VPN（仮想専用線）

📌

VPNとは

VPN（ブイピーエヌ＝Virtual Private Network、仮想専用線のこと）とは、インターネットのような誰でも使う回線の中に、自社専用のように安全な通り道を仮想的に作る技術のことです。

離れた拠点を結ぶには、本来なら専用線（自社だけが使える高品質な回線）を引くのが安全です。しかし専用線は料金が高くつきます。そこでVPNは、安価なインターネットを使いながら、通信を暗号化して「あたかも専用線のように安全に」使えるようにします。

身近な例で考えると、VPNは大勢が通る公道に、自分たちだけの中身が見えないトンネルを作るようなものです。道（インターネット）はみんなで共有していても、トンネルの中（VPN）を通る荷物は外から覗かれません。上の図解で、オレンジの雲（インターネット）の中を通る緑のトンネルがVPNにあたります。

📌

仕組み

VPNを支える中心的な技術がトンネリングです。これは、送りたいデータをもう1枚別のパケット（＝ネットワークで送る小さなデータの包みのこと）で包んでから送る仕組みで、外側から見ると中身が分からなくなります。

VPN通信は、おおまかに次の流れで行われます。
・暗号化：送るデータを、決められた鍵がないと読めない形に変換する
・カプセル化：暗号化したデータを新しいパケットで包み、相手のVPN装置宛てにする
・送出：そのままインターネット経由で相手のVPN装置へ送る
・復号：受け取った側が包みを開け、暗号を元のデータに戻す

さらに、通信相手が本物かどうかを確かめる認証と、データが途中で改ざんされていないか確かめる完全性チェックも行われます。これにより、盗聴・なりすまし・改ざんを防ぎながら、安全に拠点間をつなぐことができます。

📌

なぜVPNが必要なのか

企業が離れた拠点間で安全にデータをやり取りするには、本来専用線（自社だけが使う物理的な回線）を引くのが理想です。しかし専用線は工事費・月額費用とも非常に高く、すべての拠点に敷設するのは現実的ではありません。

そこで生まれたのがVPNです。VPNを使えば安価なインターネット回線を利用しながら、次の3つを同時に実現できます。
・盗聴の防止：通信内容を暗号化するため、途中で盗み見られても読めない
・なりすましの防止：接続時に相手が本物かどうかを認証する
・改ざんの防止：データが途中で書き換えられていないかを確認する

身近な例では、公道を走る現金輸送車のようなものです。道路（インターネット）は誰でも使えますが、装甲車（暗号化）と施錠（認証）のおかげで中身を奪われる心配がありません。VPNはこの「装甲」の役割をソフトウェアで実現しています。

📌

種類(IPsec/SSL-VPN)

VPNには、どの技術で暗号化トンネルを作るかによっていくつかの種類があります。代表的なのが次の2つです。

IPsec-VPN
・IPsec（IP通信そのものを暗号化する規格）を使う方式
・拠点と拠点を常時つなぐ用途に向いている（本社と支社のLANどうしを結ぶなど）
・両端に対応した専用のVPN装置・ソフトの設定が必要

SSL-VPN
・Webの暗号化に使うSSL/TLS（ブラウザの鍵マークでおなじみの暗号化技術）を使う方式
・Webブラウザがあれば使えるため、外出先の社員が社内システムへつなぐ「リモートアクセス」に向いている
・利用者側に特別な装置を用意しなくてよいので手軽

身近な例で考えると、IPsec-VPNは拠点間に常設する太いパイプ、SSL-VPNは個人がその都度開ける手軽な入口のようなものです。拠点どうしを常時結ぶならIPsec、社員が在宅勤務先から社内につなぐならSSL-VPN、と用途で使い分けます。

📌

IPsecとSSL-VPNの使い分け

VPNの2大方式であるIPsecとSSL-VPNは、使う場面（用途）が異なります。どちらを選ぶかは「拠点間を常時結びたいか」「個人が外出先からつなぎたいか」で決まります。

たとえば企業が本社と工場をVPNでつなぐ場合はIPsec-VPNが向いています。両拠点に専用装置（VPNルータ）を設置して一度設定すれば、あとは常時安全につながります。一方、社員が自宅からメールや社内システムにアクセスする場合はSSL-VPNが手軽です。Webブラウザを開いてURLを入力するだけで接続でき、個人の端末に特別なソフトを入れる必要がほとんどありません。