著者:田中麻維
大手電機メーカー系のSierに入社後、インフラエンジニアとしてLinuxサーバーの構築や保守・運用、ソフトウェアの開発業務を経験。アイティベル入社後は、IT領域の執筆などを行う。
VPNは離れた拠点間同士で安全な通信を実現する技術です。VPNの種類は大きく分けて4つで、種類ごとに構築方法やコスト、セキュリティレベルが異なります。自社に適したVPNサービスを選ぶには、種類ごとの特徴やメリット・デメリットの正確な理解が重要です。
本記事ではVPNの種類ごとの設定方法や活用シーン、VPNプロトコルの種類を紹介します。
1. VPNとは
VPN(Virtual Private Network)とは、仮想的な専用回線を構築し、安全な通信を実現する技術です。送信側と受信側の間に仮想専用線を設置すると、通信内容を保護し、セキュアな通信を実現します。
VPNはテレワークなどで自宅から自社のネットワークにアクセスしたいときや、複数拠点を接続してデータをやり取りしたいときに適しています。
※VPNの詳細はこちらの記事を参照してください。
2. VPNの種類
VPNは以下の4種類に分けられます。
- インターネットVPN
- エントリーVPN
- IP-VPN
- 広域イーサネット
種類ごとの特徴を表にまとめましたので、ご覧ください。
| VPNの種類 | インターネットVPN | エントリーVPN | IP-VPN | 広域イーサネット |
|---|---|---|---|---|
| 利用回線 | インターネット | 閉域網 | 閉域網 | 閉域網 |
| 通信速度 | ベストエフォート (保証なし) | ベストエフォート (保証なし) | ギャランティ (帯域保証) | ギャランティ (帯域保証) |
| レイヤー | レイヤー3 | レイヤー3 | レイヤー3 | レイヤー2 |
| 利用できる通信プロトコル | IPのみ | IPのみ | IPのみ | 制限なし |
| 利用できるルーティングプロトコル | static、GBP | static、GBP | static、GBP | RIP、OSPF、IGRP、IS-IS |
| 安定性 | 不安定 | 不安定 | 安定 | 安定 |
| コスト | 安価 | 比較的安価 | 高額 | 高額 |
| セキュリティ | △ | 〇 | 〇 | 〇 |
| 規模 | 小規模 | 中規模 | 大規模 | 大規模 |
| おすすめの企業 | 安価でVPNを導入したい企業 | 価格と通信品質のバランスを重視したい企業 | セキュリティを重視している企業 | 高度なカスタマイズを実施したい企業 |
下記で種類ごとの特徴やメリット・デメリットを解説します。
インターネットVPN
インターネットVPNとは、インターネット上に仮想のネットワーク環境を構築する接続方法です。インターネット環境があれば、VPN対応ルーターに接続するだけで簡単に導入できるため、4種類の中で最も導入しやすい接続方式です。
インターネットVPNは、SSL-VPNとIPsec-VPNに分けられます。
●SSL-VPN
SSL-VPNとは、SSL(Secure Sockets Layer)を採用した接続方式です。SSLとは、Webサイトとサイトを閲覧するユーザー間の通信を暗号化するプロトコルです。
●IPsec-VPN
IPsec-VPNとは、IPパケットを暗号化するIPsec(Internet Protocol Security)を採用した接続方式です。IPsecとは、暗号化や認証などの機能を持つプロトコルです。
インターネットVPNのメリットは、安価に導入できる点です。ルーターや固定IPなどを用意する必要がありますが、閉域IP網を構築する必要がないため導入コストを大幅に抑えられます。
インターネットVPNのデメリットは、セキュリティレベルが低い点です。オープンなインターネット回線を使用するため、データの盗み見や外部からの不正アクセスのリスクが高くなります。
また、ベストエフォート型(ユーザーの利用状況に応じて通信速度が変動する方式)であるため、インターネットVPNはインターネット回線の利用状況によって通信品質や速度が変動します。
エントリーVPN
エントリーVPNとは、比較的安価で利用できる光ブロードバンド回線や、ADSLなどのインターネット回線を用いて閉域IP網を構築する接続方法です。通信事業者の閉域網を使用するため、インターネットVPNよりもセキュリティの強度は高くなります。
エントリーVPNのメリットは、コスト・セキュリティのバランスが優れている点です。データの盗み見や外部からの不正アクセスなどのセキュリティリスクを低減しつつ、低コストでVPNサービスを利用できます。
エントリーVPNはインターネットVPNと同様にベストエフォート型となっているため、インターネット回線の利用状況によって速度が遅くなる可能性があります。インターネットVPNやエントリーVPNは、回線が混雑する時間帯は通信速度が低下しやすくなると認識しておきましょう。
IP-VPN
IP-VPNとは、通信事業者の閉域IP網を利用して仮想のネットワークを構築する接続方法です。エントリーVPNと似た接続方式となっていますが、IP-VPNではギャランティ型(帯域保証型回線)を採用しています。ギャランティ型では、回線の利用状況にかかわらず一定の通信速度が保証されるため、安定した通信品質が期待できます。
IP-VPNのデメリットは、コストが高額になりやすい点です。導入する際には通信事業者と契約したり、VPN専用の機器を準備したりしなければなりません。
ただし、IP-VPNは機器の準備や設定などを通信事業者に依頼できるため、拠点数が多い企業や、自社でVPNの構築が難しい企業などは負担軽減につながるので、おすすめです。
広域イーサネット
広域イーサネットとは、通信事業者の閉域網を利用して仮想のネットワークを構築する接続方法です。IP-VPNと基本的な構成方法は同じですが、広域イーサネットの方がより柔軟にネットワーク環境を構築できます。
広域イーサネットのメリットは、カスタマイズの自由度が高い点です。RIPやOSPFなど多様なルーティングプロトコルに対応できます。デメリットはネットワーク設定が複雑になりやすく、設計や運用保守の負担が大きくなる点です。
3. 種類ごとの活用シーン
VPNの技術は、さまざまなシーンで活用されています。この章では、種類ごとの活用シーンを紹介します。
インターネットVPN・エントリーVPN
インターネットVPNとエントリーVPNは、テレワークで多く利用されています。自宅から企業の内部ネットワークへの安全なアクセスを目的に利用されています。また、インターネットVPNとエントリーVPNは、外部のパートナーや顧客が一期的に企業のネットワークにアクセスするケースでの利用も可能です。
先述したとおり、どちらもコストを抑えやすいため、小規模なオフィス同士を接続する目的で利用できます。
IP-VPN
IP-VPNは複数企業の拠点間で大容量のデータを転送したり、リアルタイムで通信したりなど、さまざまなビジネスシーンで利用されています。IP-VPNでは、高いセキュリティと安定した通信品質を両立させられるのが魅力です。
IP-VPNは多くの拠点間を結びたい場合や、複雑な設定をしたくない場合に適しています。
広域イーサネット
広域イーサネットは、複数の拠点間で高速なデータ転送を行いたいときに利用されています。複数の拠点をもつ企業や、柔軟なネットワーク設計を行いたい場合に適しており、金融系、通信系などの大企業で活用されるケースが多く見られます。
広域イーサネットは、自社の要件に合わせてネットワーク構成を構築できるのがメリットです。IP-VPNの場合、使用できるプロトコルはIPのみですが、広域イーサネットは他のプロトコルを使ってネットワーク環境を柔軟に構築できます。
4. VPNプロトコルの種類
VPNプロトコルとは、VPNによる拠点間通信を安全かつ高速に行うための規約・ルールです。この章では、VPNプロトコルの種類とそれぞれの特徴を紹介します。代表的なVPNプロトコルは下記の7つです。
- OpenVPN
- IKEv2
- IPsec-VPN
- L2TP
- SSTP
- PPTP
- WireGuard
それぞれのプロトコルの内容について解説します。
OpenVPN
OpenVPNとは、2020年にリリースされた、オープンソースのVPNプロトコルです。OpenVPNは個人向けのプライベートVPNでよく利用されており、さまざまなプラットフォームで自由に利用できます。柔軟性の高いVPN環境を構築できるのがメリットです。
OpenVPNは、高度なセキュリティニーズに合わせて細かくカスタマイズできます。詳細にカスタマイズできます。設定する際には、サーバーとクライアント間で使用する暗号化方式や認証情報などを一致させるのがポイントです。
ただし、OpenVPNは他のVPNと互換性がないため、法人向けVPNとしての利用は難しいでしょう。
IKEv2
IKEv2とは、Ciscoとマイクロソフトが共同で開発したVPNプロトコルです。IKEv2はセキュリティ・安定性の高さが特徴であり、モバイルデバイスにも対応しています。ネットワーク接続が切断された場合でも、自動的に再接続します。
IPsec-VPN
IPsec-VPN(Internet Protocol Security – Virtual Private Network)とは、IPsecを利用して暗号化された通信を行えるVPNプロトコルです。IPsec-VPNは、複数拠点のある企業でLAN同士を接続する際によく利用されています。
IPsec-VPNのメリットは、セキュリティレベルの高さです。IPsecは、以下の3つのプロトコルによって構成されています。
| AH(Authentication Header) | パケットの認証を行い、改ざんされていないかをチェックする |
| ESP(Encapsulated Security Payload) | データを暗号化する |
| IKE(Internet Key Exchange) | 通信相手を認証する |
IPsecは強力なセキュリティが特徴で、設定する際にはサーバーとクライアントでセキュリティポリシーを設定し、適切な認証方法を選択する必要があります。ただし、IPsecの設定作業は複雑になりやすく、設定担当者の負担が大きくなりがちです。
L2TP
L2TP(Layer 2 Tunneling Protocol)とは、データリンク層の機器同士で仮想トンネルを作成し、データを送受信するプロトコルです。L2TPはデータ暗号化の機能がないため、安全性が低い点を懸念されています。
そのため、L2TPはIPsecとよく併用されます。IPsecとL2TP(Layer2 Tunneling Protocol)v2を併用したインターネット向けのVPNプロトコルを「L2TP/IPsec」と呼びます。L2TP/IPsec は、IPsec over L2TPとも呼ばれています。
L2TP/IPsecでは、拠点間通信とリモートアクセスのどちらにも対応可能です。
SSTP
SSTP (Secure Socket Tunneling Protocol)とは、マイクロソフトが独自に開発したプロトコルです。Windows環境で使われており、VPN接続の設定を容易に行えます。SSTPのデメリットは遅延やパケットロスが起きやすい点です。速度よりも信頼性を重視する「TCP」が使用されているため、遅延やパケットロスが起きやすくなります。
PPTP
PPTP(Point-to-Point Tunneling Protocol)は、従来、利用されているVPNプロトコルの一つです。PPTPとは、マイクロソフトとアセンド・コミュニケーションズ社、USロボティクス社が共同で開発した技術を指します。
PPTPは開発元がマイクロソフトであるため、Windows PCをクライアント端末として簡単に利用できるのがメリットです。ただし、規格が古くて安全性が高くないため、現在はあまり使われていません。
WireGuard
WireGuardは、VPNプロトコルの中で最も高速なプロトコルです。コード行数が他のプロトコルよりも少ないため、動作が軽いのが特徴です。さらに、セキュリティの脆弱性が生じる箇所も少なくなるメリットもあります。
ただし、WireGuardは比較的新しいプロトコルなので、全てのVPNプロバイダーで採用されているわけではありません。
5. VPNの設定手順
この章ではインターネットVPNやエントリーVPN、IP-VPN、広域イーサネットの一般的な設定手順を紹介します。
インターネットVPNの設定手順
まずはインターネットVPNの設定手順を説明します。以下のステップで設定を進めていきましょう。
1.要件定義
はじめに、利用する通信の種類や必要な帯域幅、接続する拠点の数、セキュリティ要件、利用するVPNプロトコルなどを定義します。インターネットVPNの帯域幅は、ベストエフォートのため、ここで必要な帯域幅を設定しておきましょう。
2.回線・ネットワーク機器の準備
続いて、インターネット回線やVPNルーターなどのネットワーク機器を準備します。クラウドサービスを利用する場合、機器の導入は不要です。
3.VPNの設定
続いて、VPNの設定を行います。各拠点に設置するVPNルーターに対して、ユーザー名やパスワード、プロトコル、接続先端末のIPアドレスなどを設定しましょう。
4.接続テスト
全ての設定が完了したら、接続テストを行います。意図した通りに通信が行われるかを確認しましょう。
5.運用・監視
接続テストが完了し、運用をスタートします。運用後はネットワーク監視とログのチェックを定期的に行いましょう。
エントリーVPNの設定手順
続いて、エントリーVPNの設定手順を説明します。
1.要件定義
まずは、適切なVPNサービスを選択しましょう。セキュリティ機能や速度、サーバーの数や場所、価格、サポート体制などを比較します。企業利用の場合は、多要素認証や専用IPアドレスなどを利用できるのかも確認しましょう。
2.アカウントの作成
次にアカウントを作成します。メールアドレスのみで登録できるVPNサービスは数多くありますが、企業で利用する場合はより詳細な情報が求められるケースが一般的です。登録情報は正確に入力し、パスワードは強固なものを設定しましょう。
3.VPNサービスのダウンロード・インストール
続いて、VPNサービスのダウンロード・インストールを行います。多くのVPNサービスは、WindowsやMac、iOS、Androidなど複数のプラットフォームに対応しています。第三者のサイトを介したダウンロードはセキュリティリスクがあるため、必ず公式サイトからダウンロードしましょう。
4.VPNの設定
次にVPNの設定を実施します。セキュリティを高めるために、接続プロトコルや暗号化レベルなども設定しましょう。
5.接続テスト
多くのVPNサービスでは、接続ボタンをクリックするだけで簡単に接続できます。初回接続時には、接続の速度や安定性の確認が重要です。不具合がある場合、サーバーの変更や設定の見直しを行いましょう。
IP-VPNの設定手順
続いて、IP-VPNの設定手順を説明します。
1.要件の定義
まずは、利用する通信の種類や必要な帯域幅、接続する拠点の数、セキュリティ要件などを明確にしましょう。ここでは、IPsecやL2TP, PPTPなど、利用シーンに適したプロトコルを選択する必要があります。企業のセキュリティポリシーに合致するプロトコルの選択が大切です。
2.回線・ネットワーク機器の準備
次にVPNサーバーやVPNクライアント、ルーターなどのネットワーク機器を準備します。
VPN接続用の回線を利用するため、VPNルーターの導入は不要です。ただし、閉域網とLANを接続するためのCEルーターを設置する必要があります。(CEルーターは基本的に通信事業者側で用意します)
3.VPNの設定
続いて、VPNサーバーに対し、IPアドレスや認証方法、プロトコル設定などを設定しましょう。各クライアントと拠点のルーターに対してVPN設定を実施します。
4.接続テスト
全ての設定が完了したら、接続テストを行いましょう。意図した通りに通信が行われるかを確認します。
5.適用・監視
運用スタート後も、適切なセキュリティポリシーを適用し、定期的な監視とログのチェックをしましょう。また、定期的にハードウェアとソフトウェアのメンテナンスも実施します。
広域イーサネットの設定手順
続いて、広域イーサネットの設定手順を説明します。
1.要件定義
まずは、事業のニーズや必要な帯域幅、拠点間の地理的な位置関係などを詳細に分析し、VPN構築の計画を立てます。
2.回線・ネットワーク機器の準備
続いて、回線やVPNルーターなどのネットワーク機器を準備します。サービスの種類や品質、コスト、カスタマーサポートの質などを比較し、適した通信事業者を選定しましょう。各拠点のネットワーク機器やインフラの準備状況を確認し、必要なハードウェアやソフトウェアのアップグレードも行います。
3.VPNの設定
各拠点に設置するVPNルーターに、ユーザー名とパスワード、プロトコル、接続先端末のIPアドレスなどの設定を行いましょう。
4.ネットワークの設定
続いて、VLANやルーティングポリシーの設定など、細かいネットワーク設定を行います。
5.接続テスト
ネットワークの設定が完了したら接続テストを実施しましょう。意図した通りに通信が行われるかを確認します。
6.監視・運用
運用スタート後も、ネットワークパフォーマンスを監視し、トラブルが起きたら迅速に対応できる体制を作っておきましょう。
※VPNの設定方法については、以下の記事を参照してください。
VPNプロトコルの設定はドキュメントやサポートガイドを参照するのがおすすめ
VPNプロトコルは、種類ごとに設定プロセスやセキュリティ特性、互換性が異なります。また、使用するデバイスによっても設定方法が異なるため、具体的な設定手順はVPNサービスのドキュメントやサポートガイドを参照しましょう。
6.まとめ
今回は、VPNの種類ごとの設定方法や活用シーン、VPNプロトコルの種類などを紹介しました。VPNの主な種類は、以下の4つです。
- インターネットVPN
- エントリーVPN
- IP-VPN
- 広域イーサネット
インターネットVPNとエントリーVPNは、テレワークなどで多く利用されます。IP-VPNは、高いセキュリティと安定した通信品質をいかし、さまざまなビジネスシーンで利用されています。広域イーサネットは、複数の拠点間で柔軟なネットワーク環境を構築するときに利用されています。
