Virtual private network

「VPN」はこの項目へ転送されています。その他の用法については「VPN (曖昧さ回避)」をご覧ください。

Virtual private network（バーチャルプライベートネットワーク、略称：VPN）、仮想プライベートネットワークは、大規模ネットワークのスケールメリットと管理設備を利用するために、パブリックネットワーク内に構成されるプライベートネットワークである^[1]。また、インターネット（本来は公衆網である）に跨って、プライベートネットワークを拡張する技術、およびそのネットワークでもある。仮想専用線^[2]、仮想私設通信網^[3]と表記されることもある。VPNによって、イントラネットなどの私的ネットワークが、本来公的なネットワークであるインターネットに跨って、まるで各プライベートネットワーク間が専用線で接続されているかのような、機能的、セキュリティ的（盗聴・改ざん・なりすましの防止）、管理上のポリシーの恩恵などが、管理者や利用者に対し実現される。

VPN接続の概略図

VPNは2つの拠点間に、仮想的に「直接的な接続」を構築することで実現できる。専用線ではなくインターネットを経由しながら機密性を保つため、IPベースの通信の上に、専用の接続方法や暗号化を乗せている。VPNは以下のIP-VPNとインターネットVPNの2つに大別される。

IP-VPNは、広がりの小さい多数の加入者で帯域共用する閉域網を利用し、そのような接続を実現する技術、もしくは電気通信事業者のサービス。PPVPN（Provider Provisioned Virtual Private Networks）と呼ぶこともある。

インターネットVPNは、IP-VPN網とは違い、誰でもアクセスできるインターネット網で仮想専用線通信をする技術である。さらにインターネットVPNは、「サイト間VPN」と「リモートアクセスVPN（クライアントVPNともいう）」に大別される。

概要

VPNは、インターネットや多人数が利用する閉域網を介して、暗号化やトラフィック制御技術により、プライベートネットワーク間が、あたかも専用線接続されているかのような^{[注 1]}状況を実現するものである。

VPNは必ずしも暗号化を目的としていない。VPNで利用されるプロトコルには、SSH/TLS（SSL）/IPsec/PPTP/L2TP/L2F/MPLSなどの種類があり、利用するプロトコルやオプションによって提供される機能は異なる。

またもともとは、グローバルなインターネットを介するものであったが、近年の電気通信インフラの形態の傾向などから、IP網（特にIPv6網のことが多い）ではあるが、通信キャリアの閉域網内から外に出ないで実現されているVPNも運用されるようになってきている。

またトンネリングの形態として、IPパケットを融通する、いわゆる「レイヤ3」で実現する方法と、イーサネットのフレーム等を融通する、いわゆる「レイヤ2」で実現する方法がある。またそれぞれで、接続の両端点となっている両拠点のそれぞれのノードが「同一のノードに見える」のか、別のノードになるのか、といった違いがある。

レイヤ3かレイヤ2かの違いは、それぞれで可能なことと不可能なことがあり、運用上の要件などから、どちらを採用するか決定する。

種類

インターネットVPN

IPsecやPPTP、SoftEtherなどを利用することで、インターネットを介した複数の拠点間で暗号化データをカプセリング・トンネリングし通信を行い、通信データの改竄・窃用^{[注 2]}を抑えながら通信を行うことが可能となる。

用途による分類

• LAN型VPN - 複数の拠点のLAN（ローカルエリアネットワーク）を、インターネットを介して仮想的に接続し、あたかも1つのLANのように扱えるようにする方法。サイト間VPN、site-to-site VPNともいう。
• リモートアクセスVPN - 個々のノートPCやスマートフォンなどにインストールしたVPNクライアントソフト（VPNサービスプロバイダ）を利用し、拠点のLANに接続する。

プロトコル

インターネットVPNで使われる主な接続方法は、通信のルールを定めたプロトコルによって分類され、代表的なものに IPsec-VPN と TLS/SSL-VPN がある。プロトコルには以下の通り。

• IPsec-VPN : IPパケット単位で暗号化と認証を行う「IPsec」を利用したVPN。認証機能を提供するAHや、暗号化と認証の両方を提供するESPといったプロトコルを使い分け、IKEによって暗号鍵の交換を自動で行うことで安全な通信路を確立する。通信モードの一つであるトンネルモードでは、元のIPヘッダーを含めたパケット全体を暗号化し、新たなIPヘッダーを付与してカプセル化するため、主に拠点間接続で利用される。
  →詳細は「IPsec」を参照
• TLS/SSL-VPN: Webブラウザに標準搭載されている「TLS/SSL」を利用したVPN。専用クライアントソフトが不要な場合が多く、標準ポート（443/tcp）を使用するためファイアウォールを通過しやすいという便利さを持つ。Webアプリケーションへのアクセスを中継するリバースプロキシ方式のほか、より多様な通信を可能にするためデータリンク層（L2）のフレームを転送するL2フォワーディング方式などがある。これらの特徴から、主にリモートアクセスVPNで広く利用されている。
  →詳細は「Transport Layer Security」を参照
• L2TP/IPsec: L2TPというプロトコルを、暗号化に強いIPsecと組み合わせて安全性を高めたもの方式。PAPやCHAPによる接続時の利用者認証を行う。多くのOSでサポートされており。リモートアクセスVPNによく使用される。
  →詳細は「Layer 2 Tunneling Protocol」を参照
• OpenVPN: オープンソースで開発されているVPNプロトコル。安全性が高く、柔軟な設定が可能ですが、利用するには専用のソフトウェアが必要。
• PPTP: 古くからあるプロトコルで、多くのOSで標準サポートされているが、現在ではセキュリティの脆弱性が指摘されており、利用は推奨されていない。

インターネットVPNのメリット

• 通信回線のコストを抑えることが可能。インターネット接続さえあればVPNを終端できる装置やソフトウェアを導入することで、インターネットサービスプロバイダ (ISP)など電気通信事業者から提供される閉域網を介さず、自前でVPN網を構築することも可能である。
• リモート型VPNの場合、出先からでもダイヤルアップ接続や公衆無線LANなど何らかの形でインターネットへのアクセスが可能であれば、拠点のLANへアクセスすることが可能となる。

インターネットVPNのデメリット

• クライアントのアクセス数の増減で機器のパフォーマンスが求められるため、利用スケールにあわせた機器の選択が重要である。
• 実効通信速度や安定性は、利用しているインターネット網に依存するため場合によっては不安定となる。
• 暗号化を施しているとは言え、グローバルなインターネット経由である為、SSLなどの暗号の強度を除いて通信の安全性を担保するものがない。

エントリーVPN

エントリーVPNは、拠点から通信事業者のネットワークに接続するまでの「アクセス回線」に、光回線（フレッツなど）のような安価なブロードバンド回線を利用し、その先の事業者ネットワーク内では、インターネットとは完全に切り離された閉域網を使って拠点間を接続する（IP-VPNなどと同じ）。ほかの専用の閉域網によるVPNとは違い、アクセス回線はインターネット回線を使うのが特徴である。

主に中小企業やSOHO向けに提供されるもので、手軽に導入できるよう、必要な機器のレンタルや設定サポートがパッケージ化されているのが特徴である。多くの場合、機能や同時に接続できる拠点数、通信帯域などが制限されている代わりに、低コストで利用できる。

IP-VPN

通信事業者が提供する閉域IP網を利用したVPN。ISPの閉域網（=外部公開されていない通信網）を利用することでの安全性は確保される。

IP-VPN網中のルータをプロバイダルーター（PR）、通信事業者側に設置されるルータをプロバイダエッジルータ(PER)、利用者側に設置されるルータをカスタマエッジルータ(CER)と呼ばれる。網内ではMPLS (Multi-Protocol Label Switching) というプロトコルが用いられる。IPパケットに「ラベル」と呼ばれる短い固定長の識別子を付与し、そのラベル情報に基づいて高速な転送を行う。これにより、利用者はグローバルIPアドレスを必要とせず、他の利用者とプライベートIPアドレスが重複しても問題なく運用できる。

通信事業者の閉域網内で通信が完結するため、通信速度や信頼性といった品質が保証される利点がある。VPNに関しての機器の導入・管理をユーザ側で行う必要が無いため、導入や運用保守が容易な点も、IP-VPNの特徴の一つである。利用する際は、BGP対応のルータが推奨されるが、インターフェースさえ合わせればユーザの好みでルータを選択できる。一方、費用が比較的高額になるという欠点を持つ。また、IP以外のプロトコルの伝送が原則行えないといった特徴もある。

広域イーサネット（レイヤ2 VPN）

広域イーサネットはイーサネット（レイヤ2）通信が提供されており、利用するプロトコルがIP（レイヤ3）に依存しないため、LANと同じ感覚で利用可能である。拠点間接続VPNともいわれる。

これと比較して、レイヤ3パケットのトンネリング通信のみをサポートするVPN技術（IPsecやGRE等）を用いたVPNの場合は、あらかじめ利用するサービスやプロトコルを考慮しながらネットワークの構築が行われ、構築後のサービスやプロトコルの変更では、VPN機器の変更が必要となる。

レイヤ2（イーサネット）パケットのトンネリング通信やブリッジ接続などをサポートしているVPN技術を用いることにより、前述した広域イーサネットのメリットと同等のことを実現でき、インターネットVPNを用いて安価に構築することができる。代表例としてトンネルモードで運用するIPsec-VPN^[4]がある。

特に、仮想LANカードと仮想ハブおよび既存の物理的なLANをVPNプロトコルで接続し、その上でブリッジ接続する手法により、広域イーサネットと同様に、既存のスイッチングハブやレイヤ3スイッチが使用されているLAN同士をVPN接続することができる。遠隔地の拠点間でVoIPやテレビ会議システムなどを利用する場合も、同一のイーサネットセグメント上にある機器とみなすことができるので、より容易・確実に利用可能となるメリットがある。

さらに、LANに対してイーサネットのレイヤでリモートアクセスすることが可能になる。

専用通信回線との違い

専用通信回線は導入コスト及びランニングコストが高価であるが、接続性及び帯域がSLAによって保証されており、安定性を考えると専用線を選択する企業も多い。専用線ではアクセス回線に合わせ、ルータのインターフェースを選択するだけで対向間の接続が可能であるが、インターネットVPNの場合は、VPN対応のルータ及び専用機、専用クライアントソフトが必要である。

管理や運用保守に関してはVPNが不利であるが、回線コスト（ランニングコスト）や自由度でVPNが圧倒的に勝っているため、現在専用線からの移行（リプレース）が多く行われている。

モード

トランスポートモード

トランスポートモードではデータの暗号化を、クライアントが直接行う。すべての通信でデータは暗号化されているが、IPヘッダの暗号化は行われない。

すべてのクライアントにVPNソフトウェアをインストールする必要があるが、モバイル端末からのアクセスなどには利用しやすい。

トンネルモード

トンネルモードでは、暗号化処理を専用のゲートウェイ（VPNゲートウェイ）で行う。クライアントは、暗号化されていないデータに受信クライアントあてのIPヘッダを付与し、VPNゲートウェイへ送信する。VPNゲートウェイ間の通信では、データ及び受信クライアントあてのIPヘッダはカプセル化され、受信側VPNゲートウェイへのIPヘッダを付与して通信するため、拠点間通信でのIPヘッダの安全性を確保することができる。

拠点間通信でのみ利用可能となり、また、ローカルネットワーク内の通信は暗号化されない。

経路制御

トンネリング・プロトコルはPPPトポロジーに使用される。このトポロジーは一般にVPNと考えられてはいない。なぜなら、VPNはネットワークノードの任意なそして変化する集合をサポートすることが期待されているからである。ほとんどのルーターの実装がソフトウェアで定義されたトンネル・インターフェイスをサポートするので、顧客によって構築されたVPNは多くの場合単なるトンネルの集合によって構成され、従来のルーティングプロトコルはこれらのトンネルを通って走ることとなる。PPVPNはしかしながら複数のVPNの共存をサポートする必要がある。これらのVPNは同じサービスプロバイダによって運用されるが、お互いから隔離されている。

管理権限の立場的な関係

IETFが分類するVPNは様々なものがあるが、中にはVLANのように、例えばIEEE 802委員会、すなわちワークグループ802.1（アーキテクチャ）といった他の機構の標準化責任のものもある。当初は、Telecommunication Service Provider（TSP）が提供しているWANリンクが単一企業内のネットワークノード同士を相互に接続していた。LANの出現と同時に、企業が認めた連絡線を用いたネットワークノード同士が相互接続できるようになった。初期のWANは専用線やフレームリレーといったレイヤー2多重化サービス、ARPANET、インターネットなどのIPベースの第3層ネットワーク^[5]、軍事IPネットワーク（NIPRNet、SIPRNet、JWICS 他）を利用しているうちに一般的な相互接続メディアとなった。VPNはIPネットワーク上で定義され始めた。ノード間を相互接続するためには、管理の技術よりむしろ関係に基づいて様々なVPNを真っ先に見分けることが有用であった。いったん関係が定義されれば、違った技術がセキュリティやサービスの質といった要求に応じて用いられることがあった。

VPNで利用される技術・手法

• トンネリング
• カプセル化
• SSL-VPN
• 仮想ハブ
• 仮想LANカード
• ブリッジ接続

レイヤ2 VPN技術

• Point to Point Tunneling Protocol（PPTP）
• Layer 2 Tunneling Protocol（L2TP）
• OpenVPN（レイヤ3 IPルーティングも可能）
• PacketiX VPN（レイヤ3 IPルーティングも可能）
• SoftEther（レイヤ3 IPルーティングも可能）
• TinyVPN

レイヤ3 VPN技術

• Hamachi
• IPsec
• WireGuard

レイヤ4以上のVPN技術

• SSH

VPNサービスプロバイダ

以下はノーログポリシーを掲げ強固なセキュリティを提供するが、サービス継続には利用者の道徳的な利用が求められる。

• ExpressVPN
• Mozilla VPN - ウェブサイト上で「No logging of your network activity（→編集者訳: あなたのネットワーキングアクティビティを記録しません）」と言及^[6]
• NordVPN
• ProtonVPN - ウェブサイト上で「No-log policy」に言及^[7]。
• Riseup - ウェブサイト上で「Riseup does not log your IP address（→編集者訳: RiseupはIPアドレスをログに記録しません）」と言及^[8]。

脆弱性

VPNの規格のうちの一つのIPsecは、ハッキングするツールがNSAによって開発されている^[9]。