こんにちは、サイト管理人のまつみんです。
我々のIT業界で普通であっても、お客様にとってはさっぱり意味がわからない事がたくさんあります。そのギャップを埋めるのが GeekTech特集です。今回はInternet VPN (Internet Virtual Private Network)を解説します。
メモ: 技術に詳しい方へ
この記事では、Internet VPNについて解説しています。通信キャリアの専用線の利用によるMPLSや広域イーサネットなどのVPN技術は含まれません。ちなみにIP化される前のレガシー通信手順の話題で盛り上がるのは好きです。
VPNとは?
今ではインターネットは世界中の国々で子供からお年寄り、あらゆる機械までもが利用する通信プラットフォームですが、悪意のある第3者に通信を傍受・盗聴されたりするリスクも存在します。特に企業ではオフィス間での通信を安全に行えることが求められますよね。
VPNはオフィスの拠点間またはユーザーとの間に暗号化された仮想のトンネルを展開し、第3者の通信の傍受・盗聴を回避するという技術です。
VPNの利用方式
1.Site to Site VPN
サイト間VPN (site to site VPN)は、その名のとおりオフィス同士をVPNで接続することでユーザーはVPNを意識することなく安全に通信を行う方式のことです。接続の形態としては常時接続で企業では最も一般的なセットアップになります。サイト間VPNを担う機器は、ルーターもしくはファイアーウォールで行うのが最も一般的です。
2.Remote Access VPN
リモートアクセスVPNは、パソコンやスマートデバイス(Smartphone, Tablet) からオフィスに接続する際に利用されます。安全に外部から企業のネットワークに接続するために利用されます。近頃ではモバイルアプリ単位でバックグラウンドでVPNを自動展開するケースもあります。
VPNトポロジー
次はVPNトポロジーについて解説します。トポロジーとはVPNの経路設計で出てくるお話です。ただし、2サイト以上の拠点とVPNをする際に考慮されるお話で、2サイトの場合はトポロジーは関係ありません。
Hub and Spoke(ハブ・スポーク型)
総合的に広く利用されているトポロジーだとおもいます。HUBと呼ばれる拠点(多くは本社またはデータセンター)に全ての拠点がVPNトンネルを張る形式で、拠点間の通信はHUBを経由して行われます。他の形式に比べて管理が容易です。一方でシステム要件が最適化されていない場合、HUB側でボトルネックや遅延が発生してしまう事があります。
Full Mesh / Star (フルメッシュ・スター型)
フルメッシュ・スター型は、各拠点でお互いに直接VPNトンネルを張る方式です。メリットはHUB拠点を介さないため、ダイレクトで低遅延の通信を実現します。デメリットとしては、運用が複雑になる傾向がありますが、近年のネットワーク仮想化(SDN)の流れで脚光を浴びていることもあり、今後どうなるか楽しみです。
スプリットトンネル(近頃はローカルブレイクアウトとも呼ぶ)
VPNトンネルに流すトラフィックを分岐(Split)することを意味します。たとえば、本社のシステムへの通信はVPNトンネルを経由させるが、一般的なWebブラウジング、メール、Web会議などは直接拠点からインターネットに出す。ということができます。メリットはボトルネックが発生しづらいこと。デメリットは通信が分散する運用のため、モニタリング面では工数がかかる傾向があります。最近ではアプリケーションファイアーウォールなどのサービスの登場により、アプリ単位(office365, G suite, Dropbox, Zoomなど)でスプリットトンネルを行うトレンドが生まれました。このことをローカルブレイクアウトと呼びます。
余談:非スプリットトンネル(スプリットしない)は、ノン・スプリットトンネルと呼ばれます。
トンネリング手順(IPsec, L2TP, SSL-VPN, PPTP, SSTP)
VPNトンネルは目的は同じでも接続手順(種類)が違う場合があります。中には簡単に解読されてしまう危険なものもあります。ここでは市場で代表的なトンネリング手順について解説します。
IPsec
世の中のVPNの基本はIPsecと言っても過言ではないでしょう。デファクトで採用されるプロトコルであり、世の中のネットワーク機器でIPsecに対応していない機器は無いとおもいます。IP(Layer3)を採用して経路を制御するため、サイト毎にユニークなネットワークアドレス(IPアドレス空間)を保持する必要があります。
L2TP
こちらは、L2(Layer2)を採用したトンネリングプロトコルです。IPsecの横で地味な印象がありますが、企業向けクラウドサービスの普及に伴い確実に存在感を増しているプロトコルです。特徴としては異なるサイト間で同じネットワークアドレスを共有できる点です。これによりシステム環境を変えることなく簡単にシステムを移動(高可用性・BCP/DR・災害対策などに有効)できます。L2TPは奥が深く、IPsec+L2TPという方式もありますので、導入は専門家に相談しましょう。
SSL-VPN
その名のとおり、SSL(HTTPS/443)を採用したトンネリング手順です。汎用的なポートを利用することから、インターネットとの親和性が高い(空港・ホテル・カフェなど公共の施設からつながりやすい)接続手順です。リモートアクセスVPNでは最も一般的な方式だとおもいます。
PPTP
いまこの方式をお使いの方は、いますぐ切り替えを行うことをおすすめします。現在では簡単に暗号化された通信を復号化(解読)できるため、安全ではありません。
SSTP
マイクロソフトが公開した接続手順で、汎用的な443ポート(HTTPS)を利用することからインターネットとの親和性が高い(空港・ホテル・カフェなど公共の場所からつながりやすい)接続手順です。当然ですがWindowsOSには組み込まれていますので、インストールの手間も省けます。一方でSSTPをサポートしているネットワーク機器は限定的なので注意が必要です。なお、弊社IIJの国産ルーター(Seil)は、SSTPをサポートしております!
まとめ
いかがでしたでしょうか? 弊社はインターネットベースの技術でITサービスを展開することを得意とする会社です。私たちは最新の「つながる」技術をご提案します。お電話による無料相談はこちらのWebフォームからお問い合わせください。