ICT用語ガイド
GUIDE 023 次世代VPN（Next Generation VPN）

パート1　VPNの欠点を補って進化した次世代VPN

1-1：次世代VPNとは何か?

VPNとはVirtual Private Networkの略で、仮想プライベートネットワークと呼ばれています。その名の通り、インターネットなどのオープンなネットワークを利用しながら、離れた拠点間で社内LANのようなネットワーク利用を可能にします。この時通信データは暗号化されるため、安全に通信が行えます。

今回紹介する次世代VPNとは、既存のVPNの問題点を改良し、利用ニーズに合わせてきめ細かく、そしてより柔軟で簡単に利用することができるようになった新しいVPNのことです。

VPNについて

次世代VPNを説明する前に、現在利用されているVPNについてあらためてみてみましょう。

インターネットが普及する前から企業は、「専用線接続」「ISDN」「フレームリレー」などさまざまな通信サービスにより離れた拠点間を結び、メインフレームやホストコンピュータによる業務システムやEDI※などを利用してきました。これらの通信サービスは高いセキュリティによる通信が可能でしたが、同時に高いコストがかかっていました。その後インターネットが普及し、さらに安価で高速なブロードバンドの普及、VPN技術の進歩、VPNサービスが安価に提供されるようになったことなどから、企業の拠点間通信や企業間通信には安全なVPNが利用されることが多くなりました。VPNにはリモートアクセスとLAN間接続があり、前者は企業内のリモート・アクセス・サーバに社外からダイヤルアップ接続などを利用して接続するもので、後者は本社と支店などサイト間を専用のVPN装置により接続するものです。

VPNはセキュリティが求められるさまざまな通信で利用されています。

・外出先、出張先からモバイルを利用した本社サーバへの接続
・部門内のセキュアネットワーク
・企業間取引におけるデータや情報交換
・製品の共同開発など企業間コラボレーション環境
・EDI、ECなど

※ EDI（Electronic Data Interchange）: 企業間で行う受発注や出荷入荷、決済などを電子的に交換する仕組み。

VPNの仕組み

企業の拠点間通信にVPNが利用されるのは、インターネットには盗聴や改ざんの危険性があることが大きな理由です。専用線を利用する場合は直接拠点間を接続するために第三者が盗聴することはあり得ず、安全に通信が行えますが、オープンなネットワークであるインターネットにおいては送信されたデータがどのようなルートを経由するのか分かりません。そのため、使用する通信プロトコルで異なる通信プロトコルをカプセル化して送信することでインターネット上に仮想的なトンネルを構築（トンネリング）し、サイト間でセキュアな通信を行います。トンネリングには、PPTP、L2TPなどデータリンク層をトンネリングするレイヤ２トンネリングと、IPSecなどネットワーク層をトンネリングするレイヤ3トンネリングがあります。レイヤ2トンネリングはSNA／IPX／Apple TalkなどIP以外のプロトコルに対応していますが、レイヤ3トンネリングはIP対応です。

企業で利用されるVPN

現在利用されているVPNの種類には、IP-VPN、広域Ethernet、インターネットVPNなどがあります。

1)IP-VPN: 通信事業者が提供するIP閉域網を利用して拠点間を接続するもので、QoSを始めとして通信事業者が提供するさまざまなサービスが利用できます。ネットワーク層（レイヤ３）での接続であるため、SNAやIPXなどIP以外のプロトコルは利用できず、それらのプロトコルを利用する場合はIPパケットでカプセル化を行う必要があります。
2)広域Ethernet: 通信事業者が提供するEthernet網を利用して、離れた拠点間をEthernetで接続するサービスです。社内LANに接続するように遠隔地と接続できます。データリンク層（レイヤ２）での接続であるため、IP以外のプロトコルが利用できます。
3)インターネットVPN: インターネットとIPSecを利用してVPNを構築します。安価なブロードバンド回線を利用できるため低コストでVPNが構築できますが、ベストエフォート型であるため帯域保証がされません。
4)SSL-VPN: 暗号化技術にSSL（Secure Sockets Layer）を利用したVPNです。多くのブラウザやメーラーでサポートされているため、特別なクライアントソフトウェアのインストールが不要で、すぐ利用できることが特徴です。リモートアクセスに向いているといわれています。

既存VPNが抱える問題

既存のVPNサービスは、VPNを構築する拠点間をVPNルータで接続します。拠点内PCなどの端末にはIPv4のプライベートアドレスが割り振られており、VPNを利用する場合は一旦グローバルアドレスに変換して送信し、受信側では受け取ったグローバルアドレスをプライベートアドレスに変換して接続を行います。すべての端末にグローバルアドレスを割り振ってしまえば、アドレスを変換する必要はないのですが、端末すべてがIPv4アドレスを持つためにはかなりのコストがかかるため現実的ではなく、プライベートアドレスとグローバルアドレスの変換を行うNAT（Network Address Translation）という方法を利用します。しかしNATではアプリケーションにより適切に通信できなかったり、リモートアクセスなどでは設定が難しいなどの問題があります。これらはすべて、IPv4のために起きる問題であると考えてもよいでしょう。

IPv6ならグローバルアドレスを安価に取得できるため、すべての端末にグローバルアドレスを割り振ることが可能です。さらに直接端末同士で通信することが可能なため、NATが不要となり、NATによって起きるトラブルや設定の手間などから開放されます。

1-2：次世代VPNの可能性

IPv6を利用した次世代VPN

IPv6を採用することで既存VPNの問題を解消すると共に、これまでサイト間接続しかできなかったVPN接続が、端末単位で可能になります。また、これまでのVPNは拠点間のセキュリティは保証するものの、拠点内でのセキュリティには対応していないため、社内でも同じ部門以外には知られたくない通信や、一部の担当者間でのみ行う通信は別途暗号化ソフトウェアなどを利用する必要がありました。しかし、IPSecを標準で利用できるIPv6に移行することで、社内LANをVPN化するのが容易なため、社内LANの他の端末からも盗聴されることのない環境を簡単に構築可能であり、すべての端末同士がセキュアなピア・ツー・ピアで通信を行うことができるようになります。

また、社外からモバイルなどでアクセスする場合でも、固有のIPv6アドレスとハードウェア・アドレスを基本情報にIDとパスワードを組み合わせ、データを暗号化することで、なりすましや情報の改ざんは事実上不可能になります。

エンド・ツー・エンドで機器管理が可能

セキュアな通信という観点で見ると、IPv6を利用したVPNはなにも企業間情報のやり取りだけに留まりません。IPv6により、PCだけでなくすべての機器にIPアドレスを割り振ることができ、インターネットを介して機器とのピア・ツー・ピアでの通信が可能となります。そのため、社内LANに接続されたプリンタや複写機などのオフィス機器だけでなく、照明、エレベータ、監視カメラ、空調設備、入退室管理システムなどのリモートでの監視メンテナンス、さらには、簡単に行くことのできない山間部に設置された機器の監視やメンテナンスなども可能になります。

同様に、家庭内の家電製品を外からコントロールすることも可能になります。この場合でも1対1での通信とセキュリティが大きなポイントとなるため、IPv6とIPSecを利用したセキュアな通信が欠かせないものとなるでしょう。

最新のオペレーティングシステムにはIPv6が標準搭載されるなど、次世代のセキュアなネットワークを利用する環境は整い始めています。次世代VPNサービスはネットワークの利用形態を変える可能性を持っているのです。

前のページへ