著者:田中麻維
大手電機メーカー系のSierに入社後、インフラエンジニアとしてLinuxサーバーの構築や保守・運用、ソフトウェアの開発業務を経験。アイティベル入社後は、IT領域の執筆などを行う。
VPNを構築するには、まずはVPN専用の機器を準備する必要があります。VPN機器は製品によって搭載機能が異なるため、企業の利用目的に適した機器の選定が重要です。目的に適したVPN機器を選定するためには、VPN機器の種類や比較ポイントなどを事前に理解する必要があります。
本記事では、VPN機器の種類や選び方、基本的な設定方法について解説します。VPN機器のセキュリティを維持するポイントも紹介しますので、企業のセキュリティ担当者は参考にしてください。
1. VPNとは
VPN(Virtual Private Network)とは、仮想的な専用回線を構築し、安全な通信を実現する技術です。VPNには認証やカプセル化、暗号化などの技術が使われており、一定のセキュリティを確保した上でデータのやり取りを安全に行えます。
VPNを構築する代表的な方法は「インターネットVPN」と「IP-VPN」の2つです。
インターネットVPNとは、インターネット回線を活用したVPNを指します。インターネット回線を利用するため安価にVPNを構築できるのがメリットです。ただし、通信速度や品質はインターネット環境によって変動します。
IP-VPNとは、サービス事業者の閉域型ネットワークを利用するVPNです。インターネットVPNよりも安定した通信品質、セキュリティが期待できます。IP-VPNは専用線に近い環境で通信できますが、その分インターネットVPNよりもコスト負担は大きくなりがちです。
VPNの詳細はこちらの記事を参照してください。
2. VPN機器とは
VPN機器とは、VPNを実現するための機能を搭載した機器です。たとえば、VPN機能を搭載したルーターやゲートウェイ、ファイアウォールなどがVPN機器に該当します。
VPN機器が提供する主な機能は、以下の通りです。
- トンネリング
- データの暗号化
- 認証
- アクセス制御
- 帯域幅の管理
- ルーティング
- セキュリティ
それぞれの機能について説明します。
トンネリング
トンネリングとは、仮想回線を確立して拠点間同士を結ぶ機能です。外部から遮断された見えない通信経路を構築し、安全なデータ転送を実現します。
データの暗号化
データの暗号化とは、やり取りされているデータを暗号化し、外部から読み取れない状態にする機能です。第三者によって機密情報が読み取られるリスクや、情報漏えいリスクなどを軽減できます。
認証
VPNでは、多要素認証などの認証方式がよく採用されています。認証機能ではVPNにログインしようとするユーザーの制限が可能です。
アクセス制御
アクセス制御とは、ユーザーのアクセス権を管理する機能です。ユーザーの役割によってアクセス権を設定し、許可されたユーザーのみが特定のデータにアクセスできます。情報漏えいリスクを最小限に抑えられます。
セキュリティ機能
VPN機器の中には、ファイアウォールやウイルスチェックなどのセキュリティ機能が搭載された機器が多く存在します。たとえばファイアウォールの機能では、外部からの不正アクセスや攻撃を検出・防止してデータ通信の安全性を高められます。
帯域幅の管理
帯域幅の管理とは、ネットワークのトラフィック量を適切に管理する機能です。ネットワークの過負荷を防止し、ネットワークパフォーマンスを向上させられます。
ルーティング
ルーティングとは、異なるネットワークにデータを送るときに最適な通信経路を決めることです。IPアドレスを使った通信の場合は、ルーティングの機能が必須です。
3. VPN機器の種類
VPN機器は大きく分けて「ハードウェアVPN」と「ソフトウェアVPN」の2種類に分類されます。それぞれの特徴やメリット・デメリットを解説します。
ハードウェアVPNの特徴
ハードウェアVPNとは、専用のハードウェアを使用してセキュアな通信環境を構築するVPNです。ハードウェアVPNは、大企業や大規模ネットワークを構築したい企業に適しています。
ハードウェアVPNは、高度なセキュリティ機能と高い処理能力を備えているのが特徴です。そのため、高速なデータ通信を安全に行えるメリットがあります。
ハードウェアVPNのデメリットは、機器の購入費用や保守費用が高額になりやすい点です。またネットワークの規模が大きくなるため、ソフトウェアVPNよりも設定・拡張が複雑になります。
ソフトウェアVPNの特徴
ソフトウェアVPNとは、VPN接続を目的としたアプリケーションやソフトです。既存のサーバーやデバイス上でVPNを構築できます。ソフトウェアVPNは、小規模企業や個人利用に適しています。
ソフトウェアVPNのメリットは、ハードウェアVPNよりも設定やメンテナンスのコストが低くなる点です。ハードウェアを購入する手間がないため、設定作業も比較的簡単に
行えるでしょう。
ソフトウェアVPNのデメリットは、多くの拠点を同時接続する際に通信速度が低下する可能性がある点です。また、ソフトウェアの脆弱性(ぜいじゃくせい)によってVPNの安全性が低下するリスクがあります。
VPN機器の製品例
VPN機器は、製品によって搭載機能や性能、使用できるプロトコルの種類、暗号化の方式などが異なります。
近年では、ファイアウォール機能やIDS・IPS(不正アクセスを検知・防御する機能)、アンチウイルスなど、さまざまなセキュリティ機能を統合したVPN機器が増えています。
4. VPN機器の選定ポイント
VPN機器を選定する際には、以下の6つのポイントを確認しましょう。
- 企業規模
- セキュリティ要件
- コスト
- 互換性
- 操作のしやすさ
- 処理能力
下記でそれぞれのポイントを解説します。
企業規模
企業の規模によって、必要とされるVPN機器の種類や機能は異なります。たとえば、小規模なビジネスで利用する場合は、シンプルでコスト効果の高いVPN機器がおすすめです。大企業で利用する場合、高度なセキュリティ機能や管理機能を備えたVPN機器が適しています。
セキュリティ要件
VPN機器を選定する際には、業界の規制やコンプライアンス要件に合致しているかも確認しましょう。企業のデータ保護要件に基づき、強力な暗号化機能やエンドポイントセキュリティ対策など、特定のセキュリティ機能が求められる場合があります。
コスト
VPN機器を導入する際に発生するコストも確認しましょう。自社の予算を明確にした上で、初期費用や運用コスト、ライセンス料、メンテナンス費用などの総コストの事前把握をおすすめします。費用対効果の高いVPN機器を選定しましょう。
互換性
既存のネットワークインフラストラクチャや、ほかのセキュリティシステムとの互換性も確認する必要があります。また、クラウドサービスやモバイルデバイスとの連携性も併せて確認しておきましょう。
また、VPNの種類によって必要な機器は異なります。たとえば、広域イーサネットを利用する場合は、L2スイッチなどのレイヤー2レベルのVPN機器で支障ありません。IP-VPNの場合はルーターやL3スイッチなどレイヤー3レベルのVPN機器を用意しなければなりません。
操作のしやすさ
VPN機器の管理インターフェースの使いやすさや、設定のシンプルさなども確認しましょう。VPN機器の操作のしやすさは、運用の効率性やトラブルシューティングの容易さなどに直結します。
処理能力
VPN機器の同時接続数や、VPNトンネルの数なども確認しましょう。ネットワークの将来的な成長や拡張を考慮し、余裕をもった性能の機器の選定をおすすめします。
VPN機器を選定する際には、上記のポイントを考慮し、企業のニーズにもっとも合致したVPN機器の選定が重要です。複数のベンダーから見積もりを取り寄せて比較し、導入前に無料デモで機器の性能・操作感の確認をおすすめします。
5. VPN機器の基本的な設定方法
この章では、VPN機器の基本的な設定方法を紹介します。VPN機器の基本的な設定手順は、機器のメーカーやモデルによって異なりますが、以下の7ステップで設定するのが一般的です。
- VPN機器を電源に接続してケーブルでつなぐ
- マニュアルにしたがって初期設定(IPアドレスやユーザー名、パスワードの設定など)を実施する
- ネットワーク設定(IPアドレスやサブネットマスク、デフォルトゲートウェイなど)を実施する
- VPNユーザーの認証方法を設定する
- ルーティング設定・セキュリティ設定を実施する
- VPN接続のテストを実施する
- 設定をバックアップし、設定内容と変更履歴を文書化する
それぞれのポイントについて解説します。
1.VPN機器を電源に接続してケーブルでつなぐ
まずは拠点にVPN機器を設置し、適切な電源アダプターを使用して電源に接続します。
2.マニュアルにしたがって初期設定(IPアドレスやユーザー名、パスワードの設定など)を実施する
機器に付属されているマニュアルやオンラインのドキュメントを参照し、初期設定を実施します。VPNのセキュリティを高めるために推測されにくい強力なパスワードの設定がポイントです。
3.ネットワーク設定(IPアドレスやサブネットマスク、デフォルトゲートウェイなど)を実施する
次に機器のIPアドレスやサブネットマスク、デフォルトゲートウェイなどを設定しましょう。VPNの種類(IPsec、PPTP、L2TP、OpenVPNなど)を選択し、暗号化方式や認証方法なども設定します。
4. VPNユーザーの認証方法を設定する
ネットワーク設定が完了したら、必要に応じてユーザーごとにアクセス権限を設定しましょう。
5.ルーティング設定・セキュリティ設定を実施する
続いて、ルーティング設定・セキュリティ設定を実施しましょう。ここでは、手動で設定する「静的ルーティング」か、ルート情報を自動で交換・更新する「ダイナミックルーティング」を選択します。
静的ルーティングは小規模なネットワークや、単純なルーティング要件に適しており、ダイナミックルーティングは大規模または複雑なネットワークに適しています。
ルーティング設定に加えて、セキュリティ設定も実施しましょう。ファイアウォールやNAT(ネットワークアドレス変換)を設定すれば、不正アクセスを防止できます。
6. VPN接続のテストを実施する
ここまでの設定が完了したら、すべての設定を保存してVPN接続のテストを実施します。インターネットVPNの場合はインターネット網、IP-VPNの場合は通信事業者の閉域網に接続し、正常に動作するかを確認しましょう。
7. 設定をバックアップし、設定内容と変更履歴を文書化する
VPN接続のテストが完了したら、現在の設定をバックアップします。さらに、円滑な管理・運用を行うために設定内容と変更履歴を文書化しておきましょう。
6. VPN機器の管理方法・セキュリティ維持のポイント
VPN機器を導入したあとは、ユーザーが安全に利用するためにセキュリティ管理を徹底して行わなければなりません。この章では、VPN機器の管理方法とセキュリティ維持のポイントを紹介します。
VPN機器のソフトウェアやファームウェアを定期的に更新する
新しいセキュリティパッチや機能アップデートがリリースされた場合、これらを速やかにVPN機器に適用するとセキュリティを確保できます。大規模な更新が必要な場合は、業務時間外などの影響が最小限になる時間帯に実施しましょう。
強固な認証方法を採用する
VPN機器を管理する際には、強固な認証方法の採用が重要です。たとえば、MFA(マルチファクタ認証)やデジタル証明書などのセキュリティレベルが高い認証方法を採用すると、不正アクセスを防止しやすくなります。
ACLを利用する
ACL(アクセス制御リスト)とは、通信アクセスを制御するためのリストです。ACLを使用すれば、特定のIPアドレスやユーザーグループのみがVPNへ接続できるようになり、ネットワークのセキュリティ強化につながります。
VPN接続に関するセキュリティポリシーを明確に定義する
VPNの使用に関するセキュリティポリシー(VPNの使用用途やアクセス権限など)も明確に定義する必要があります。VPNのセキュリティを維持するには、VPNを使用するユーザーがセキュリティポリシーの内容を正確に理解し、遵守することが大切です。
脆弱性スキャンを実施する
VPN機器のセキュリティ強化には、脆弱性スキャンも有効です。定期的に脆弱性スキャンを実施すると、潜在的なセキュリティリスクを特定できます。
VPN接続のログを監視・分析する
VPN接続のログを定期的に監視・分析すると、不審なアクティビティや異常なトラフィックパターンを特定できます。さらに、セキュリティインシデントの早期発見にもつながるでしょう。
VPN機器、ネットワーク構成のバックアップを取得する
VPN機器とネットワーク構成のバックアップを取得すれば、障害やデータ損失などの際に迅速な復旧ができます。これらのバックアップは定期的に取得しておきましょう。
7.VPN機器の活用方法
この章では、VPN機器の活用方法を紹介します。代表的な活用方法が以下の3つです。
- リモートアクセス
- 多拠点間通信
- 他社とのセキュアなデータ交換
それぞれの内容について解説します。
リモートアクセス
VPN機器は、テレワークを実施したり、外出先から企業システムにアクセスしたりする場合に利用されています。先述したVPN機器に搭載されているデータの暗号化や、認証などの機能を通じて、セキュアな通信を実現できます。
多拠点間通信
VPN機器は、本店と複数の支店を接続する際に利用されています。地理的に離れた場所にあるオフィスと通信したいときに活用されており、拠点間でプライベートな通信網を構築できます。
他社とのセキュアなデータ交換
VPN機器を使えば、VPNアカウントをベンダーやパートナーに提供し、必要なデータのみを安全に共有できます。外部のビジネスパートナーとの間で安全な通信経路が確立されれば、信頼関係が構築され、ビジネスの機密性を維持できるようになるでしょう。
8.VPN機器のトレンド・将来性
昨今の市場の変化に伴い、さまざまなタイプのVPN機器が登場しています。この章では、VPN機器のトレンドと将来性を見ていきましょう。
高性能なVPN機器が増加
近年のVPN機器は、家庭向けでAmazon Alexaと連携できる製品やゲーム用途に特化した製品などが登場し、ビジネス以外の目的で利用されるケースが増えています。昨今のクラウド化の風潮から、特にクラウドベースのVPNサービスが人気です。
ほかにもモバイルデバイス対応のVPN機器も注目されています。スマートフォンやタブレットなどから安全にアクセスできるVPN機器は、柔軟なワークスタイルを実現するために役立つでしょう。
VPNの将来性
クラウド化や柔軟なワークスタイルへの対応に伴い、VPN機器の機能や使用方法も今後進化し続けると予測できます。
また、昨今の多様化しているサイバー攻撃に対し「ゼロトラスト」という考え方に基づいたセキュリティ製品の需要が高まっています。ゼロトラストとは、何も信頼しないという原則に基づき、社内外の境界を問わず、企業内の情報にアクセスするものすべての安全性を検証するというセキュリティ対策における考え方です。
VPN機器もゼロトラストに基づき、よりセキュリティレベルが高いサービスへの変化が期待されています。
9.まとめ
今回は、VPN機器の種類や選び方、基本的な設定方法について解説しました。
VPN機器とは、VPNを実現するための機能を搭載した機器で「ハードウェアVPN」と「ソフトウェアVPN」の2種類に分類されます。
VPN機器の基本的な設定手順は、機器のメーカーやモデルによって異なります。
VPN機器を導入する際には、本記事で紹介した設定方法・管理方法を参考にしてください。