VPN(Virtual Private Network)は、データ通信を安全に行う技術です。データの収集、送受信、活用がビジネスに不可欠なものになり、さらにセキュリティが経営の重要課題になっている今、VPNを理解し、ビジネスに活用することは企業の競争力を左右する重要なポイントです。ここではVPN接続の基礎知識、VPN接続で可能になること、VPNの選び方などを解説します。
VPN(Virtual Private Network)接続とは?
VPNとは「Virtual Private Network」の略です。不特定多数のユーザーが利用するインターネット、あるいは通信事業者が主に法人向けに提供しているネットワーク(閉域IP網)の上に、仮想的な専用ネットワークを構築することをいいます。ビジネスに欠かせない高いセキュリティを維持した拠点間通信を専用線よりも安価なコストで柔軟に実現することができ、機密性や重要性の高いデータを安全にやりとりできます。
VPNの種類
VPNには、大きく分けて2種類あります。「インターネットVPN」と「閉域VPN」です。違いは、インターネットを利用するか、通信事業者の閉域IP網を利用するかです。
インターネットVPN
インターネットVPNは、インターネットを利用したVPNです。インターネットは、世界中の不特定多数の人が利用しています。そのため盗聴、改ざん、なりすましなど、さまざまなリスクがあります。その一方で接続環境さえあれば、いつでも、どこでも、誰でも、安価に利用できるというメリットがあります。インターネットVPNは対応機器を準備すれば利用可能です。インターネットが持つメリットを生かしつつ、安全な通信を実現します。 ただし、通信速度や通信品質は「ベストエフォート型」となるため、利用しているインターネット回線が何らかの理由で遅延すると、その影響を受けてしまいます。またインターネットを利用することから、閉域VPNと比べると安全性は劣ります。閉域VPN
閉域VPNは、通信事業者が所有・管理している閉域IP網を複数のユーザーで共有して、拠点間の接続を行います。かつて企業の拠点間通信には専用線などが使われていました。閉域VPNは、通信事業者が保有するネットワークを共有し、安全な通信を行う技術です。閉域IP網は、インターネットと異なりネットワークの管理者が明確なうえ、利用者は契約者に限られています。そのため、インターネットVPNよりも高いセキュリティを実現できます。また通信速度・通信品質などのクオリティが保証されたサービスもあります。閉域VPNと比較される広域イーサネット
また閉域VPNとよく比較される拠点間接続の方法として、広域イーサネットがあります。広域イーサネットは、企業の拠点のLANを通信事業者のイーサネット網につなぎます。ネットワークの標準規格であるOSI参照モデルでいえば、広域イーサネットはデータリンク層(レイヤー2:L2)で拠点を結びます。一方、インターネットVPN、閉域VPNは通信プロトコルにIP(インターネットプロトコル)を使い、ネットワーク層(レイヤー3:L3)で拠点を結びます。
広域イーサネットは、通信事業者のイーサネット網を複数のユーザーで共有するため、「共有」という点ではVPNと似ていますが、技術的な成り立ちが違い、弊社ではVPNと区別しています。
インターネットVPNの仕組みと特長
インターネットVPNは、不特定多数が利用するインターネット上で安全な通信を実現するために、「トンネリング」「カプセル化」「暗号化」「認証」などの仮想化技術とセキュリティの技術を使用します。例えるなら、インターネットのような誰もが利用できるネットワークの上に、専用の通路を作り(トンネリング)、データが分からないようカプセルで覆い(カプセル化)、万が一盗み見されたとしても第三者には読めないように(暗号化)、トンネルの出入口では厳しいチェック(認証)を行います。
本社と支社など、安全な通信を実現したい拠点にそれぞれ機器を設置したり、端末にVPNアプリケーションをインストールしたりすることでVPN接続を行い、安全な通信を実現します。
トンネリング
トンネリングは、インターネットなどの公衆回線の上に仮想の専用線を構築することをいいます。インターネットをそのまま利用するよりも安全な通信を行うことができます。カプセル化
カプセル化は、トンネルを使ってデータを送る際に、データをVPN専用のカプセルに入れて送るようなイメージです。通常、インターネットを使って送られるデータは、データそのもの(内容)と宛先情報でできています。宛先情報を含めて、VPN専用のカプセルに入れることで、安全性を高めるとともに、トンネルを使ってデータをやりとりできるようになります。暗号化
さらに万一、第三者がトンネルに入り、カプセルの中身を見ても、内容を読み取ることができないようにする技術が暗号化です。暗号化したデータは、送信者と受信者がお互いしか知らない「暗号キー」を使って、解読します。認証
認証とは、トンネルの利用者が正しいかどうかを確認することです。トンネルの入口では、正当な利用者かどうかを証明させる認証が行われます。 インターネットVPNの最大の特長は、閉域VPNよりも手軽にVPN接続を実現できることです。必要なものはVPNに対応したルータ。現在使っているルータが対応していれば、そのまま利用することもできます。VPN接続を低コストで実現したい企業、リモートワークの導入で社内システムへの安全な接続を実現したい企業などで広く利用されています。閉域VPNの仕組みと特長
閉域VPNは、通信事業者が所有・管理している閉域IP網をユーザーごとに分割してデータを送受信することで、安全な拠点間通信を実現します。閉域IP網は、いわば契約者だけに限られた、会員制のネットワークであり、不特定多数のユーザーがアクセスするインターネットVPNよりもセキュリティが高く、通信品質が安定していることが大きな特長です。また、モバイルからでもより安全な接続が可能、閉域IP網から各種のクラウドサービスやSaaSなどに安全に接続することができます。
インターネットVPNと比べると、安全性は担保されますが、その分コストは高くなります。
さらに閉域VPNは、IP-VPNとエントリーVPNの2つの種類に分けることできます。
IP-VPN
IP-VPNはMPLS※を利用し、企業の拠点から通信事業者の閉域IP網までのアクセス回線に帯域確保型回線を利用するものです。帯域確保型回線を使用するため、安定した通信を実現できます。※MPLS(Multi Protocol Label Switching): IP網ではIPアドレスを参照してデータ転送が行われますが、MPLSではそのネットワーク内だけで通じる短いデータである「ラベル」を付与し、ラベルを使って高速な転送を実現するうえに、ラベルを使って企業(ユーザー)ごとにネットワークを仮想的に分割し、高い安全性を実現しています。
エントリーVPN
エントリーVPNはIPsec※を利用し、閉域VPNのアクセス回線に専用線ではなく、光ブロードバンド回線を使用するものです。光ブロードバンド回線は、日本中に広く敷設されているため、企業の各拠点から通信事業者のアクセスポイントまでの接続に安価に利用することができます。そのため、エントリーVPNが普及し、エントリーVPNのことをIP-VPNと呼ぶこともあります。ただし、光ブロードバンド回線はそもそもインターネット接続用のため、ベストエフォート型となります。その意味では、インターネットVPNとIP-VPNの中間的なサービスともいえます。
※IPsec:IP通信を安全に行うためのプロトコル。従来は主にインターネットVPNに用いられ、前述したように認証や暗号化によってデータを保護し、安全な通信を実現しています。
広域イーサネットの仕組みと特長
広域イーサネットは前述したように、インターネットVPN、閉域VPNとは異なる仕組みを用いて安全な拠点間接続を実現します。本社と支社など、離れた場所にあるLANを通信事業者のイーサネット網を使って接続します。
専用線との違い
企業が安全なデータ通信に使う手段には、専用線もあります。専用線はその名前のとおり、本社と支社、支社と支社など、2つの拠点間を直接接続し、その企業専用のネットワークを構築します。インターネットVPNや閉域VPNとは異なり、回線を専有して使用できるため、他の手段に比べて、安全性は高くなります。ただし、専用線は契約する帯域に加えて、距離によってもコストが変わります。広帯域と安定性を求められる本社とデータセンター間、データセンターとクラウド間など業種を問わず利用されます。
一方、VPN接続では、セキュリティを確保しつつ専用線に比べて、コストを抑えることができます。また各拠点からインターネット、あるいは通信事業者のアクセスポイントまで接続すれば、その通信事業者が提供する全拠点を結ぶ通信網を構築することができます。
VPN接続で可能になること
ここまで、VPN接続の仕組みや種類、専用線との違いを見てきました。ここではVPN接続で可能になること、すなわちVPN接続のメリットを整理してみましょう。
まず、VPN接続の最大のメリットは、安全な通信を実現できることです。情報漏洩、ハッキングなど企業経営において今、セキュリティは重要な課題になっています。高い安全性を維持した通信は、ビジネスに欠かせない経営資源であり、ビジネスインフラといえます。
加えてVPN接続は複数拠点を結んだ通信網の構築が容易で、モバイル端末やリモート環境での使用も可能です。特に外出先からのモバイル端末を使った接続や、自宅やシェアオフィスなどオフィス以外のリモート環境からの安全な接続は、働く環境が大きく変化している今、必要不可欠な要件となっています。
厳しいビジネス環境を乗り切るために、VPN接続を利用することで、安全かつ低コストな通信を実現できます。
VPNの導入が有効なケース
具体的に、ビジネスの場面でVPN導入が有効なケースを考えてみましょう。
社外から社内ネットワークにアクセス
営業、セールスエンジニア、フィールドエンジニアなどがオフィス外でさまざまな業務を行い、社内ネットワークにアクセスする際に、VPN接続なら安全なアクセスを提供できます。拠点間には閉域VPNを利用し、社員が外出先からアクセスする際にはインターネットVPN(SSL-VPN※)を利用するなど、使用場面に応じて使い分けることも可能です。※SSL-VPN:Webブラウザにも使われている暗号化技術「SSL/TLS」を使ってトンネリングを行い、VPN接続を行う方式のことです。Webブラウザを使うため、多くの場合、専用ソフトウェアなどが不要となり、利便性は高くなりますが、IPsecを使用したVPNと比べると、安全性は劣ります。
多数の拠点を接続
本社と支社、さらには全国各地の営業所や店舗など、多数の拠点を結んだ安全な社内ネットワークを構築する際にVPNはきわめて有効です。安全な通信網を低コストで実現できます。クラウドへのアクセス
サーバ、ストレージ、データベースはもちろん、グループウェアやERPなどもSaaSとしてクラウドで提供され、クラウドの活用は当たり前のものになっています。オフィスや外出先などからクラウドにアクセスする際も、VPNなら安全なアクセスを確保できます。VPN導入の課題
安全な通信を実現するVPN。導入や利用には課題もあります。
通信の安定性(インターネットVPNの場合)
インターネットVPNは、時間帯や他のユーザーの利用状況によって通信速度に影響が出ることがあります。コストの最適化
VPNにはインターネットVPN、IP-VPN、エントリーVPN、と種類が複数あるうえ、使用する機器、提供メニューにもさまざまな種類があります。必要な通信帯域や機能を明確にしておかないと、コストがかさんでしまうことがあります。セキュリティ意識の向上は不可欠
VPNを導入したからといって、情報漏洩などのリスクがゼロになるわけではありません。安全な通信を維持するためには、複合的にセキュリティ対策を行う必要があります。運用コストを見誤らない
閉域VPNは通信事業者がサービスを提供していますが、インターネットVPNは対応機器を購入すれば、自前で構築でき、導入コストを抑えることが可能です。ただし、導入拠点が多数に及ぶ場合は、導入・設定に相応の手間がかかります。また機器のメンテナンスを確実に行い、トラブルには即座に対応しなければなりません。導入コストだけでなく、運用コストをしっかり見据えることが大切です。導入に困ったら?セキュア通信を実現する新サービスもご覧ください
VPNの選び方
VPNの仕組み、メリット・デメリットを理解したうえで、自社に必要なVPNはどのように選べばよいのか。具体的な項目を見ていきましょう。
導入目的を明確にする
まず、何を目的としてVPNを導入するのか。ここを明確にしておくことが重要です。VPNに限らず、新しくサービスを導入する際、豊富なメニューや多くの選択肢が並ぶと、判断基準がぶれてしまうことがあります。コストと求めるセキュリティのバランス、利用頻度、必要となる通信帯域など、常に導入目的を念頭に置いて、判断していきます。導入目的/要件により選ぶべきVPN・料金は大きく変わる
利用規模(利用する拠点数、社員数、端末数など)、通信速度、セキュリティ、対応デバイスをはじめ、以下の項目を検討していきます。
・導入目的
・既存ネットワークの課題
・利用規模(ユーザー数、端末数、拠点数)
・ネットワーク構成(インターネットVPN、閉域VPN、広域イーサネット)
・通信速度
・セキュリティ
・対応デバイス(PC、スマホ、OA機器、POSレジ等)
・通信やシステムの種類
・冗長構成有無
・保守・監視要件 など
ビジネスの進化・変革を支えるVPN
VPNは、安全な通信を実現するためのイノベーションとして登場しました。
今ではIT化の進展やDX(デジタルトランスフォーメーション)、さらには働き方改革やリモートワークの普及といった仕事環境の変化を支える重要な要素となっています。また強力かつ柔軟なネットワークは、厳しい経営環境を勝ち抜くには不可欠です。
アルテリア・ネットワークスは、インターネットVPN、閉域VPNともにさまざまなサービスを取り揃えています。
NFV(Network Functions Virtualization)技術を活用したクラウド型ネットワークサービスの「VANILA」は、お客様がデータセンターやネットワーク機器などの物理的な設備に投資することなく、ミニマムスタートでセキュアな拠点間通信を利用できます。安全な通信の構築・設計に関しましては、お気軽にご相談ください。