VPNプロトコルとは?基礎知識・種類ごとの特徴・ニーズに合わせた選び方を解説!
VPNプロトコルとはなにか?どれを選べばいいのか?わからない企業担当者は少なくないはず。
そんな方の疑問を解決するため、VPNプロトコルの基礎知識や、主なVPNプロトコルとその特徴を解説!VPN導入を検討している担当者の参考となるよう、ニーズごとに選びたい適切なVPNプロトコルも紹介していきます。
VPNプロトコルとはなにか
プロトコル(通信プロトコル)とは、コンピューター同士がデータ通信する際の方法・手順を定めた通信規格のこと。つまり「VPNプロトコル」とは、VPN接続する機器(拠点)同士がデータ通信する方法・手順を定めた通信規格のことです。VPN終端で接続される機器(ゲートウェイ / ルーター)は、すべて同じVPNプロトコルに揃える必要があります。
また、通信の方法・手順だけでなく、プロトコルはVPNを構築する方法にも大きく関係します。つまり、VPNプロトコルとはなにかを理解するには、VPNの仕組みを理解することが先決です。
VPN通信の仕組みをおさらい
VPNは、共用ネットワーク内に暗号化されたデータの通る仮想専用線(Virtual Private Network)を構築する技術、およびネットワークそのものです。仮想専用線という第三者から見えないトンネル、傍受されても解読が困難なデータ暗号化という2つの仕組みで、セキュアな通信環境を実現しています。
セキュアな通信環境という、VPNのキーとなる仕組み・技術は「認証」「暗号化」「トンネリング / カプセル化」です。
|
認証 |
送信者 / 受信者が承認されたユーザーであることを確認 |
|
暗号化 |
傍受されても解読できないようデータを暗号化 |
|
トンネリング / カプセル化 |
パケットに分割された暗号化データを、通信プロトコルで包み(カプセル化) データの通り道を作る(トンネリング) |
VPNプロトコルの役割・必要性
VPNプロトコルの役割は、VPNの仕組み・技術である「認証」「暗号化」「トンネリング / カプセル化」を実現すること。つまり、VPNプロトコルは「VPN接続になくてはならない」必要不可欠の要素です。
ただし、VPNプロトコルは1つだけではありません。認証 / トンネリングのみ可能なもの、トンネリングに加え、暗号化も可能なものなど、さまざまなVPNプロトコルが存在します。
VPNプロトコルの主な種類・特徴
それでは、「認証」「暗号化」「トンネリング / カプセル化」を担うVPNプロトコルには、どのような種類があり、それぞれどのような特徴があるのか。以下から、主要なVPNプロトコルとその特徴を簡単に紹介していきましょう。
IPsec
インターネットVPNで幅広く利用されているVPNプロトコルが「IPsec(Internet Protocol Security Architecture)」です。
コンピューターの通信機能を7つの階層に分類・定義した「OSI参照モデル」における「レイヤー3(ネットワーク層)」で通信することが特徴。このため、暗号化していない上層レイヤーも「IPsec」で保護できます。
|
OSI参照モデルで定義されたレイヤー |
概要 |
|
レイヤー7(アプリケーション層) |
HTTP / FTPなどの通信サービスを提供する |
|
レイヤー6(プレゼンテーション層) |
データの表現方法を提供する |
|
レイヤー5(セッション層) |
通信の開始〜終了までの手順を提供する |
|
レイヤー4(トランスポート層) |
ネットワークの終端から終端までの管理を提供する (エラー訂正、再送など) |
|
レイヤー3(ネットワーク層) |
ネットワーク内の通信経路(ルーティング)を提供する |
|
レイヤー2(データリンク層) |
コンピューターに接続されている 通信機器間の信号受け渡しを提供する |
|
レイヤー1(物理層) |
コンピューターの通信コネクタ |
IPsecプロトコルを利用してインターネットVPNを構築するには、拠点ごとにIPsec対応VPNルーターの設置が必要。IPsecでVPN接続を確立する手順は以下の通りです。
- VPNルーター間で認証(ユーザーの確認)
- データ通信経路(トンネル)となるSA(Security Association)をルーター間に確立(送信用 / 受信用の2本)
- データ暗号化 / 復号化用の暗号鍵生成
- データを暗号化し、分割されたパケットをカプセル化して送信
関連記事:VPNの暗号化技術、暗号鍵については、「VPNの暗号化技術|安全を確保する仕組み・VPNプロトコルごとの暗号化技術を解説!」をあわせてご覧ください。
IKEv2 / ESP
IPsecは「認証」「暗号化」「トンネリング / カプセル化」すべてに対応していますが、「暗号鍵管理」「暗号化 / カプセル化」には「IKEv2 / ESP」を利用します。
このうち、暗号鍵管理に利用されるのが「IKE(Internet Key Exchange)v2」です。具体的には「暗号鍵生成と受け渡し、期限切れ時の暗号鍵生成を含む暗号鍵管理」がIKEv2の役割。ルーター間での認証が済み次第、IKEv2によって暗号鍵が生成されます。暗号化する際のアルゴリズムは「AES」「3DES」などが利用されます。
一方、ESP(Encapsulated Security Payload)は、IPsecでVPN通信する際の「暗号化 / カプセル化」に利用されます。データを「AES」「3DES」などのアルゴリズムで暗号化したのち、分割されたデータをESPカプセルに包んで送信する仕組みです。
IPsec over L2TP(L2TP / IPsec)
IPsecと「L2TP(Layer2 Tunneling Protocol)v2」を併用したインターネット向けVPNプロトコルが「IPsec over L2TP」です。「L2TP / IPsec」と表記される場合もあります。
レイヤー2(データリンク層)で通信するL2TPは、IPsecと異なり、セッション(SAのルート)を2つ以上確立できることが特徴。反面、暗号化には対応していないため、インターネットVPNで利用することは危険です。一方、シングルセッションしか持てないIPsecでは、リモートアクセスに対応できません。
つまり、両者を併用することで、拠点間通信 / リモートアクセス双方に対応した安全な通信環境を構築可能。「IPsec over L2TP」は、L2TPの特徴を活かし、安全にインターネットで利用できるよう、IPsecの暗号化技術を組み合わせたVPNプロトコルなのです。
PPTP
PPTP(Point to Point Tunneling Protocol)は、マイクロソフトが開発したVPNプロトコルです。「認証」「暗号化」「トンネリング / カプセル化」すべてに対応するほか、複数セッションを確立できるため、拠点間通信 / リモートアクセスどちらにも対応可能。暗号化には「MPPE」、カプセル化には「GRE」を利用します。
開発元がマイクロソフトであるため、Windows PCを簡単にクライアント端末として利用できることがPPTPの特徴。多くの市販ルーターが対応しているVPNプロトコルではありますが、規格が古いため安全性は高くありません。近年では、あまり使われなくなったVPNプロトコルです。
IP over IP(IPIP)
「IP over IP」は、IPパケットをIPヘッダで包んでカプセル化し、通信経路(トンネル)を作るVPNプロトコルです。IP(インターネットプロトコル)を使って、レイヤー3(ネットワーク層)通信するのがIP over IPの特徴。「IPIP」と表記される場合もあります。
IP over IPが有効な場面は、互換性のない「IPv4」「IPv6」で構築された社内ネットワーク同士を接続したいとき。たとえば、IPv4パケットをIPv6ヘッダでカプセル化することで、拠点同士の互換性を確保できます。もちろん、IPv4同士、IPv6同士の通信も可能です。
ただし、IP over IPが対応するのは「認証」「トンネリング / カプセル化」のみ。暗号化には対応していないため、IPで通信してはいても、インターネットVPNでの利用は危険です。
L2TPv3
「L2TPv3」は、L2TPv2と同様、「認証」「トンネリング / カプセル化」に対応するトンネリングVPNプロトコルです。レイヤー2(データリンク層)で通信する点で、L2TPv2と共通していますが、両者に互換性はありません。イーサネットフレームをIPでカプセル化するのが、L2TPv3の特徴です。
インターネットVPNでL2TPv3を利用することはほとんどありませんが、IPsecと組み合わせた暗号化は可能。広域イーサネットVPNのリモートアクセス向けプロトコル「IPsec over L2TPv3」として利用されます。
※イーサネットフレームとは、イーサネット(LAN)で通信する際のデータフォーマット。MACフレームともいい、TCP / IP通信の「パケット」にあたる概念。
OpenVPNとは?
個人向けのプライベートVPNで採用されることの多い「OpenVPN」にも触れておきましょう。
OpenVPNとは、2020年に初版がリリースされた、オープンソースのVPNソフトウェアです。macOS / Windowsを含むクロスプラットフォームで動作し、主に中間サーバ(VPNサーバ)とのトンネリングを確立するために利用されます。
認証 / 暗号化をOpenSSLに任せることで、柔軟性の高いVPN環境を構築できる特徴がありますが、他のVPNと互換性はありません。市販ルーターへ実装されるケースもほとんどないため、法人向けの利用には向かないでしょう。
ニーズに応じた適切なVPNプロトコル
ここまでで、主要なVPNプロトコルとその特徴を解説してきました。しかし、暗号化に対応していないプロトコルはどう利用するのか?やりたいことに適したVPNプロトコルはどれなのか?疑問を感じている方も多いかもしれません。
そんな方の参考になるよう、ビジネスニーズに応じた適切なVPNプロトコルはなにか?以下から、パターン別に紹介していきます。
関連記事:VPNの種類、導入方法については、「VPNの導入方法|種類・仕組み・必要な機器・手順を含むVPNの基本を解説!」をあわせてご覧ください。
インターネットVPNの拠点間接続:IPsec
東京 / 大阪などの拠点間、あるいは3か所以上の複数拠点間を、VPNで安全かつ安価に接続したい場合、有力な選択肢となるのがインターネットVPN。候補となるVPNプロトコルは「IPsec」「IPsec over L2TP」の2つですが、リモートアクセスが不要なのであれば「IPsec」が最適です。
もともとIPsecは、オフィスLAN同士をインターネットで安全に接続するために登場したプロトコル。拠点間接続 / 通信でもっとも安全性が高いといわれており、シングルセッションのため設定がシンプルなメリットもあります。
インターネットVPNの拠点間接続 / リモートアクセス:IPsec over L2TP
拠点間接続だけでなく、リモートアクセスにも対応したインターネットVPNを導入したい、というパターンなら「IPsec over L2TP」です。マルチセッションに対応するL2TPの特徴を利用しながら、IPsecで暗号化/カプセル化するため、IPsecと同等の安全性を確保できるメリットがあります。
リモートアクセスに対応するVPNプロトコルには「PPTP」「SSL-VPN」もありますが、上述したように、安全面で不安のあるPPTPはほとんど使われていません。SSL-VPNは比較的安全ですが、証明書(サーバ)が必要。Webブラウザのみを保護するSSL-VPNサービスもあります。
閉域ネットワークVPN:IPIP / L2TPv3
それでは、暗号化に対応していない「IP over IP(IPIP)」「L2TPv3」は、どこで使われているのか。答えは、契約者のみが利用するため、データの暗号化を必要としない「閉域ネットワークVPN」です。
具体的には、IPパケットをIPヘッダでカプセル化する「IPIP」は、閉域IP網を利用する「IP-VPN」のVPNプロトコルとして。イーサネットフレームをIPでカプセル化する「L2TPv3」は、閉域イーサネット網を利用する「広域イーサネット」のVPNプロトコルとして活用されます。
主要VPNプロトコル比較
|
主要VPNプロトコル |
利用されるVPNの種類 |
安全レベル / 概要 |
|
IPsec |
インターネットVPNの拠点間接続 |
高い |
|
IPsec over L2TP |
インターネットVPNの拠点間接続 / リモートアクセス |
高い |
|
PPTP |
インターネットVPNの拠点間接続 / リモートアクセス |
低い |
|
IP over IP |
IP-VPN |
高い ※暗号化非対応だが、 閉域網で利用するため安全 |
|
L2TPv3 |
広域イーサネット |
高い ※暗号化非対応だが、 閉域網で利用するため安全 |
VPNプロトコルの基本・種類ごとの特徴を紹介しました
VPNプロトコルとはなにか?わからないという方の疑問を解決するため、VPNプロトコルの基礎知識や、主なVPNプロトコルとその特徴を解説。VPN導入を検討している担当者の参考となるよう、ニーズごとに選びたい適切なVPNプロトコルも紹介してきました。
本記事で紹介した以外にも、VPNで利用されるさまざまなプロトコルが存在します。しかし、導入するVPNの種類に応じて、適切なVPNプロトコルは絞られてくることも事実。VPNプロトコルを気にするよりも、まずはVPNが自社課題の解決に役立つのか?有効ならば、どのVPNを選ぶべきか?考えることが重要です。
