VPN接続は、「仮想化技術」と「セキュリティ技術」によって成立しています。以下では、「トンネリング」「カプセル化」「認証」「暗号化」といった仮想化技術を実現する仕組みについて解説します。

仮想の回線を指す「トンネリング」

VPNを仮想的な専用回線として成立させているのが「トンネリング」と言われる技術です。この原義は「トンネルを開通すること」にありますが、ここでのトンネルとはネットワーク上の仮想回線のことを意味します。インターネットは通常、不特定多数の人が使う公衆回線を通して利用されています。しかし、VPNでは互いにデータをやり取りする２つの拠点間を仮想的なトンネルで隔絶することで、クローズドなネットワーク構成を可能にします。ネットワーク上の通信をすべて暗号化するSSHもトンネリングの1つです。

パケットにアドレスを付与する「カプセル化」

仮想トンネル内を行き来するデータは別の形に再パッケージ化されており、ハッカーなどの他者の目からその性質を隠せます。「カプセル化」はまさにこの再パッケージ化を通して、データの性質や状態を外部から隠すために利用される技術です。カプセル化という言葉は、外部から隠ぺいするために元のオブジェクトを付与データでカプセルのようにすっぽりと覆ってしまうことから来ています。データのやり取りは、仮想的に構築された専用トンネルの中を、正体を隠したカプセルが往復しているようなイメージと捉えることができます。

不正アクセスを防ぐ「認証」

いくら専用の仮想トンネルを設置したところで、その出入り口が開きっぱなしになっていたら意味がありません。トンネル内部への不正アクセスを防ぐためには、トンネルに入ろうとしている利用者が正当な権利を持っていることを証明させる仕組み、すなわち「認証システム」が必要です。この認証機能は、セキュリティを万全にするために二重にかけられることもあり、これを二段階認証と言います。

VPNの認証システムにおいては、シングルサインオン（SSO）という仕組みが利用されることもあります。これは、1組のIDとパスワードを複数のアプリケーションやサービスで統合的に利用できるようにする仕組みです。シングルサインオンはパスワード漏洩のリスクを低減できます。また、ユーザーは複数のID・パスを手帳に書き留めたり記憶したりする必要がありません。また定期的な変更が面倒だからと、パスワードの使いまわしをすることもありません。アプリケーション側の認証システムを変更する必要もないため、管理の手間も省け、ユーザビリティも向上します。

情報漏洩を防ぐ「暗号化」

このようにVPNのセキュリティは一定以上の高さを持ちますが、それでも認証が突破されたり、データが盗み見られたりするリスクは排除できません。そこで情報漏洩対策のために送受信するデータに施されるのが「暗号化」の機能です。暗号化することで、たとえ認証が突破されデータが漏洩したとしても、解読できないようにしてセキュリティを高めることができます。

VPNにおける暗号化には主に２つの種類があります。まず、SSL-VPNはセッション層において施されるもので、ブラウザーなどのSSLを使うため簡単に暗号化できるのが特徴です。外部からの不特定のリモートアクセスに強く、導入コストも抑えられます。もう1つのIP Sec-VPNは、IP層において施される暗号化で、専用ソフトなどで全通信を暗号化するため安全性が高いという特徴があります。通信も比較的高速で、複数拠点間でのやり取りによく使われます。

VPN接続は主に4種類に分けられます。以下では、それぞれの特徴について解説します。

インターネットVPN

インターネットVPNは、誰でも使えるインターネット回線上に「トンネル」を掘って構築する方法です。既存のインターネット回線をそのまま流用できるので、極めて安価にVPN環境を作れます。しかしその反面、インターネットVPNは元々がオープンネットワークを利用しているためセキュリティリスクが高く、通信品質や通信速度にも課題が残ります。

エントリーVPN

ベストエフォート型のADSLやFTTHなど安価な光ブロードバンド回線を使って、閉域網（クローズドネットワーク）を構築する方法です。エントリーVPNを含め、これ以降に説明するVPNはすべて閉域網VPNですが、特定のユーザーしか使えないため、インターネットVPNよりも高いセキュリティを確保できます。閉域網VPNの中でも、エントリーVPNは特に低コストで導入できることが「エントリー」と呼ばれる由縁です。ただし、使われている光ブロードバンド回線には帯域保証がないため、通信品質はインターネットVPN同様に不安定であるという欠点も抱えています。

IP-VPN

専用のクローズドネットワーク上にVPNを構築する方法です。IP VPNは、ネットワークに不確実性を与えるDDoS攻撃に晒される危険性があるパブリックゲートウェイを避けて接続できます。この機能はMPLS（Multiprotocol Label Switching）と呼ばれますが、これを利用することで、企業のインターネット利用は優先的に処理され、重要度の低いトラフィックはネットワークの混雑が緩和されるまで待機させられることになります。IP-VPNを活用することで、企業は主要な技術的課題を解決し、アプリケーションの応答性や通信速度を高速化し、ネットワークの通信品質を安定的に高く保てます。しかし他方で、運用コストは高額であるという欠点もあります。

広域イーサネット

広域イーサネットは、アクセス回線などネットワーク構成としてはIP-VPNと同様です。しかしIP-VPNが一般的に複雑な設定を必要としないレイヤ2で提供されるのに対して、広域イーサネットは設計が複雑な代わりにカスタマイズ性の高いレイヤ2のレベルで提供されるというところに違いがあります。広域イーサネットはVPNの中でも自由度が最も高く、複雑な設定をこなす技術さえあれば自社のニーズに最適化した高品質のネットワークを構築できます。しかし他方で、ハイレベルのスキルや高コストが要求されるなど、敷居の高さが課題と言えます。また、利用回線の選択の幅が狭い場合もあります。

ときにコストやスキルの高さが必要なVPN接続ですが、VPNを導入することで企業はさまざまな恩恵を受けられます。以下では、導入のメリットについて解説します。

一定の安全性を確保しやすい

VPNは通常のインターネット回線に比べ、カプセル化や認証、暗号化などさまざまなセキュリティ対策が施されているため、一定のセキュリティが確保できます。たとえば社員が何の対策もせずに公共ネットワークを利用して仕事用のPCにリモートで接続したとしたら、理論的にはその公共ネットワーク上の誰もが企業の内部ネットワークにアクセスすることが可能になってしまいます。

会社の機密データや顧客情報への自由なアクセスは、企業の経済活動や社会的信用に壊滅的な被害を与える可能性があるのは周知の事実です。しかしVPNを利用して企業内ネットワークに接続することで、そこで送受信される機密データを高度なセキュリティで守ることが可能です。

リモートワークなどに対応しやすい

VPNには、リモートワークなどに対応しやすいというメリットもあります。近年、企業社会においては、個々人のニーズに合わせた多様な働き方を実現する「働き方改革」や、世界的パンデミックを発生させた新型コロナウイルスの感染予防対策、あるいは企業活動の国際化などの影響を受けてリモートワークの導入が重要性を増しています。しかし、このような遠く離れた拠点間、あるいは従業員一人ひとりの自宅に物理的な専用回線を設置することは難しく、そのセキュリティ対策は常に問題視されるところです。

しかし、VPNならPCはもちろんのこと、スマートフォンやタブレットなどのモバイル端末からのアクセスにもシームレスに対応できます。企業は海外拠点や従業員の個人宅、サテライトオフィス、あるいは外出先や出張中のホテルからでも安全な通信が可能です。シングルサインオンなどと併用することで、その機動性をさらに増すこともできます。企業活動の国際化や働き方改革の推進だけでなく、コロナ禍といった未曾有の事態への対処など環境が大きく変わっても、いつ、どのような場所からも情報の交信が可能であることは、企業の即応性や事業の生産性向上にもつながります。

コストを抑えられる

一定のセキュリティレベルを付与しつつコストを抑えられるという利点もあります。特に既存のネットワークを利用できるインターネットVPNでは大幅なコストカットが可能です。ネットワーク機器も特別な製品である必要はなく汎用品で事足りるので、さらに安上がりに済みます。クローズドネットワークにしてセキュリティレベルを高めたい場合でも、エントリーVPNなら比較的安く済ませられるなど、コストカットしやすいのも魅力です。このように、専用線を引く体力のない企業でも、セキュアなネットワークを構築できるという大きなメリットを持っています。

上記のようなメリットが存在する一方で、デメリットも抱えています。以下では、VPN接続を導入する上での注意点について解説します。

セキュリティリスクを伴う

ここまで解説してきたように、VPNはセキュアな通信が可能ですが、それでも完全にセキュリティリスクを排除できるとは言えません。VPNはあくまでも仮想的な専用回線であり、純粋な意味では自社回線ではありません。そのため、サイバー攻撃などを受ける余地はどうしても生じます。特にオープンネットワークを利用するインターネットVPNの場合は、誰もが侵入を試みることができてしまいます。そのため、従業員に十分な教育をしないままいきなり導入すると、マルウェアの感染や乗っ取りなどのサイバーリスクを受けかねず、情報漏洩につながってしまう恐れも十分に考えられます。通信業者などから情報漏洩する恐れも排除できないため、VPNの導入に当たっては信頼できる業者の選定が重要です。

通信品質が低くなる場合がある

VPNの中でもインターネットVPNやエントリーVPNを導入する場合は通信品質が保証されないので注意が必要です。上記２つは公衆回線を使用するため、とりわけ多数の利用者が利用するピークタイム時には回線が混雑し、通信の速度や品質に悪影響が出かねません。日常的なピークタイムであれば対処のしようもあるかもしれませんが、たとえば災害の発生時など何らかの理由で突発的にアクセスが急増して通信困難になってしまう場合も考えられます。コストを重視しすぎてこうした通信品質の不安定性を軽視してしまうと業務効率が落ち、かえってコストがかさんでしまうことにもなりかねないので注意が必要です。

コストが膨らむ場合がある

前項で述べた通り、インターネットVPNやエントリーVPNにはセキュリティや通信品質に不安が残ります。しかし、通信品質を重視してIP-VPNや広範囲イーサネットVPNを導入すると、それはそれで相応のコストがかかるので注意が必要です。導入の際には、自社にとって必要なセキュリティレベルと許容できるコストのバランスを十分に検討することが欠かせません。

また、提供業者に勧められて必要のないものまで買わされてしまったという事例も存在します。そのため、業者に任せきりにするのではなく、必要なソフトウェアや機器などを自社でも下調べし、余計な機能などがないか慎重に検討・確認することが大事です。

ここまでは基本的な概要について解説してきました。続いては、VPN接続導入のやり方についてご紹介します。

インターネットVPNの導入

最初に解説するのは、インターネットVPNの導入方法です。

インターネットVPN環境を構築するためには、既存のルーターにVPNをインストールするか、「VPNルーター」と呼ばれる特殊なルーターを用意する必要があります。これには先ほどご紹介したトンネリングなど、接続を構成するための基本的な機能が最初から搭載されています。通信したい各拠点にこれを設置・設定することで拠点間のインターネットVPN接続が可能になります。VPNにはファイアウォールなどのセキュリティ機能が搭載された製品も存在します。

各拠点に設置したVPNルーターの設定項目としては、主に「使用するプロトコルの選択」「ユーザー名とパスワードの設定」「接続先端末のIPアドレスの入力」などが挙げられます。ルーターの設定完了後は、端末側でもVPNの設定を行う必要があります。これについては後述の解説をご参照ください。

多数の拠点を有する企業の場合、全拠点をVPN接続でつなげるためには多数の機器の設置、設定、運用が必要です。さらに、ノウハウがない状態でこうした作業を行うとセキュリティリスクの不安が生じます。企業規模が大きい場合には通信事業者からこうした導入作業もサービスとして提供してもらう方が現実的と言えます。
なお、VPNはクラウドサービスとして提供される場合もあります。その場合は機器の導入は必要ありません。

閉域網VPNの導入

閉域網VPNの導入方法として、エントリーVPN、IP-VPN、広域イーサネットをまとめてご紹介します。これらの場合はVPN接続用の回線を利用することになるため、環境構築の機能を持ったVPNルーターの導入は不要です。ただし、通信事業者が用意する閉域網とユーザー側のLANを接続するための「CEルーター（Customer Edge Router）」を設置する必要があります。とはいえ、基本的に閉域網VPNは通信事業者が用意する閉域網を使うため、CEルーターの設置も含め、VPN環境の構築は通信会社とサービス契約をして委託するのが通例です。また、導入後のVPN環境の保守運用もそのサービスの中に含まれます。そのため、閉域網VPNの導入に際して企業が考慮すべき重要なことは、通信会社の選定です。

VPNルーターやVPN用回線の設置が完了したら、次はユーザー端末側でVPN設定をする必要があります。とはいえ、使用される主要なプロトコル（L2TP/IPsec）は、一般的なOSにおいて標準対応しているので特別な準備は必要ありません。具体的には、PCならWindows 10/RT/Mac OSを搭載した機種、スマートフォンやタブレットなら、iOS/Android/Windows MobileなどのOSを搭載した機種であれば、特別なアプリケーションのインストールは不要です。その他のプロトコルを使ってVPN接続する場合は、対応するアプリケーションをインストールする必要があります。

PCでの設定手順

クライアントサイドがPCであれば、利用しているOSによって設定方法が異なります。Windows10とMacOSを例に説明をします。

【Windows10の場合】

• 1. [スタート]ボタンから[設定]を選択します。
• 2. [ネットワークとインターネット]を開き、接続オプションのリストから[VPN]を選択してください。
• 3. [VPN接続の追加」を選択します。すると各種の設定項目が表示されます。
• 4. [VPNプロバイダー]に利用するプロバイダー名を入力してください。
• 5. [接続名]の欄にVPN接続に対応する任意の名称を入力します。
• 6. 「サーバー名またはアドレス]の欄に、接続するサーバーの名前ないしはアドレスを入力します。この情報は、利用しているVPNサービスにご確認ください。
• 7. [VPNの種類]のドロップダウンにおいて、利用するVPNサービスが使用しているプロトコルを選択します。
• 8. [サインイン情報の種類]のドロップダウンメニューで、新しいVPN接続にサインインするための方法を選択します。ここで[ユーザー名とパスワード]を選択した場合は、下部の項目で対応する情報を入力してください。
• 9. 一連の設定が終わったら[保存]ボタンをクリックします。これでVPN設定は完了です。[ネットワークとインターネットの設定]ページに戻り、接続オプションから[VPN]を選択すると、新しく作成したVPN接続がリストに表示されています。これを選択するとVPN接続ができます。

【Mac OSの場合】

• 1. アップルメニューから[システム環境設定]を選択し、[ネットワーク]を開きます。
• 2.[追加（＋）]ボタンをクリックし、[インターフェイス]＞「VPN]と選んでいきます。
• 3.[VPNタイプ」の項目には、接続先のVPNのプロトコルを選びます。
• 4.VPNサーバーの[サーバーアドレス]と[アカウント名]を入力します。
• 5.[認証設定]においてパスワードなどの情報を入力します。
• 6.上記の項目をすべて入力したら[適用]を選択してください。[接続]ボタンを押すとVPN接続ができます。

本記事ではVPN接続の概要や具体的な導入の仕方などについて解説してきました。VPN接続は専用回線を設置するよりもコストを抑えつつ、通信回線のセキュリティレベルを高めることが可能です。
VPNには既存のオープンネットワークを利用するインターネットVPNのほか、エントリーVPN、IP-VPN、広域イーサネットなどの種類があります。これらはそれぞれコスト、セキュリティ、通信品質などの面で違いがあるので、導入する際は自社の予算やニーズに合わせて、最適なVPNサービスを選択する必要があります。

NTTコミュニケーションズでは、予算に応じて柔軟に導入でき、高い品質と安全性が得られる法人向けOCNサービスを提供しています。このOCNサービスにはVPNサービスはもちろんのこと、VPN機器の導入から保守管理までワンストップでサポートを提供しています。セキュアなVPN接続の導入をご希望の場合は、NTTコミュニケーションズの法人向けOCNサービスのご利用をご検討ください。