「基幹網」と呼ばれています。IP-VPNを利用するには各通信事業者のIP-VPNサービスに加入し、この「基幹網」を使う必要があります。さらにその上で、各企業の事業所などに近い基幹網の箇所から「足回り網」と呼ばれる専用回線を引っ張ってきます。「足回り網」とは光ケーブルやADSLなどによって地域通信事業者の局舎から顧客の拠点をつなぐ専用回線のことです。このように、IP-VPNは「基幹網」と「足回り網」の2種類の回線によって接続が可能となります。
なお、基幹網と足回り網の境目に設置されるルーターを「PEルーター」と呼びます。また、足回り網の先に各企業内に設置されるルーターのうち通信事業者が管理しているものは「CEルーター」と呼ばれています。
IP-VPNを実現するMPLS
IP-VPNを構築するうえで、欠かせない「MPLS」について簡単に解説します。上記で、各通信事業者が「基幹網」を張り巡らせていることを解説しましたが、この「基幹網」は、その通信事業者のIP-VPNサービスを利用している各企業と共用で利用することになります。
そのため、複数の会社で同じIPアドレスを使っていることもありますし、そもそも安全上のリスクから、基幹網内ではIPアドレスをルーティングに使うことが出来ません。そこでIPアドレスの代わりに使われるヘッダが「MPLS」です。IPヘッダを含めてパケット化されMPLSのヘッダが付与されます。
各拠点まで「MPLS」の情報をもとにデータが送られると、そこでMPLSヘッダが除去されて、IPアドレスが見えるようになり、各拠点内ではIPアドレスをもとに情報が運ばれます。
冗長化を実現するBGP
IP-VPNは足回り網も基幹網も、一本しかないと万が一切れてしまった際に問題になるため、常に冗長化されたルートが用意されています。しかしこの冗長化された回線を含めると非常に複雑な網構成となっているため、障害時の切り替えも含め、動的ルーティングを実現するためのプロトコルが用意されています。このプロトコルがBGP (Border Gateway Protocol)です。これにより回線の冗長性が保たれています。
広域イーサネット
広域イーサネットとはL2網とも呼ばれ、IP-VPNが普及する前は、こちらが主流でした。広域イーサネットは、各通信事業者が運営する固定ネットワークにおいて、特定企業用の閉域ネットワークを提供するサービスという点ではIP-VPNとほぼ同じ方法です。ただ、IP-VPNとの違いとしては、IP-VPNでは各企業にIPアドレスがふられる形であるのに対し、広域イーサネットではインターフェースがIPアドレスではなくイーサネットになります。また、IP-VPNと比べて設計の自由度が高いという特徴がある一方、設計に手間がかかるため使われるケースが少なくなってきました。
広域イーサネットを実現するVLAN
広域イーサネットを用いてIP-VPNと同じような広域プライベートIPネットワークを構築する場合、IPネットワークを構成する仕組みはユーザー側が実装する必要があります。このような用途では「VLAN」というプロトコルが使われることが多いです。VLANはMPLSと同様、IPアドレスがのったパケットをIPアドレスなしに運ぶことができるプロトコルです。MPLSとの違いとしては、VLANはMPLSよりもより広い用途で利用されることがあります。例えば、VLANは異なる通信事業者で運営されているIP-VPN同士(国内のIP-VPNとグローバルのIP-VPN同士など)をつなぐ際にも利用されるプロトコルになります。
インターネットVPN
インターネットVPNとは既存のインターネット回線を活用し、開かれたオープンネットワーク上にVPNを構築することです。比較的利便性の高い接続方式で、リモートワークなどでもよく使われています。また、IP-VPNや広域イーサネットと比べて、固定費用を安く抑えることができます。ただ、その一方で、通信速度は端末を利用する各所のネットワーク環境に左右されてしまいます。また、開かれたネットワークを利用するため、第三者にもみられてしまう状況は常に念頭に入れる必要があり、暗号化の仕組みが不可欠になってきます。暗号化の仕組みについては後述するプロトコルの種類によっても異なりますので、用途に応じて最適なプロトコルを利用することが大切です。
インターネットVPNの構成
まず、各拠点にインターネットに接続するための固定グローバルIPアドレスを持たせます。このグローバルIPアドレスを用いて拠点間にデータ通信を伝送するための仮想の専用トンネルを構築し、それにより閉域網を実現します。そして、各拠点の下にプライベートIPアドレスの空間が形成され、プライベートIP同士での通信が可能となります。
インターネットVPNで使われるプロトコルの種類
インターネットVPNで使われるプロトコルとして有名なものとしてはIPsecがありますが、ほかにもSSLやL2TPなど様々なプロトコルが使われています。
IPsec-VPN | 安全性が高く広く使われているが、高価でファイアウォールと相性が悪いことがある。 |
---|---|
SSL-VPN | IPsecと比べセキュリティ面は劣るものの、リモート接続に優れ利便性が高く、低コストで運用可能。 |
L2TP/IPsec | L2TPのみでは安全性を確保できないためIPsecと組み合わせて使う。対応するプロトコルが多く、複数のユーザーセッションをやり取り可能。 |
インターネットVPNで使われるプロトコルの詳細についてはこちらよりご覧下さい。
モバイル通信と閉域網の接続方法
ここまでVPNの接続を光回線などのネットワーク回線を前提にご紹介してきましたが、ここではモバイル通信と閉域網の接続方法についてご紹介します。
モバイル通信とIP-VPNの接続方法
まず、IP-VPN側で「モバイルゲートウェイ」と呼ばれる、モバイル通信を受け取る専用の箇所を作ります。そのうえで、一つのIP-VPN網に対し、専用のAPNを作成し、モバイル側のデバイスに割り当てられるIPアドレスの範囲を決めます。その上で、各デバイスから専用のAPNに向かって通信を行うと、各デバイスに決められた範囲のIPアドレスが付与され、プライベートIP内でやり取りが行えるようになります。IP-VPN全体から見ると、モバイル通信専用の「拠点」が一つ追加されるイメージです。
モバイル通信とインターネットVPNの接続方法
IP-VPNと同様、1つの企業専用のAPNを設定し、モバイル側のデバイスに割り当てられるIPアドレスの範囲も決めます。また、その専用APNはモバイルの通信事業者に運営されているVPNにつながる専用のルーターに接続されます。このルーターと企業の拠点にあるルーターとの間にVPNのパスを貼っておきます。そして、「このAPN向けに通信が起動されたら、このIPアドレスを付与」といった内容を設定しておくことで、自動でプライベートIP間での通信が開始できます。
VPM対応LTEルーターのご紹介
アムニモでは安全性の高いインターネットVPNプロトコル「IPsec」に対応したモバイル通信可能なルーターを販売しております。本ルーターは、ファームウエアの2重化や通信回線の冗長化、瞬停対策など、高い信頼性が特徴で、高い安定性が求められるVPN構築で活躍するコンパクトルーターです。IPsecを使ったVPN構築を検討されているお客様はお気軽にご相談ください。
※IPsec対応は次期バージョンアップで予定しております。
※その他のアムニモのゲートウェイシリーズ製品もIPsecに対応しております。
なお、弊社のゲートウェイやルーターのIPsec接続の方法は、下記記事をご覧下さい。
高い信頼性と運用性に優れた自社開発のIoTデバイスとクラウドサービスを組み合わせ、先進の映像・IoT・AIソリューションの提供を通じ、IoTとAIでつながる世界に貢献していきます。コラムにて定期的にお役立ち情報をお届けします。