第10回 仮想的に専用線環境を実現するVPNの常識：知ってるつもり？「セキュリティの常識」を再確認（2/5 ページ）

[宮崎輝樹（三井物産セキュアディレクション），ITmedia]

　それでは、これらVPNはどのような技術で実現されているのだろうか？　VPN技術には、IPsec、SSL-VPN、PPTP/L2TPなど多くの種類があるが、共通的な要素技術として、「カプセル化」「暗号化」「認証」の3つが挙げられる。

　例えば、本社のネットワークと、支店のネットワークをインターネット上に構築したVPNで接続することを考えてみよう。一般的に本社や支店のネットワークは、プライベートIPアドレスを使用して構築されている。しかし、プライベートIPアドレスは、インターネット上で使用することができない。そこで、支店のPCから本社のサーバに送られるパケットを、支店のVPNゲートウェイにて、インターネット上で通信できるパケットに包み、本社のVPNゲートウェイに転送する。そして、本社のVPNゲートウェイでは、元のパケットを取り出し、社内ネットワーク上のサーバに届ける（図2）。このように、あるパケットを別のパケットで包むことで、異なるネットワーク上で通信を可能とすることを「カプセル化」と呼ぶ。

図2■VPNでは送信するパケットを別のパケットで「カプセル化」して転送を行う

　ところで、インターネットなどの上でカプセル化したデータを送受信した場合、カプセル化したパケットの中身を、途中で誰かに盗聴や改ざんされる恐れがある。そこで、インターネット上でVPNを実現する場合には、「暗号化」が必要となる。ただし、途中で第三者に盗聴・改ざんされる恐れがない場合には、暗号化を利用しない場合もある。

　また、本社のVPNゲートウェイが、第三者とVPNで接続された場合、第三者に社内ネットワークへの侵入されてしまう。そこで、VPNを構築する場合には、VPNを構築するそれぞれのノード間で認証を行う。ただし、通信事業者が提供するVPNサービスでは、ユーザー側で認証を行う必要がない場合が多い。

VPNの種類

　VPNを実現する方法を大きく分けると、通信事業者のVPNサービスを利用する方法と、ユーザー自身がVPN装置などを使用してインターネット上にVPNを構築する方法の2つに大別できるが、先ほど説明したカプセル化を行うレイヤの違いによって、利用するVPN技術やVPNサービスが異なってくる（図3）。

図3■TCP/IPの階層構造とVPN技術／サービスの種類

　カプセル化を行うレイヤが異なれば、その上で利用できるプロトコルの種類も異なる。例えば、IPsecでは、利用できるプロトコルはIP上で動作するTCPやUDPに限定されるが、広域イーサネットなででは、IPだけではなくIPXやAppleTalk、NetBEUIなど、幅広いプロトコルを利用することができる。つまり、各VPN技術やVPNサービスは、それぞれ適用できる用途、向いている用途が異なってくることになる（図4）。

図4■用途とVPN技術／サービス

　ここでは、以下の主要なVPNサービス／VPN技術について、それぞれの特徴や向いている用途について説明する。

＜VPNサービス＞

• IP-VPN
• 広域イーサネット

＜VPN技術＞

• IPsec
• SSL-VPN

IP-VPN