VPNとは,共有ネットワーク上にプライベートネットワークを構築すること,またはそのための技術です。仮想的な専用線のように利用できることから,Virtual(仮想的)なPrivate Network(専用線)と呼ばれます。
最近では,インターネットを専用線のように利用する技術として,VPNが注目されています。
通信相手との間に仮想的なトンネルをつくることにより(トンネリング),本来ならインターネットを経由できないプライベートアドレスの通信,TCP/IP以外の通信が可能になります(ただしIPsecを使用する場合はTCP/IPのみとなります)。
しかしながら,トンネリングだけではデータの内容は見えてしまいます。
データの内容が見えてしまうと,以下のような危険が起こります。
|
・ |
盗聴
データの中身を盗み見られること |
・ |
改竄(かいざん)
データの中身を書きかえること |
・ |
なりすまし
第三者が他人の名前を語り,その人になりすまして情報を送ること |
具体的には,クラッカーによる企業システムの破壊や競合会社による企業秘密情報の不正利用,プライベート情報の流出などが考えられます。
このような理由から,セキュリティを確保するためには,さらに暗号化が必須となります。
暗号化とは,情報をやり取りする時に,第三者の「盗聴」,「改竄(かいざん)」等を不可能にするために用いられる手法のことで,この暗号化手法と暗号を復号するための鍵により,そのルールに基づき暗号化し,受け取った側が同じルールに基づき復号化します。
例えば,ある例文「INFONET MUCHO」ということばを,「アルファベットの文字を5文字ずつずらす」という手法で暗号化します。
すると,
|
I
N
F
O
N
E
T
M
U
C
H
O |
→
→
→
→
→
→
→
→
→
→
→
→ |
jklm
opqr
ghij
pqrs
opqr
fghi
uvwx
nopq
vwxy
defg
ijkl
pqrs |
→
→
→
→
→
→
→
→
→
→
→
→ |
N
S
K
T
S
J
Y
R
Z
H
M
T |
で,「NSKTSJY RZHMT」という英文が作成されます。
この時,
* 暗号化方式;「アルファベットの文字をxずらす」
* 鍵;「5」
というルールに基づき暗号化が行われたことになります。受け取った相手は同じルールで復号をしないとこの英文を読むことはできません。これが『暗号化』です。
このようにトンネリング+暗号化で通信を行えば,たとえインターネットを用いたとしてもあたかも直結したネットワークで通信しているかのようになります。
では実際にどのようなしくみでVPNは動いているのでしょうか。 VPNではデータをトンネリングして送信しますが,その方法として3つの例があげられます。
(a)トンネリングのみ
(b)トンネリング+暗号化
(c)データのみ暗号化
(a)のトンネリングのみの場合,端末Aが端末Bに送信したデータをVPN装置XがVPN装置Y宛のヘッダをつけて送信します。インターネットを通過する間は,XからYへというデータとして扱われ,受信したVPN装置Yでデータを元に戻して端末Aに送ります。
(b)のトンネリング+暗号化では,トンネリングするだけでなく端末Aからのデータをヘッダも含めてデータごと暗号化します。これにより,データ自身の安全を確保しさらに,送信元宛先の情報を隠すことも可能になります。
(c)のデータのみ暗号化では,ヘッダの変換は行わずにデータ部のみ暗号化します。ヘッダはそのまま送信されるため,端末Aから端末Bへのデータはインターネットを通過可能なデータでなければなりません。この場合は,NATを使ってインターネットに接続することになります。
(a),(b)のようにトンネリングによってデータ通信および暗号化する方式をトンネル・モード,(c)のようにトランスポート層で暗号化する方式をトランスポート・モードと呼んでいます。
トンネル・モードでは,ヘッダーが付加されるために,パケット全体がもとのデータ長よりながくなります。データ長が長くなるとMTU(Maximum Transfer Unit)を超えてしまう可能性があります。データ長がMTUより大きくなるとパケットを分割して送信することになります。すなわちデータの処理量が増加し,通信そのものの負荷が増えるばかりでなく,さらに暗号化,復号化などによる処理も増えます。
それに対しトランスポート・モードでは,データ部のみ暗号化するため,処理負荷は暗号化,復号化に関わる部分のみになりますのでデータ長に変化は生じません。
暗号化の方法として,古河電工のVPN機器ではIPsecに準拠した方法を採用しています。
IPsecとは,インターネットワーキングの標準化団体であるIETF(Internet Engineering Task)において,IP(Internet Protocol)レベルの暗号化方式として標準化されている機能です。
このIPsecを利用したVPNネットワークは,すでにアメリカではキャリアの一つとして一般的に利用されています。
IPsecの詳細説明
さて,WANによるネットワークを構築するにあたりポイントになるのは,回線の選択です。回線を選択する基準はいろいろありますが,主に下記のような点が重視されます。
* 通信コストが安価か。
* 常時接続されており,確実に通信が行えるか。
* 通信速度(帯域)が保証されているか。
* セキュリティは問題ないか。
では,上記のような選択基準を満足できる回線サービスがあるでしょうか。
専用線,フレームリレー,ISDNについて,それぞれの特長を調べてみました。

(*1)従量制のサービスもある。
(*2)深夜,早朝では固定性サービスもある
これを見ると,コストの面を除けば,専用線がWAN構築に最適であることがわかります。
接続性やセキュリティに重点を置くと,専用線が最適です。しかし,通信コストの削減が現状のネットワーク構築の最大の課題となっているのも事実です。
そこで,通信コストを削減しさらにセキュリティの確保されたVPNが現在注目されています。
VPNでは,インターネットを利用するため,
* 月々の通信コストを削減
* 距離の影響を受けないネットワーク構築が可能
* 接続相手が海外であっても容易で,安価に構築可能
* 各拠点でイントラネットとインターネットの共有が可能
* SOHO環境,モバイル環境からのアクセスも容易
など,様々なメリットがあげられます。
ただし,VPNにはデメリットもあります。
複数のインターネット接続点でのセキュリティは甘くなります。よって,ファイアウォールによるネットワークセキュリティの確保が必須になります。また,通信速度や通信帯域は必ずしも保証はなく,現状では,帯域保証が要求されるネットワークでは不向きです。
帯域が保証された安定した通信を実現するためには,インターネット接続の際のQos(Quality Of Service)などのサービスを付加する必要が出てきます。
では,どのような時にVPNを使った通信が有利になるでしょうか。
●全国に分散する多拠点イントラネット
* 通信コストの削減が主な目的であるため,距離が長く,拠点が多い程有効
* 店舗および営業所等を全国に多く展開するユーザにおすすめ
●企業間を接続するエクストラネット
* どの企業でも接続しているインターネットを利用することにより,容易に構築が可能
* 関係会社や取引先との通信をセキュリティを確保したまま,容易に構築が可能
●リモートアクセス環境の整備
* SOHO,モバイルからのアクセスが容易で,全国どこからでも通信コストにメリット
* 高価なRAS(Remote Access Server)を利用することなく,実現実現可能
VPNは専用線,フレームリレーに変わる企業インフラとして,急速に普及していくことが予想されております。
また,企業におけるリモートアクセスの本格的普及や,エレクトロニックコマースのためのインフラとしても大いに期待されております。
金融機関から提供される,ホームバンキングやホームトレード等の各種サービスにおいても,インターネットを利用することが,米国では一般的になっています。
VPNは今後,大いに期待される通信技術です。
参考文献:日経BP社 「誰も教えてくれなかったインターネット・セキュリティのしくみ」
 |