目次

VPNトンネルとは?

目次
エンタープライズブラウザ

VPNトンネルは、ネットワークデバイスとVPNサーバー間の安全で暗号化された接続であり、インターネット上のデータ転送を保護します。

VPNトンネルはプライベートな経路を作り、送信情報を傍受や不正アクセスから保護します。暗号化アルゴリズムは、輸送中にデータを読み取り不可能なコードに変換し、データが傍受された場合でも、アクセス不能で安全な状態を維持することを保証します。

 

VPNトンネリングの仕組み

インターネット上のセキュリティで保護されたネットワーク間のVPNトンネリングをルーターと矢印で示したディグラム。

VPNトンネリングは、ネットワーク(通常はインターネット)上で安全で暗号化された接続を作成します。この接続は、デバイスとVPNサーバー間のデータ転送に安全な通路を提供することから、「トンネル」と呼ばれています。

VPNトンネリングは、ユーザーのIPアドレスを隠し、データを暗号化します。これは、特にセキュリティで保護されていない公共のWi-Fiを使用する際の保護になります。暗号化プロセスは、封をした封筒を郵便で送ることに例えることができます。郵便局員が封筒を見たり扱ったりしても、誰かが開封しない限り、中身は非公開のままです。

VPNトンネリングには、VPN接続が切断された場合にインターネットトラフィックを停止させるキルスイッチなどのセーフガードが含まれています。これにより、ユーザーのパブリックIPアドレスが見えなくなり、安全なトンネルの完全性が維持されます。

トンネリングプロセスには、セキュリティとプライバシーを確保するためのいくつかのステップがあります:

1. VPN接続の開始

ユーザーはVPNサービスを選択し、選択したVPNサーバーにデバイスを接続する必要があります。

2. 暗号化トンネルの確立

ユーザーのデバイス上のVPNアプリケーションは、暗号化されたチャネルを生成します。この暗号化により、インターネットトラフィックがユーザーのインターネット接続を経由してVPNサーバーに移動する際に、不正アクセスから保護されます。

3. データの暗号化

トンネルを通じて送信されるデータは、特定のプロトコルを使って暗号化され、情報を「暗号文」として知られるコード化された形式に変換します。この暗号化されたデータは、適切な復号化キーがなければ誰にも解読できません。

4. VPNサーバーでの復号化

VPNサーバーは暗号化されたデータを受信し、鍵を使って復号化します。いったん暗号が解除されれば、データはインターネット上の目的地まで継続することができます。

5. ユーザー端末へのデータ返却

インターネットからユーザーに送り返されるデータも暗号化されたトンネルを通過するため、双方向のプライバシーとセキュリティが確保されます。

 

VPNトンネリングプロトコルの種類

VPNトンネリングプロトコル:PPTP、L2TP/IPsec、SSTP、OpenVPN、IKEv2/IPsec、WireGuard

ポイントツーポイントトンネリングプロトコル(PPTP)

PPTPは、ネットワークアクセスサーバーとインターネットを経由して、PPPとTCP/IP接続でPPTPサーバーに接続するクライアントによって描かれます。

PPTP は、インターネットを介したプライベートネットワークの構築を容易にし、安全なデータ転送を可能にします。このプロトコルはデータパケットをカプセル化します。セットアップが簡単なことも大きな利点で、最小限の設定しか必要としません。PPTPが提供する暗号化は、新しいプロトコルほど強力ではないため、セキュリティ侵害の影響を受けやすくなっています。

レイヤー2トンネリングプロトコル(L2TP)/IPSec

L2TPは、リモートユーザーのモデムがPPPでNAS/LACに接続し、L2TPでインターネットを経由してLNSに接続します。

L2TP/IPSecは2つのプロトコルの組み合わせです:L2TP でトンネルを作成しIPSec を使用してデータの暗号化と安全な通信を行います。

IPsecプロトコルは、インターネットを介してIPsecトンネルで接続された2台のルーターと、それぞれのルーターにリンクされたコンピュータによって実証されています。

このプロトコルは、さまざまなデバイスやオペレーティングシステムとの互換性が認められています。しかし、二重のセキュリティーは通信速度を低下させる可能性があります。また、固定ポートを使用するため、ファイアウォールによっては複雑な動作をすることがあります。

セキュアソケットトンネリングプロトコル(SSTP)

SSTPプロトコルは、VPNクライアントがSSL/TLSハンドシェイクとポート443経由のHTTPリクエストによってSSTPサーバーに接続することで表されます。

SSTP はSSL 3.0を使用し、トンネルを通過するデータの安全性を確保します。強固な暗号化機能で知られています。SSTPは固定ポートに依存しません。その結果、ファイアウォールをバイパスすることができるのが特徴です。このプロトコルの限界は、Windows以外のシステムをサポートしていないため、プラットフォームが排他的であることにあります。

オープンVPN

ホストA、仮想および実インターフェース、ネットワーク、ホストB間のデータフローを示すOpenVPNプロセス。

OpenVPNオープンソースのプロトコルで、強力な暗号化と複数のオペレーティングシステムで動作する機能を提供します。AES256ビットの暗号化を採用し、柔軟性とセキュリティの強さで高く評価されています。OpenVPNは大幅なカスタマイズが可能な反面、より複雑な設定手順が必要となりますが、これは設定ソフトウェアを使用することで軽減できます。

インターネット鍵交換バージョン2(IKEv2)/IPSec

イニシエータとレスポンダ間の交換プロセスを示すIKEv2の図。

IKEv2IPSecとの組み合わせにより、安全で効率的なVPNを実現します。ネットワークを切り替えてもVPN接続を迅速に再確立できるため、モバイルデバイスに適しています。iOSのような特定のプラットフォームでのネイティブサポートは、その魅力に拍車をかけていますが、非ネイティブプラットフォームではセットアップが複雑になる可能性があります。

ワイヤーガード

WireGuardプロトコルは、安全なVPNトンネルを通じてWireGuardサーバーに接続され、さらにウェブサイトのIPアドレスに接続された各種デバイスを示します。

ワイヤーガードは、ミニマルなデザインと高いパフォーマンスで高く評価されている最新の VPN プロトコルです。最先端の暗号化技術により、安全かつ高速です。WireGuardは軽量であるため実装や監査が容易であり、特にモバイルアプリケーションで人気が高まっています。

 

VPNスプリット・トンネリングとは?

VPNスプリットトンネリングを、直接接続とセキュアトンネル接続のパーセンテージで示した図。

VPNスプリット・トンネリングとは、一部のインターネット・トラフィックを安全なVPN経由でルーティングし、他のトラフィックはVPNをバイパスして直接インターネットにアクセスする機能です。この方法では、ネットワークトラフィックを2つのストリームに分割することができます。一方のストリームは暗号化されてVPNトンネルを経由し、もう一方はインターネットに接続されます。これは、プライベートネットワークとパブリックネットワークの両方のリソースへの同時アクセスが必要な場合に特に便利です。

スプリット・トンネリングの利点は、その効率性です。必要なトラフィックだけをVPNに通すことで、帯域幅を節約し、暗号化を必要としないアクティビティの速度を向上させることができます。例えば、従業員がVPNを通じて社内文書にアクセスしながら、VPNのセキュリティを必要としないローカルのインターネット接続を通じて直接音楽をストリーミングすることができます。

しかし、潜在的なリスクもあります。VPNを使用しないトラフィックは暗号化されていないため、データ傍受などの脅威にさらされる可能性があります。スプリット・トンネリングはネットワーク・パフォーマンスを最適化することができますが、最も必要とされる部分のセキュリティを維持するためには、慎重に実装する必要があります。この機能は、VPNサービスプロバイダーのサポートに依存し、異なるデバイスやオペレーティングシステムによって異なる場合があります。

 

VPNトンネルFAQ

VPNトンネルは、インターネット経由で送信されるビジネスデータを暗号化し、リモートユーザーや支店の企業リソースへの安全なアクセスを保証すると同時に、機密情報をサイバー脅威から保護します。
VPNにおいてトンネルとは、データが通過する安全で暗号化された経路を指します。経路は他のネットワークトラフィックから隔離され、リモートユーザーと企業ネットワーク間のセキュアな通信を促進します。
VPNでは、トンネリングは、第2のネットワークによって運ばれるパケット内にネットワークプロトコルをカプセル化することによって達成されます。暗号化されたデータは、インターネット上の安全なトンネルを通過します。これにより、公衆インターネットのような潜在的に安全でないネットワーク上で、ネットワークノード間のセキュアな接続が可能になります。
VPNで使用されるトンネリングプロトコルには、SSTP(Secure Socket Tunneling Protocol)、L2TP(Layer 2 Tunneling Protocol)、PPTP(Point-to-Point Tunneling Protocol)、OpenVPN、IPSec(Internet Protocol Security)などがあります。これらのプロトコルは、公衆ネットワークを介してネットワーク接続を確立し、維持することにより、データ転送をセキュリティで保護するように設計されています。
仮想プライベートネットワーク(VPN)は、インターネットを介したプライベートネットワークへの安全なアクセスを提供します。VPNトンネルとは、VPN内の特定の暗号化された接続のことで、デバイスとネットワークの間を移動するデータを保護します。
企業は、機密データを保護し、機密性を維持するために、ネットワークへのセキュアなリモートアクセスのためのVPNトンネルを必要としています。
VPNトンネルは、データ転送を保護するために暗号化プロトコルを使用しているため、データ侵害やサイバー脅威のリスクを軽減し、一般的に企業にとって安全です。ただし、セキュリティ・レベルは、VPNの構成とベスト・プラクティスの遵守に依存します。
企業向けのVPNトンネルには、主にリモートアクセスとサイト間VPNトンネルの2種類があり、それぞれ異なるネットワーク設定のニーズに対応しています。サイト・ツー・サイトではネットワーク全体が互いに接続され、リモートアクセスでは個々のユーザーがリモートでネットワークに接続できます。
2つの拠点間にVPNトンネルを作成するには、各拠点でVPNゲートウェイを使用して安全な接続を確立します。IPSecなどの互換性のあるトンネリングプロトコルでゲートウェイを構成し、共有暗号化と認証方法を設定します。トラフィックルールを定義し、サイト間の安全なデータフローを許可します。
VPNトンネルを設定するには、IPSecやOpenVPNなどのVPNプロトコルを選択し、両端にVPNサーバーとクライアントソフトウェアを設定し、認証と暗号化でセキュアな接続を確立し、トンネルを介してトラフィックを誘導するネットワークルーティングルールを設定します。互換性とセキュリティ対策が整っていることを確認します。
関連コンテンツ
リモートアクセスのためのVPN代替手段
セキュアなリモートアクセスのためのVPN代替手段は、VPN代替手段と呼ばれることもあり、セキュアなリモートアクセスを確保するために採用される従来の仮想プライベートネットワーク(VPN)以外の方法です。
GlobalProtect
GlobalProtectはVPN以上のものです。すべてのユーザーに柔軟で安全なリモートアクセスを提供します。
ネットワークとセキュリティに対するSASEのアプローチが、なぜ高度なセキュリティ対策に有効なのか?
SASEが現代のセキュリティ戦略の礎となるべく進化する中で、なぜセキュリティリーダーにとって最重要課題なのかを理解してください。
SASE CIO eBook:全社的なSASEによる仕事の未来の推進
計画と実装のためのCIOガイド

最新ニュース、イベント情報、脅威アラートを配信