SPECIAL CONTENTS

特集 | ビジネスやITの最新動向/技術についてセキュリティ観点からレポート

VPNネットワークの活用術

この記事をシェア

VPN(バーチャル・プライベート・ネットワーク)は情報やプライバシーを保護する上で、とても重要な役割を果たしている。VPNがどういった形で機能するのかについて、2つの一般的な例で説明する。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

VPNネットワークの活用術

【トンネル化――データのカプセル化】

まず本題に入る前に、トンネル化のテクニックについて説明しておこう。はたしてVPNはどのように機能するのか、また、通信に際して本当のところ何が起こっているのか――この種の通信においては、暗号化されたネットワークプロトコルを使用することによって、送信されるデータがカプセル化され、通信ネットワークを駆け巡っているのである。こうした技術を「トンネル化」と呼ぶ。コンピューターネットワーク内部において暗号化を行うことにより通信トンネル(いわば「専用通路」)をつくり上げるものだ。

重要な情報は「PDU」(プロトコルデータユニット)を使って暗号化された状況で通信が行われる。そのため、通信に使用される仲介ノードは全てパケットによって相互にやりとりされる。しかし、カプセルから開封され復号された情報は、通信が終了した後にのみ利用可能になる。そこで「SSL」(セキュアソケットレイヤー)という最も一般的な暗号化プロトコルの1つを使って、通信を行う端末同士の間に「トンネル」を確立するのである。

ここで、VPNの中でも一般的なものを2点とりあげ、特にそれらの主な特徴を紹介しよう。

1 クライアントベースのVPN

これは、アプリケーション(=リモートアクセス用ソフトウェア)を通じてユーザーがリモートのネットワークに接続できるようにするタイプのものである。そのアプリケーションによって通信が開始され、VPNが確立される。安全な接続にアクセスするためにユーザーは、このアプリケーションを立ち上げてユーザー名とパスワードによる認証を確立する。こうして、暗号化されたチャネルがコンピューターとリモートのネットワークの間に作り出され、安全にデータを交換できるようになるのである。

この種のVPNを実装する際には、WindowsやMac、モバイルであればAndroidといったOSが、異なる規格を持っている別のネットワークとの暗号化経路を構成する機能を提供する。AppleやWindowsの機器をつなげる場合には「L2TP」(レイヤー2トンネリングプロトコル)や「PPTP」(ポイントトゥーポイントトンネリングプロトコル)、「SSTP」(セキュアソケットトンネリングプロトコル)といったものがある。

このようにクライアントベースのVPNのメカニズムはシンプルである。そのためユーザーは、コンピューターやモバイル機器をネットワーク上で、プライバシーに配慮しながら接続できる。そのため、社員が自宅やホテルなどから会社組織の秘匿情報へとアクセスする上での重要な選択肢となっているのである。

2 ネットワークベースのVPN

このアプローチは、安全ではないかもしれないネットワーク、例えばインターネットを通じて、異なるネットワークと相互に接続しようとする時に向いている。地理的に離れた本社のネットワークに接続を行い、情報を安全に共有しようとする企業に採用される方法でもある。さまざまなネットワークベースのVPNがあり、この中に「IPsec」トンネルも含まれる。

IPsecトンネルは最もシンプルなVPNの利用方法で、ほとんどのネットワークファイアウォールとルーターが使用している。トンネルを確立する(トンネル化)ことに特化されており、2つのネットワークの経路間でやりとりされるトラフィックは全て暗号化される。もちろんこれは、単一の機器のカプセル化にも用いられる。

この方法では、トンネルの2つの終端をはっきりとさせる必要がある。言い換えれば、暗号化された形での情報を各機器が圧縮したり展開したりする役目を果たすのである。加えてどのように認証(パスワードまたはユーザー認証)を行うのか、どの種類のトラフィックがトンネル内を通過するのかを決める必要がある。

どういったトラフィックがVPNを通過して伝送するのか決めるためには、IPsecトンネル内に流通するトラフィックを制限するポリシーを利用する。アクセス制御リスト(ACL)はこうしたポリシーベースのVPNを確立するために使われる。

この接続が実施された際には、単一のトンネルが2拠点の間に、リソースへのアクセスを提供するために確立され、より制御しやすくなる。例えば、会社の特定の情報に対して、モバイルPCからのアクセスをさせるのに用いられたりする。

こうしたポリシーベースのIPsecトンネル以外に、ルートベースのIPsecトンネルもある。仮想接続として機能し、あらゆる種類のトラフィックの流入を許すものになる。

【通信の保護を行わない理由はどこにもない】

旅行中に、仕事に関連したネットワークへのアクセスを保護したいと思ったとき、また、公衆無線LAN(公共のWi-Fiネットワークなど)を使っている間やブラウザーのデータを保護したいと思ったときには、VPNを使うのは最良のオプションである[いずれの場合もそうであるが、通信の保護を行わない理由はどこにもないのである・・・・・・編集部注]。

自身のデータのプライバシーを保つために、数多くのVPNサービスが使える。無料のVPNを選択できたり、費用の安いものを使ったりもできる。もちろん他のサービスと同様に、無料の場合には個人情報やブラウザーのデータが収集される。

セキュリティソフトとこうした保護、そして、適切に設定されたファイアウォールと情報の慎重な取り扱いの習慣を実現していれば、情報の重要性に十分対応したセキュリティ水準に達することが可能となるだろう。

この記事をシェア

業務PCのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!