VPN の仕組み

主な Q&A

企業が VPN を使用する理由を教えてください。

VPN は、リモートユーザを企業のネットワークに安全に接続すると同時に接続速度を向上させるコスト効率の高い方法です。VPN を導入することにより、企業は高額な専用の WAN（ワイドエリアネットワーク）や長距離のリモートダイヤルリンクではなく、高帯域幅のサードパーティ インターネット アクセスを使用できます。

セキュアリモートアクセスについて教えてください。

セキュアリモートアクセスは、リモートユーザやリモートデバイスを企業のネットワークに安全に接続するための方法です。セキュアリモートアクセスには、VPN 技術が含まれます。これは、ユーザやデバイスに対して、リモートからネットワークに接続する前に、（「ポスチャ」とも呼ばれる）特定の要件を満たしていることを確認することにより認証を行う技術です。

VPN「トンネル」について教えてください。

「トンネル」は VPN が確立する暗号化された接続であり、仮想ネットワーク上のトラフィックをインターネット経由で安全に送信できるようにするものです。コンピュータやスマートフォンなどのデバイスからの VPN トラフィックは、VPN トンネルを通過するときに暗号化されます。

暗号化された VPN のタイプ

リモートアクセス VPN：コンピュータからネットワーク

リモートアクセス VPN は、ほぼすべてのデータ、音声、またはビデオアプリケーションを（「エンドポイント」やホストとも呼ばれる）リモートデバイスに拡張します。高度な VPN 技術により、エンドポイントがネットワークに接続する前に特定のポスチャを確実に満たすよう、エンドポイントでセキュリティチェックを実施できます。

SSL VPN と IPsec

セキュアソケットレイヤ（SSL）VPN と IP セキュリティ（IPsec）は、トンネルおよび認証技術です。企業は、導入要件に応じて SSL VPN、IPsec、またはその両方を使用してリモートアクセス VPN を導入できます。SSL VPN と IPsec は、VPN を通過するデータを不正アクセスから保護します。

このような VPN 技術の使用方法の詳細については、このページの「SSL VPN の主な利点」および「SSL VPN の一般的なリスク」セクションを参照してください。このような VPN 技術の使用方法の概要については、このページの「VPN トポロジのタイプ」セクションを参照してください。

サイト間 IPsec VPN：ネットワークからネットワーク

サイト間 IPsec VPN により、企業はネットワークリソースをブランチオフィス、ホームオフィス、およびビジネスパートナーサイトに拡張できます。サイト間 VPN は、距離があるのでサイト間で直接ネットワーク接続を使用するのが現実的ではない場合に使用されます。サイト間 VPN 接続を確立して維持するには、専用の機器が必要です。

SSL VPN の主な利点

最新の Web ブラウザに組み込まれている

SSL VPN 機能はすでに最新の Web ブラウザに組み込まれており、ユーザは任意のインターネット接続環境から Web ブラウザを起動してリモートアクセス VPN 接続を確立できます。SSL VPN テクノロジーを使用すれば、従業員の生産性を向上させるだけではなく、VPN クライアントソフトウェアとサポートのコストも削減できます。

ほとんどのユーザはクライアントソフトウェアをインストールする必要がない

SSL VPN は、SSL プロトコルとその後継プロトコルである Transport Layer Security（TLS）を使用して、リモートユーザと内部ネットワークリソース間のセキュアな接続を提供します。今では大部分の Web ブラウザが SSL/TLS を使用しているため、ユーザは通常、SSL VPN を使用するためにクライアントソフトウェアをインストールする必要がありません。そのため、SSL VPN は「クライアントレス VPN」、または「Web VPN」とも呼ばれます。

エンドユーザが柔軟に使用できる

SSL VPN は、使用するのも簡単です。IPsec VPN ベンダーによって実装や設定の要件が異なる場合もありますが、SSL VPN でユーザに求められるのは、最新の Web ブラウザを使用することだけです。ユーザは、オペレーティングシステムの制限を受けることなく、好きな Web サイトを選択することもできます。

SSL VPN の一般的なリスク

ユーザクレデンシャルに関連するリスク

VPN のセキュリティには、VPN 接続のリモートエンドでユーザとデバイスを認証するために使用される方法と同程度の強度しかありません。簡単な認証方法は、パスワードの「クラッキング」攻撃、盗聴、さらにはソーシャルエンジニアリング攻撃の対象になります。二要素認証は、企業のネットワークに対するセキュアリモートアクセスを提供する上での最低限の要件です。

リモートコンピュータからの脅威の拡散

リモートアクセスは、ネットワークセキュリティに対する主要な脅威媒体です。企業のセキュリティ要件を満たしていないリモートコンピュータは、ローカルネットワーク環境から内部ネットワークにワームやウイルスなどの感染を拡大させる可能性があります。このようなリスクを軽減するには、リモートコンピュータに最新のアンチウイルスソフトウェアをインストールしておく必要があります。

スプリットトンネリング

VPN トンネルのリモートエンドのデバイスが、すべてのネットワークトラフィックをまず VPN トンネルに経由させず、パブリックネットワークとプライベートネットワーク双方との間で同時にネットワークトラフィックを交換する場合に、スプリットトンネリングが発生します。その結果、共有ネットワーク上の攻撃者がリモートコンピュータに不正アクセスし、プライベートネットワークへのネットワークアクセスが可能になる場合があります。

VPN トポロジのタイプ

3 つの主要な VPN トポロジ

VPN トポロジでは、その VPN に属するピアとネットワーク、およびそれらの間の接続方法が指定されます。以下にトポロジの主要タイプ 3 つの概要を示します。

• ハブアンドスポーク
  この VPN トポロジでは、複数のリモートデバイス（スポーク）が 1 つの中央のデバイス（ハブ）と安全に通信します。ハブと各スポークとの間には、セキュアなトンネルが個別に設定されます。
• ポイントツーポイント
  このトポロジを確立するには、相互に直接通信するピアデバイスとして 2 つのエンドポイントを指定する必要があります。どちらのデバイスでも接続を開始できます。
• フルメッシュ
  複雑なネットワークでも正常に機能するこのトポロジでは、ネットワークのすべてのデバイスが一意の IPsec トンネルを介して他のすべてのデバイスと通信できます。

暗黙的にサポートされるトポロジ

3 つの主要な VPN テクノロジーを組み合わせて、次のようなより複雑なトポロジを作成することもできます。

• 部分メッシュ
  このネットワークでは、一部のデバイスはフルメッシュトポロジに編成され、その他のデバイスは、一部のフルメッシュ構成デバイスとのハブアンドスポーク接続またはポイントツーポイント接続を形成します。
• 階層型ハブアンドスポーク
  このハブアンドスポークトポロジのネットワークでは、あるデバイスが 1 つ以上のトポロジでハブとして動作する一方で、他のトポロジではスポークとして動作できます。スポークグループから直近のハブへのトラフィックが許可されます。
• 結合ハブアンドスポーク
  接続して 1 つのポイントツーポイント トンネルを形成する、2 つのトポロジ（ハブアンドスポーク、ポイントツーポイント、またはフルメッシュ）の組み合わせです。

IPsec ポリシーの制約に注意

IPsec ポリシーにより、IPsec トンネル内のトラフィックのセキュリティを確保するために使用されるセキュリティプロトコルやアルゴリズムなど、サイト間 VPN の特性が定義されます。VPN トポロジを作成すると、組織は割り当てられた IPsec テクノロジーに応じて、そのトポロジに適用する IPsec ポリシーを設定できます。

すべての IPsec ポリシーをすべての VPN トポロジに適用できるわけではないということを覚えておいてください。適用されるポリシーは、VPN トポロジに割り当てられる IPsec テクノロジーによって異なります。また、VPN に割り当てられる IPsec テクノロジーもトポロジタイプによって異なります。