IT用語  ·  2020/06/02

テレワーク普及により、VPNで機密情報を守る

VPN(Virtual Private Network)とは?

 外出先などからインターネット経由で安全に社内へアクセスしたり、特定のビジネスパートナーに対して安全に情報を提供したりするニーズが高まっている。以前は、このようなニーズに対しては専用線か、Webベースでの暗号化接続を提供するSSL(Secure Sockets Layer)、メールの暗号化という方法が主に用いられた。

 しかし、サービスが多様化するにつれて、利用するアプリケーションを意識することなく通信を暗号化したいというニーズが高まってきた。そうした要求に対して最も有効なソリューションが、「Virtual Private Network(VPN)」です。

 では、VPNのイメージを解説しよう。

イメージ

 - VPNの種類――「インターネットVPN」と「IP-VPN」

 VPNは2種類のサービスに大別される。まず、一般的なインターネットのアクセス回線を利用するVPN接続は、「インターネットVPN」と呼ばれる。一方、一般的なインターネットのアクセス回線とは隔離された、通信事業者が独自に保有する閉じたネットワーク(閉域網)を利用するVPN接続は、「IP-VPN」と呼ばれる。

 インターネットVPNは安定性や信頼性よりもコストを重視している。一般的なインターネットは不特定多数の利用者が存在するため、トラフィック増大による通信の遅延や、通信途中でのデータ盗聴や改ざんのリスクが高い。

一方で、IP-VPNは閉域網を利用するため、トラフィック混雑時も一定の帯域が保障され、盗聴や改ざんのリスクが低いなど、コストよりも安定性や信頼性を重視している。

 どちらを選択するかは、安定性や信頼性と通信コストをトレードオフして決定する必要がある。

イメージ

例えていえば、専用の自動車

 本社から隣町の支店に機密文書を持っていくとしよう。電車やバスといった公共交通機関を利用する場合、見知らぬ他人と接触することは避けられない。機密文書が盗まれる可能性もあり、非常に危険である。このとき、公共交通機関を使って機密文書を運ぶことは、インターネットでデータをやりとりすることに相当する。

 では、機密文書(データ)を安全に届けるにはどうすればよいだろう?

 あまり現実的ではないが、専用の地下通路を設け、そこを移動するという方法が最も安全だ。この専用の地下通路がすなわち専用線である。だが、そのようなものを用意するには当然コストも掛かる。

イメージ

 つまり、インターネットでは盗聴や改ざんの危険があり、専用線は安全だが高価であるということだ。これらの問題を解決するのがVPNである。VPNは、オフィス間を専用の車で移動するようなものだ。一般道路を使ってはいるが、ほかの人と接触せずに機密文書を届けられるのである。

 このように、インターネット上の拠点間を専用線のように接続して、のぞき見や改ざんなどの不正アクセスを防ぎ、安全な通信を可能にする技術がVPNだ。パブリックネットワークを使って(仮想的に)プライベートネットワークを実現しようというのである。VPNを使えば、インターネットなどを経由しているにもかかわらず、あたかも同一ネットワーク上にいるかのような利便性と安全性が得られる。

 - インターネットVPN

 インターネットVPNの機能は大きく分けて二つある。一つは、「トンネリング(Tunneling)」と呼ばれる技術だ。

 トンネリングでは、パケットに新しいヘッダを付け加え、カプセル化(Encapsulation)して通信を行う。もちろん、ユーザーは、データを送る側も受け取る側も、トンネリングされていることを意識することはない。つまり、使用中のシステムを変更することなくそのまま利用できる。プライベートアドレスやマルチプロトコル通信を実現するインターネットVPNの最も重要な機能である。

もう一つは、「通信パケットを暗号化する機能」である。トンネリングだけではデータの内容は見えてしまう。トンネリングされたパケットの盗聴や改ざんなどを防止するために、パケットを暗号化して伝送するための仕組みが必要になる。

イメージ

 暗号化/復号には大きく分けて「秘密鍵暗号方式」と「公開鍵暗号方式」の2つの方法があり、インターネットVPNでは、これらの暗号化方式を組み合わせて使うのが一般的になっている。

 - IP-VPN

 IP-VPNでは、「MPLS(Multi Protocol Label Switching)」と呼ばれる技術が利用されている。MPLSは、パケットに「ラベル」と呼ばれる2種類のヘッダ情報を付与する。一つ目のラベルは転送経路を示し、二つ目のラベルでユーザーのネットワークを識別する。

 パケットを中継するルーターは通常、転送先情報を保有したルーティングテーブルを保持しており、パケットのヘッダ情報を基に最短の通信経路を選択する。しかし、MPLSでは、一つ目のラベルに転送経路が示されるため、ルーターは経路の選択という処理から解放され、高速大容量の通信が可能になる。

 また、二つ目のラベルにより、ユーザーごとに論理的に分割されたVPN網を構築し、暗号化に頼らないセキュリティを確保できる。

イメージ

- VPNの最大のメリットとは

 VPN以前は、外部から社内に安全にアクセスするには、専用線が用いられた。しかし専用線には、帯域を保証する一方、距離と回線速度によりコストが上がることや、1対1接続であるために複数箇所と接続する場合にコストが掛かってしまうというデメリットがあった。

 その点VPNは、インターネットや閉域網を使うことにより、コストはISPの利用料金やアクセス回線費用だけで済む上、距離に依存しない。 「コスト削減」と「1対多の接続が容易であること」がVPNの最大のメリットとなる。特に、国内での長距離通信や国際通信に専用線を利用している企業などは、インターネットや閉域網を利用したVPNに置き換えることでコスト削減が可能となる。

 VPNは、安全であるだけでなく、リーズナブルなセキュリティソリューションというわけだ。

イメージ