さまざまなタイプの VPN を理解する | TechShielder

当社がレビューするブランドからは、そのブランドのランキングやスコアに影響を与える広告料を受け取ります。

当社の評価は、専門家による調査とユーザーからのフィードバックの組み合わせに基づいています。機能、信頼性、価格に見合った価値、製品/サービスの品質を調査することで、各製品またはサービスが公平に評価されるようにしています。当社の目標は、透明性、正確性、信頼性のある情報を提供し、十分な情報に基づいて購入を決定できるようにすることです。

さまざまなタイプの VPN を理解する: あなたに最適なのはどれですか?

Types of VPNs Compared

VPN の種類の紹介

仮想プライベート ネットワーク (VPN) には、さまざまなニーズに合わせてさまざまな形式があります。一部の VPN は、使用方法 (個々のユーザーまたはネットワーク全体の接続) によって定義されますが、その他の VPN は、内部で使用されるテクノロジーまたはプロトコルによって定義されます。この記事では、主要な VPN の種類について説明し、それぞれの VPN の概要、仕組み、長所と短所、最適な使用例、および例を説明します。最後まで読めば、どのタイプの VPN がどのシナリオに適しているかが明確になります。

詳細に入る前に、ここで取り上げる主な VPN の種類の概要を簡単に説明します。

  • リモート アクセス VPN: 個々のユーザー (クライアント) をプライベート ネットワーク (企業の内部ネットワークなど) に安全に接続します。
  • サイト間 VPN: ネットワーク全体 (2 つのオフィス LAN など) をインターネット経由で接続します。多くの場合、複数の場所を 1 つのプライベート ネットワークに統合するために使用されます。
  • パーソナル VPN: 個人使用向けの商用 VPN サービスで、インターネット トラフィックを暗号化し、IP アドレスをマスクします (プライベート企業ネットワークへのアクセスには使用しません)。
  • モバイル VPN: ユーザーのデバイスが異なるネットワーク間を移動したり、接続タイプ (Wi-Fi、携帯電話など) を変更したりしても、安定した接続状態を維持するように設計された VPN。
  • クラウド VPN: クラウド インフラストラクチャ経由で提供される VPN で、クラウド リソースへの安全なアクセスを可能にしたり、クラウドをリモート接続とサイト接続の VPN バックボーンとして使用したりします。
  • ハードウェア VPN: VPN 機能を独立して処理する専用の VPN デバイス (アプライアンス) で、多くの場合、パフォーマンスとセキュリティのために企業で使用されます。
  • SSL VPN: セキュア ソケット レイヤー/トランスポート レイヤー セキュリティ (SSL/TLS) プロトコル (通常は Web ブラウザーまたは軽量クライアント経由) を使用して接続を保護する VPN。
  • MPLS VPN: キャリアの MPLS ネットワーク (マルチプロトコル ラベル スイッチング) 経由で提供される VPN。通常は、信頼性の高い管理されたプライベート接続と高品質のサービスを必要とする企業向け。
  • L2TP VPN: レイヤー 2 トンネリング プロトコル (通常は暗号化に IPsec と組み合わせる) を使用して安全なトンネルを形成する VPN (多くのデバイスで一般的にサポートされています)。

それぞれのタイプには独自の特徴があります。1 つずつ詳しく見ていきましょう。

リモート アクセス VPN

概要: リモート アクセス VPN (クライアント対サイト VPN とも呼ばれます) を使用すると、個々のユーザーはリモート ロケーションからプライベート ネットワークに接続できます。これは、オフィス外で作業する従業員が会社の内部ネットワークやリソースに安全にアクセスするためによく使用されます。基本的に、ユーザーのデバイスは組織の VPN サーバーまたはゲートウェイへの暗号化されたトンネルを確立します。

仕組み: ユーザーはデバイスで VPN クライアント ソフトウェア (または OS に組み込まれた VPN) を実行し、インターネット経由で組織のネットワーク上の VPN ゲートウェイ サーバーに接続します。ゲートウェイはユーザーの資格情報を認証し、承認された場合は内部ネットワーク リソースへのアクセスを許可します。接続されると、VPN クライアントはすべてのデータを暗号化し、安全なトンネルを介してゲートウェイに送信します。企業側では、VPN ゲートウェイがデータを復号化し、ユーザーがローカル ネットワーク上にいるかのようにイントラネットに転送します。リモート アクセス VPN の一般的なプロトコルは、接続を保護するための IPsec (ネットワーク層で動作) または SSL/TLS (アプリケーション層で動作) です。セキュリティを強化するために、多要素認証がよく使用されます (例: パスワードに加えてワンタイム コードまたは証明書を要求する)。

長所:

  • 安全なテレワーク: 強力な暗号化により、公共の Wi-Fi を使用している場合でも、オフィスへの接続はプライベートのままです。これにより、機密性の高い企業データの盗聴を防止できます。
  • どこからでもアクセス可能: ユーザーは、自宅、旅行中、カフェにいるときでも、オンプレミスにいるかのようにファイル サーバー、データベース、または社内アプリケーションにアクセスできます。
  • きめ細かな制御: ネットワーク管理者はアクセス制御を適用できます。たとえば、特定のユーザー ロールに対して特定のネットワーク セグメントまたはアプリケーションのみを許可するなどです。セキュリティ監査のために VPN セッションをログに記録して監視することもできます。
  • 専用リンクは不要: ユーザーごとに高価な専用回線を使用するのではなく、公共のインターネットを使用します。

短所:

  • パフォーマンスはユーザーのインターネットに依存します。すべてのトラフィックが VPN を通過するため、ローカル インターネットの通信状態が悪いと、リモート ユーザーは遅延や低速を経験する可能性があります。また、追加の暗号化/復号化オーバーヘッドもあります。
  • セットアップと管理: 各デバイスには VPN クライアント構成が必要です。さまざまなユーザー デバイス (ラップトップ、電話など) をサポートし、接続のトラブルシューティングを行うには、多大な労力がかかります。
  • セキュリティに関する考慮事項: ユーザーのデバイスがマルウェアに感染した場合、リモート アクセス VPN は企業ネットワークへの感染経路になる可能性があります。強力なエンドポイント セキュリティと認証が不可欠です。

最適な使用例: リモート アクセス VPN は、在宅勤務者や出張中のスタッフを抱える組織、または個人がオフィス外から安全なネットワークにログインする必要があるあらゆるシナリオに最適です。たとえば、自宅で作業するソフトウェア開発者は、リモート アクセス VPN を使用して会社のソース コード リポジトリや社内ツールにアクセスします。また、会社のネットワークに一時的にアクセスする必要があるサードパーティの請負業者にとっても便利です。企業以外の環境では、技術に精通した家庭のユーザーがリモート アクセス VPN を設定して自宅のネットワークにアクセスすることがあります (たとえば、外出中に自宅のメディア サーバーに安全にアクセスする場合)。

例: 多くの企業は、リモート アクセス VPN に Cisco AnyConnect、Palo Alto GlobalProtect、OpenVPN Access Server などのソリューションを使用しています。たとえば、従業員のラップトップにインストールされている Cisco の VPN クライアントは、オフィスの Cisco ファイアウォール/VPN ゲートウェイに接続します。OpenVPN や WireGuard などのオープン ソース オプションも、リモート アクセス用に会社の VPN サーバーに導入されることが多々あります。例としては、IT 管理者が VPN を使用して自宅からオフィスの PC に安全に「RDP」(リモート デスクトップ) するシナリオがあります。いずれの場合も、リモート アクセス VPN はユーザーとネットワーク間の接続です。(特に、NordVPN のビジネス部門である NordLayer や同様のサービスでは、企業向けにクラウド管理のリモート アクセス VPN も提供しています。)

サイト間 VPN

概要: サイト間 VPN は、個々のクライアントを接続するのではなく、ネットワーク全体を相互に接続します。ルーター間 VPN と呼ばれることもあります。複数のオフィスを持つ企業は、サイト間 VPN を使用して、パブリック インターネット経由で LAN (ローカル エリア ネットワーク) を結合し、すべての場所が統合ネットワークとして機能するようにします。通常、サイト間 VPN には、イントラネット VPN (同じ会社のオフィスを接続する) とエクストラネット VPN (会社のネットワークをパートナー、クライアント、またはサプライヤーのネットワークに接続し、両側のアクセスを制限する) の 2 種類があります。

仕組み: サイト間 VPN では、各サイトの VPN ゲートウェイ デバイス (ファイアウォールやルーターなど) が VPN 接続を処理します。リモート アクセスとは異なり、これらのオフィスのエンド ユーザー デバイスは通常、個別の VPN クライアントを実行しません。各オフィスのゲートウェイが、ローカル ネットワーク全体のトラフィックを暗号化および復号化します。1 つのゲートウェイが、共有キーまたはデジタル証明書を使用して認証し、他のサイトのゲートウェイへの暗号化トンネルを開始します。トンネルが確立されると、サイト A のどのコンピューターも、VPN を介してサイト B のどのコンピューターとも通信できます。ルーターは、許可されたトラフィックのみが通過することを保証します。サイト間 VPN では、通常、トンネル モードで IPsec を使用して、ネットワーク層でパケットを認証および暗号化します。一部の組織では、サイト間専用リンクまたは MPLS も使用します (MPLS については後で詳しく説明します)。基本的に、これはオフィス間の仮想「専用回線」のようなものですが、インターネット上で実行されます。

イントラネット VPN の場合、参加しているすべてのサイトは 1 つの組織の管理下にあり、拡張されたプライベート WAN (ワイド エリア ネットワーク) を形成します。エクストラネット VPN は、異なる組織間で設定され、限定的な相互ネットワーク接続を可能にします (たとえば、共有アプリケーション用にネットワークをリンクする企業と外部の物流プロバイダーなど)。エクストラネットの場合、アクセス制御はより厳格になり、各側は必要なものだけを相手側に公開します。

長所:

  • 分散ネットワークを接続: 専用回線を借りることなく、世界中のオフィスをリンクするコスト効率の高い方法です。各サイトに必要なのは、インターネット アクセスと VPN デバイスだけです。
  • 常時接続: サイト間トンネルは通常「常時稼働」しており、シームレスな通信を可能にします。ユーザーは何も開始する必要はなく、ネットワークが接続されているだけで、ユーザーにとっては透過的です。
  • デバイスごとにクライアント ソフトウェアは不要: VPN はゲートウェイ間で動作するため、個々の PC、プリンターなどに特別な設定は必要ありません。これにより、デバイスが多数ある場合の管理が簡素化されます。
  • 安全な共有イントラネット: サイト間のすべてのデータはトンネルを介して暗号化され、オフィス間の通信が傍受されるのを防ぎます。実質的に 1 つの大規模なプライベート ネットワークが作成されます。
  • イントラネットとエクストラネットの柔軟性: 必要に応じて、内部 (ブランチの統合) または外部 (信頼できる B2B 接続) で使用できます。

短所:

  • 複雑な初期設定: ネットワーク管理者は、両側で互換性のある設定 (暗号化プロトコル、キー交換、ルーティング ルール) を構成する必要があります。異なるハードウェア ブランドを使用している場合は、相互運用性をテストする必要があります。
  • 静的または信頼性の高い IP が必要: 多くの場合、サイト VPN エンドポイントは、インターネット上で互いを見つけるために静的 IP アドレス (または動的 DNS) を必要とします。オフィスの IP が予期せず変更された場合、動的に管理されていない限り、VPN が切断される可能性があります。
  • パフォーマンスはインターネット リンクに依存: VPN の速度と信頼性は、基盤となるインターネット接続と同じ程度になります。どちらかの端で遅延や輻輳が発生すると、リンク全体に影響します。プライベート MPLS 回線とは異なり、パブリック インターネットでは一定のパフォーマンスを保証できません。
  • ネットワーク範囲に制限: サイト間 VPN はネットワークをリンクするため、ローミング ユーザー向けではありません。ランダムな個々のデバイスを安全に接続できる柔軟性がありません (それがリモート アクセス VPN の目的です)。実際、サイト間 VPN を導入している多くの企業は、在宅勤務者向けのリモート アクセス ソリューションも導入しています。
  • セキュリティと信頼性: 1 つのサイトが侵害された場合 (ハッカーやマルウェアなどにより)、VPN は他のサイトを攻撃するための経路になる可能性があります。ネットワークはブリッジされているため、両側で強力なセキュリティ衛生を維持する必要があります。

最適な使用例: サイト間 VPN は、2 か所以上の固定拠点を持ち、データとリソースを継続的に共有する必要がある組織に最適です。たとえば、本社と複数の支社を持つ企業がサイト間 VPN を使用すると、すべての拠点から社内ファイル サーバーまたは ERP システムに安全にアクセスできるようになります。別の例としては、VPN を介してキャンパスを相互接続する大学や、同じことを行う政府機関が挙げられます。イントラネット VPN の使用例: 小売チェーンが各店舗のネットワークを中央データ センターに接続します。エクストラネット VPN の使用例: メーカーが部品サプライヤーと VPN をセットアップして在庫システムを安全にインターフェイスできるようにしますが、サプライヤーのアクセスを特定のデータベースのみに制限します。

例: 多くのエンタープライズ ネットワーク デバイスがサイト間 VPN をサポートしています。たとえば、Cisco および Juniper ルーターは、オフィス間で IPsec トンネルを確立できます。典型的な例としては、2 つの Cisco ASA ファイアウォールを使用して、IPsec VPN を介して会社のニューヨーク オフィスとロンドン オフィスを接続することが挙げられます。もう 1 つの例は AWS サイト間 VPN です。これにより、企業はオンプレミス ネットワークを IPsec トンネル経由で Amazon クラウド VPC (仮想プライベート クラウド) に接続できます。これにより、企業のイントラネットが AWS クラウド リソースに効果的に拡張されます。同様に、Azure と Google Cloud はハイブリッド クラウド接続用に同様の VPN ゲートウェイ サービスを提供しています。構成に関しては、サイト間 VPN は認証に事前共有キーまたは証明書を使用する可能性があり、切断された場合に自動的に再確立するように設定できます。

サイト間 VPN はさらに高度になることもあります。たとえば、Cisco の DMVPN (Dynamic Multipoint VPN) では、すべてのトラフィックが中央ハブを経由することなく複数のサイト間でメッシュ接続が可能になり、サイト間モードの OpenVPN では IPsec ではなく SSL/TLS を使用してオフィスを接続できます。ただし、本質的には、すべてのサイト間 VPN は同じ目的、つまりインターネット経由で 2 つのネットワークを安全に結合するという目的を果たします。

個人用 VPN (コンシューマー VPN)

概要: 個人用 VPN (コンシューマー VPN または商用 VPN サービスとも呼ばれます) は、個人ユーザー向けに宣伝されていることが多いタイプの VPN です。ExpressVPN、NordVPN、ProtonVPN などのサービスがこのカテゴリに分類されます。企業用 VPN とは異なり、個人用 VPN はプライベート イントラネットに接続しません。代わりに、デバイスを VPN プロバイダーのサーバーに接続し、そこからパブリック インターネットに接続します。通常、その目的は、VPN サーバーを仲介として使用して、個人のインターネット トラフィックを暗号化し、IP アドレス/場所を隠すことです。個人用 VPN は、エンドユーザーのプライバシー、セキュリティ、およびオンラインでの自由を重視しています。

仕組み: VPN サービスに加入し、VPN クライアント アプリ (コンピューター、電話など) をインストールします。接続すると、アプリはデバイスからプロバイダーの VPN サーバーの 1 つ (通常は、好きな国のサーバーを選択できます) への暗号化されたトンネルを確立します。その後、すべてのインターネット トラフィックは、このトンネルを経由して最初に VPN サーバーにルーティングされます。次に、VPN サーバーはトラフィックを復号化し、インターネット上の対象の Web サイトまたはサービスに転送します。外部からは、トラフィックが実際のデバイス/IP からではなく、VPN サーバーから来ているように見えます。たとえば、カナダの VPN サーバーに接続すると、物理的にはスペインにいる場合でも、Web サイトはカナダからアクセスしていると判断します。個人用 VPN では、高速接続と強力な暗号化に適した OpenVPN、IKEv2、WireGuard などのプロトコルがよく使用されます。VPN プロバイダーは通常、さまざまな地域で多数のサーバーを運用しており、クライアント アプリでは速度に基づいて選択または自動選択できます。

長所:

  • プライバシーと匿名性: パーソナル VPN は、アクセスした Web サイトやインターネット サービス プロバイダー (ISP) から実際の IP アドレスを隠します。すべてのデータは転送中に暗号化されるため、ネットワーク (公共の Wi-Fi や ISP など) 上のスヌーパーは、オンラインでの行動を見ることができません。これは、プライバシーを重視するユーザーにとって最適です。
  • 地理的制限と検閲を回避: 別の国にいるように見せることができるため、パーソナル VPN は地域制限のあるコンテンツにアクセスするために広く使用されています。たとえば、VPN を使用して、自国では利用できないストリーミング コンテンツを視聴したり、ローカルで検閲されているサービスを利用したりできます。また、制限の厳しい体制にいる人々がオープン インターネットにアクセスするためのツールでもあります。
  • 信頼できないネットワークでのセキュリティ: 旅行中やカフェの Wi-Fi を使用しているときに、パーソナル VPN は Web トラフィック (Web サイト、メール、チャット) を暗号化するため、Wi-Fi が侵害された場合でも、攻撃者は暗号化されたデータしか見ることができません。日常のブラウジングに保護レイヤーを追加します (ただし、デバイス上のマルウェアから保護するわけではありません)。
  • ユーザーフレンドリー: 商用 VPN アプリはワンクリック ソリューションである傾向があり、キー、プロトコル、サーバーを自動的に管理します。深い技術的知識は必要ありません。キル スイッチ (VPN が切断された場合に漏洩を防ぐためにインターネットを遮断する) や広告ブロッカーなどの追加機能を備えていることがよくあります。
  • 企業の設定は不要: 誰でもサインアップして個人用 VPN を使用できます。組織の一員である必要も、特別なネットワーク構成を持つ必要もありません。

短所:

  • プロバイダーへの信頼: 個人用 VPN を使用する場合、基本的にすべてのトラフィックを VPN 会社のサーバー経由でルーティングすることになります。そのプロバイダーがデータをログに記録したり不正使用したりしないことを信頼する必要があります。評判の悪い VPN は、暗号化されていないトラフィックがサーバーから送信されるのを見たり、オンライン アクティビティの記録を保持したりする可能性があります。評判の良いプロバイダーはログなしポリシーを採用し、監査を受けていますが、この信頼のトレードオフは重要です。
  • コスト: 無料の VPN もありますが、多くの場合、重大な制限やプライバシーに関する懸念があります (ユーザー データを販売したり、広告を挿入したりすることが知られています)。優れた個人用 VPN サービスは、サブスクリプション料金 (月額または年額) を請求します。これはユーザーにとってのコストですが、通常は月額数ドル程度です。
  • パフォーマンスの低下: VPN を使用すると、通常、接続が多少遅くなります。データは迂回して (VPN サーバーに) 暗号化/復号化されます。最高の VPN は高速ネットワークを備えており、ユーザーはわずかな速度低下 (おそらく 10 ~ 20%) しか感じませんが、低速のサービスでは速度低下が顕著になることがあります。レイテンシーが高いと、オンライン ゲームなどのアクティビティにも影響します。
  • 内部ネットワーク アクセスではない: リモート アクセス VPN とは異なり、個人用 VPN では、たとえばオフィスのイントラネットや自宅の NAS にアクセスできません (自宅で独自の VPN サーバーを構成しない限り)。これは、インターネット トラフィックを保護し、見かけ上の場所を変更するためだけのものです。言い換えれば、個人用 VPN は、ユーザーを VPN プロバイダーのネットワークに接続し、ユーザー自身のプライベート ネットワークに接続しません。
  • 潜在的なサービス ブロック: 一部のストリーミング サービスや Web サイトは、VPN IP アドレスを積極的にブロックしようとします。ユーザーは、VPN を切断するまで特定のサイトが機能しないことに気付く場合があります。この追いかけっこでは、ブロックを回避するためにサーバーやプロバイダーを切り替える必要がある場合があります。

最適な使用例: 個人用 VPN は、オンライン プライバシーを守りたい、またはコンテンツ制限を回避する必要がある個人に最適です。主な例:

  • インターネット監視が厳しい国のジャーナリストや活動家は、VPN を使用して安全に通信およびブラウジングします。
  • 旅行者は、海外で自国のお気に入りの Netflix 番組を視聴するために VPN を使用します。
  • カフェで働いている人は、公共の Wi-Fi を使用する他の人が自分のデータを覗き見できないように、VPN を使用してトラフィックを暗号化します。
  • ISP や政府に Web ブラウジングを簡単に追跡されたくない人は、基本的な保護レイヤーとして VPN を使用する場合があります。また、ゲーマーが IP を隠すことで DDoS 攻撃を回避したり、ブラウジング時に全般的に安心したりするためにも役立ちます。

例: 市場には個人向け VPN プロバイダーが溢れています。人気の例としては、ExpressVPN、NordVPN、Surfshark、Cyber​​Ghost、Proton VPN、PIA (Private Internet Access) などがあります。各プロバイダーは、さまざまなデバイス (Windows、Mac、iOS、Android など) 向けのアプリと、通常世界中のさまざまなサーバー ロケーションを提供しています。たとえば、NordVPN は 50 か国以上で数千のサーバーを運用しており、ユーザーはそれらのサーバーを切り替えて最適な速度や必要な場所を見つけることができます。もう 1 つの例は Proton VPN です。Proton VPN は、速度は制限されますがプライバシーが強化された無料プランも提供しています (料金を支払えない人にも便利)。無料プランを利用するのにメール アドレスさえ必要ないことで高く評価されています。個人向け VPN サービスでは、プロトコルについても頻繁に取り上げられています。たとえば、パフォーマンスを向上させるために最新の WireGuard プロトコルをサポートするなどです。

まとめると、個人向け VPN は、個人向けの使いやすさと幅広いインターネット セキュリティを優先しています。個人向け VPN はかなり主流になり、世界中で数億人が個人的な理由で VPN を使用していると推定されています (特に、注目度の高いイベントによってプライバシー意識が高まった後)。これらはビジネス VPN とは別物です。特定のプライベート ネットワークに接続するためのツールではなく、プライバシー ツールと考えてください。

モバイル VPN

概要: モバイル VPN は、さまざまなネットワーク間を移動したり、断続的に接続が切断されたりする可能性のあるモバイル デバイスのユーザー向けの特別なタイプの VPN です。モバイル VPN と従来のリモート アクセス VPN の主な違いは、基盤となるネットワーク接続が一時的に変更または切断されても、モバイル VPN セッションが継続することです。これは、現場作業員、緊急対応要員、または移動中に「常時接続」が必要な人にとって重要です。たとえば、パトカーでラップトップを使用している警察官を考えてみましょう。運転中に、デバイスがセルラー ネットワークから Wi-Fi ホットスポットに切り替わったり、その逆に切り替わったりすることがありますが、モバイル VPN は、これらの切り替えを通じて安全なセッションをシームレスに維持します。

仕組み: モバイル VPN では、VPN サーバーは通常のリモート アクセスと同様に組織のネットワークのエッジに配置されますが、クライアントはローミングを処理するように構築されています。モバイル VPN クライアントに接続すると、VPN サーバーによって論理 IP アドレス (仮想 IP と呼ばれることもあります) が割り当てられます。この IP は、接続方法に関係なくデバイスに残ります。モバイル VPN ソフトウェアは、ネットワークが変更されてもサーバーへのトンネルを維持します。携帯電話から Wi-Fi に切り替えると、トンネルは新しいネットワーク上で再確立されますが、VPN サーバー (論理 IP またはトークンで識別) でのセッションは継続されます。サーバーはそれを新しい接続とは見なさないため、セッション (およびその中のアプリケーション セッション) を再開する必要はありません。モバイル VPN は、多くの場合、IKEv2 と MOBIKE (モビリティとマルチホーミング) または独自のソリューションなど、モビリティをサポートするプロトコルまたは拡張機能に依存します。また、キープアライブ メッセージを使用してネットワークの変更をすばやく検出し、トンネルを再確立することもあります。重要なのは、モバイル VPN は、IP が変更されたり、一時的に信号が失われたりしてもセッションを切断しないことです。モバイル VPN は、そのような状況に耐えられるように構築されています。

長所:

  • シームレスな接続: 前述のとおり、最大のメリットは継続的な接続の維持です。真のモバイル VPN は、移動中でも「あなたと一緒に」います。エレベーターに乗って (一時的に信号が途切れる) も、自宅の Wi-Fi からモバイル データに切り替えても、再度ログインしたり作業内容を失ったりする必要はありません。VPN トンネルは自動的に再接続して継続します。
  • モバイル ワーカーの信頼性の向上: EMS クルー、修理技術者、または車両に乗っている人などの仕事の場合、これはアプリケーション (ディスパッチ ソフトウェア、リモート データベースなど) が接続されたままであることを意味します。移動中の通常の VPN で経験する、VPN の切断/再接続の絶え間ないサイクルによるフラストレーションを軽減します。
  • デバイスに依存しないモビリティ: モバイル VPN は「携帯電話」だけのものではありません。ユーザーのモビリティが重要です。モバイル VPN クライアントは、ラップトップ、タブレット、電話など、ネットワークを頻繁に変更する可能性のあるあらゆるデバイスにインストールできます。メリットは同じで、セッションの持続です。
  • 外出中のデータのセキュリティ: 他の VPN と同様に、トラフィックを暗号化します。特にモバイル ワーカーの場合、4G、ホテルの Wi-Fi、公共のホットスポットのいずれを使用していても、本社への接続が安全に保たれます。
  • 認証の柔軟性: モバイル VPN クライアントは、証明書、トークン、生体認証など、現場での展開に適したさまざまな認証方法をサポートしていることが多く、どこからでも簡単かつ安全に接続できます。

短所:

  • 複雑なクライアントとサーバーのセットアップ: モバイル VPN ソリューションは、実装が複雑になる場合があります。すべての標準 VPN サーバーが、すぐに使用できる真のシームレスなローミングをサポートしているわけではありません。専用のソフトウェア (または IPsec 用の MOBIKE などの追加モジュール) が必要になる場合があります。同様に、クライアント ソフトウェアもこれをサポートする必要があります。携帯電話のすべての VPN アプリが、ネットワークが変更されてもトンネルを維持するわけではありません。
  • パフォーマンスのオーバーヘッド: セッションを維持するには、クライアントがバックグラウンドで再接続を処理する必要があります。ネットワークを切り替えるときにトラフィックが一時的に停止することがあり、切り替えが頻繁に行われる場合は、リアルタイム アプリケーションに若干影響する可能性があります。また、VPN サーバーを介して論理 IP を維持する必要があるため、「良好な」ネットワークであっても追加のルーティング ホップが発生し、静止している場合に直接接続する場合と比較してスループットが若干低下する可能性があります。
  • バッテリーとデータ使用量: モバイル デバイスでは、VPN を常にオンにして接続をネゴシエートすると、追加のバッテリーが消費される可能性があります。また、モバイル VPN は、接続状態を監視するためにキープアライブ ping を送信することが多く、時間の経過とともに少しのデータが消費されます (ただし、通常の使用と比較すると通常は無視できる程度です)。
  • 可用性: 「モバイル VPN」機能を提供するプロバイダーは少なくなっています。たとえば、多くの個人向け VPN サービスは、ネットワーク ホップを通じてセッションを実際に維持するわけではなく、新しいネットワークに新しく再接続するだけです。ほとんどのユーザーにとってはそれで問題ありません。真のモバイル VPN は、エンタープライズ ソリューション (NetMotion、特定のモードの Cisco AnyConnect など) に見られる傾向があります。これにより、選択肢が制限されたり、コストが高くなったりする可能性があります。
  • 移行処理の制限: 接続が頻繁に途切れる場合、モバイル VPN でも問題が発生する可能性があります。また、IP アドレスが大幅に変更された場合 (VPN のポートをブロックするネットワークに移動した場合など)、同じセッションを維持できない可能性があります。

最適な使用例: モバイル VPN は、ユーザーのネットワーク接続が変化または断続的に発生することが予想されるものの、継続的な安全な接続が必要なシナリオで効果を発揮します。例:

  • 公安および緊急対応要員: 警察、消防、救急車など、移動中に犯罪データベースや患者の記録にアクセスする必要があるラップトップを搭載した車両。
  • 公共交通機関のスタッフまたは配達ドライバー: トンネルなどで通信が途切れる可能性のある携帯電話データを使用しているときにタブレットを使用して情報を記録している人。
  • フィールド サービス エンジニア: たとえば、建物に出入りし、システムへの安全なリンクを維持しながらオフィスの Wi-Fi とモバイル データを切り替える技術者。
  • 軍事または屋外の研究ユニット: ネットワーク リンクが切り替わる環境 (衛星、携帯電話など) で、再接続のために操作を停止する余裕がない。日常的にビジネス旅行をする人にもメリットがあります。自宅の Wi-Fi を離れて 4G タクシーに乗り、空港の Wi-Fi に接続することを想像してみてください。モバイル VPN があれば、その間も企業の VPN が中断されることはありません。

例: モバイル VPN ソリューションのよく知られた例の 1 つに NetMotion Mobility (現在は Absolute Software の一部) があります。これはモバイル ワーカーの接続に明確に焦点を当てています。デバイスに仮想 IP を割り当て、デバイスがネットワーク間を移動してもセッションを維持します。もう 1 つの例は、MOBIKE を有効にした IKEv2/IPsec プロトコルの使用です。多くの最新の VPN サーバー (Microsoft RRAS、strongSwan など) とクライアントがこれをサポートしています。Windows では、IKEv2 を使用する組み込みの VPN クライアントは、ネットワークが変更されると実際にトンネルの再確立を試みます (MOBIKE のおかげで、同じ IKEv2 セッション パラメータを使用します)。消費者側では、Android または iOS の「常時接続 VPN」の概念が間接的に関連しています。これは、VPN が自動的に再接続されることを保証しますが、真のモバイル VPN のようにセッションが永続的であるとは限りません。OpenVPN には、接続が再開されたときに役立つ「persist-tun」オプションがあります。 Speedify などの新しいソリューションの中には、複数の接続 (Wi-Fi + セルラー) を組み合わせて速度とシームレスな切り替えを実現する、つまり実質的にボンディング接続に最適化されたモバイル VPN を売りにしているものもあります。

携帯電話で VPN を使用している一般ユーザー (個人用 VPN アプリなど) は、厳密にはモバイル VPN を使用していない可能性があることに注意してください。ネットワークを移動すると、再接続が必要になる場合があります。ただし、一部のアプリはシームレスな再接続が改善されています。ただし、重要なシナリオでは、セッションが失われないように専用のモバイル VPN テクノロジが採用されています。

クラウド VPN

概要: クラウド VPN とは、クラウド プラットフォームを通じて提供される VPN サービスまたはインフラストラクチャを指します。オンプレミスにある従来の VPN ハードウェアまたはサーバーの代わりに、クラウド VPN はクラウドでホストされ、多くの場合プロバイダーによって管理されます。クラウドを仲介として活用することで、ユーザーをクラウドベースのリソースに接続したり、ネットワーク全体を接続したりすることもできます。企業がパブリック クラウドまたはハイブリッド クラウドでデータやサービスをホストすることが増えているため、クラウド VPN が登場し、それらのクラウド環境をユーザーや他のネットワークに安全にリンクしています。簡単に言えば、クラウドベースのネットワーク インフラストラクチャを使用して安全な接続を提供する VPN です。

仕組み: シナリオはいくつかあります。

  • サイト間: サイト間と似ていますが、1 つの「サイト」はクラウド ネットワークです。たとえば、オフィス ゲートウェイから AWS または Azure の VPN ゲートウェイへの VPN を確立します。この安全なトンネル (多くの場合 IPsec) により、オンプレミス ネットワークは、別のブランチ オフィスであるかのようにクラウド VPC と通信できます。クラウド プロバイダーは、クラウドで VPN を終了する VPN エンドポイント (AWS VPN Gateway や Google Cloud VPN など) を提供します。
  • クラウド経由のリモート アクセス: オフィス データ センターに VPN サーバーを置く代わりに、クラウドでホストされる VPN サービスを使用します。リモート ユーザーは、クラウドで実行されている VPN ゲートウェイに接続し、そこから企業ネットワークまたはクラウド リソースにアクセスできます。基本的に、VPN コンセントレータはクラウドにアウトソーシングされます。これにより、オンプレミスのハードウェアの負荷が軽減され、クラウドのグローバルな存在を活用してパフォーマンスを向上させることができます。
  • VPN as a Service: 一部のベンダー (Perimeter 81、Zscaler、Cisco Meraki など) は、クラウド管理の VPN サービス全体を提供しています。ユーザーはプロバイダーの最も近いクラウド ポイント オブ プレゼンスに接続します。そこから、インターネットにルーティングされるか (個人用 VPN のように、ただし中央制御によるビジネス向け)、会社の環境に戻ります。クラウドは、スケーリング、ユーザー管理、さらにはプロバイダーのネットワークを介した複数のサイトの相互接続も処理します。

いずれの場合も、暗号化とトラフィック ルーティングの面倒な作業はクラウド インフラストラクチャで行われるのが特徴的です。たとえば、Google Cloud VPN を使用すると、オンプレミスのルーターと GCP プロジェクトの Google VPN ゲートウェイの間に VPN トンネルを構成できます。それらの間のデータはインターネット経由で暗号化され、Google が高可用性を管理します。クラウド VPN は通常、標準プロトコル (IPsec、SSL/TLS) を使用しますが、違いはサーバーがどこにあり、どのように管理されるかです。

長所:

  • グローバルなアクセス性とスケーラビリティ: クラウド内にあるため、多くの場合、ユーザーは最適化されたルートを使用してどこからでも接続できます。多くのクラウド VPN サービスには世界中に複数のゲートウェイがあるため、リモート ユーザーは近くの地域に接続し、クラウドのバックボーン経由でリソースにルーティングされる可能性があります。これにより、全員が 1 つのオンプレミス VPN サーバーにアクセスする場合と比べて、レイテンシが改善されます。また、容量の追加 (帯域幅の増加、ユーザーの増加) も簡単です。多くの場合、クラウド インスタンスをスケールアップしたり、ゲートウェイをオンデマンドで追加したりできます。
  • オンプレミスのメンテナンスの削減: インストールまたはメンテナンスする物理アプライアンスはありません。すでにクラウドを多用している組織の場合、クラウド VPN の導入は、インフラストラクチャ アズ コードおよびアウトソーシング モデルに適合します。更新、パッチ、およびアップタイムは、プロバイダーが処理できます。
  • クラウド リソースへの直接の安全なアクセス: データベースまたはアプリケーションがクラウドにある場合、クラウド VPN は、中央オフィスを経由せずに安全なアクセスを可能にする自然な方法です。ユーザーはクラウド環境の VPN に直接接続し、そのクラウド内のリソースにアクセスできます。これは、AWS でホストされているアプリケーションなどにアクセスする分散チームに最適です。
  • 分散した労働力のサポート: クラウド VPN は、固定の「オフィス」を持たない企業に適しています。たとえば、完全にリモートの企業は、データセンターを持つのではなく、クラウドに仮想ネットワークを持ち、すべての従業員がそれに接続できます。インターネットがある限り、どこからでも安全に接続できます。
  • 高可用性と信頼性: 大手クラウド プロバイダーは堅牢なインフラストラクチャを提供します。クラウド VPN ゲートウェイには、データセンター全体にわたる冗長性が組み込まれている場合があります。これにより、単一のオンプレミス サーバーと比較してダウンタイムが短縮されます。また、クラウド プロバイダーのネットワーク内を移動するトラフィック (VPN での入力後) は、バックボーンの QoS と信頼性の恩恵を受ける可能性があります。
  • OPEX の価格設定: クラウド VPN は、ハードウェアの初期費用ではなく、毎月請求される場合があります (固定サービス料金または使用量ごと)。これは経済的に有利であり、少なくともコストを運用費用に転嫁できます。

短所:

  • サードパーティへの依存: 重要なセキュリティ インフラストラクチャをクラウド プロバイダーまたはサービスに依存しています。プロバイダー側​​で障害や問題が発生すると、VPN に影響する可能性があります。また、安全なアクセスをサードパーティ クラウドに任せるということは、そのセキュリティ対策が最高水準であることを確認する必要があることを意味します。
  • インターネット アクセスが必要: 当然のことながら、クラウド VPN ではすべてのサイト/ユーザーがインターネットに接続できる必要があります。インターネットがダウンした場合、直接のポイントツーポイント リンクに頼ることはできません。完全にクラウド化されたセットアップでは問題ありませんが、一部のシナリオ (同じ都市に 2 つのオフィスがある場合など) では、直接リンクの方がクラウドへの往復よりもレイテンシが低くなる可能性があります。
  • 統合の複雑さ: サイト間 VPN のセットアップには、従来のネットワーク エンジニアにとっては新しい、クラウド プロバイダーの構成を扱う作業が必要になる場合があります。クラウドごとに独自のツールや癖があります。さらに、Perimeter 81 のようなクラウド管理サービスを使用する場合は、それを ID 管理と統合し、社内ネットワークへのルーティング ルールを定義するなどする必要があります。難しいことではありませんが、パラダイムが異なります。
  • データ転送コスト: クラウド プロバイダーは、多くの場合、データ送信に対して料金を請求します。クラウド VPN を介して大量のトラフィック (特にクラウドからユーザーへのトラフィック) を送信する場合、帯域幅料金が発生する可能性があります。それでも MPLS 回線よりは安いかもしれませんが、注意が必要です。
  • 潜在的なパフォーマンスのボトルネック: クラウドは拡張可能ですが、クラウド VPN インスタンスの構成が間違っていたり、サイズが小さかったりすると、ボトルネックになる可能性があります。また、トラフィックのパスが長くなる可能性があります。たとえば、企業オフィスと同じ都市にいるユーザーが別の地域のクラウド VPN ゲートウェイ経由で接続し、その後オフィスに戻らなければならない場合、それは間接的です (ただし、通常はこのようなヘアピンを回避するように設計します)。

最適な使用例: クラウド VPN は、現代のクラウドファースト組織に最適です。主な例:

  • インフラストラクチャのほとんどを AWS 上に置き、従業員数が少ない企業では、オンプレミスで VPN サーバーをホストしたくない場合があります。代わりに、AWS Client VPN (AWS が管理する OpenVPN サービス) を使用して、従業員が AWS リソースや、リージョンをまたいで VPC に安全にアクセスできるようにします。
  • クラウドに移行する複数のサイトを持つ企業は、移行中にサイト間 VPN を使用できます。これにより、オンプレミスのデータセンターと新しいクラウド環境がインターネット経由で安全にリンクされます。これにより、ハイブリッド クラウド接続が作成されます。
  • オフィスをまったく持たないスタートアップ企業やリモート ファースト企業: Perimeter 81 の Cloud VPN などのサービスを使用すると、すべての従業員が Perimeter81 のネットワークに接続し、そこから共有クラウド サービスとインターネットに安全にアクセスできるようになります。これにより、集中化されたセキュリティが提供されます (クラウド内の仮想オフィスのように)。
  • 迅速なグローバル VPN プレゼンスを求める組織: 例:アジア、ヨーロッパ、アメリカにユーザーを抱える企業では、各地域にクラウド VPN ゲートウェイを導入して、従業員が最も近いゲートウェイに接続できるようにすることで、全員が単一の米国ベースの VPN サーバーに接続する場合に比べて速度が向上します。その後、クラウド プロバイダーのバックボーンがこれらの VPN ハブをリンクします。
  • 一時的またはスケーラブルなニーズ: 短期プロジェクトや季節的に高くなる負荷のために VPN が必要な場合、数か月間クラウド VPN アプライアンスを立ち上げる方が、ハードウェアを調達するよりも簡単です。

例: 主要なクラウド プラットフォームには、VPN サービスがあります。Google Cloud VPN と AWS Site-to-Site VPN を使用すると、オンプレミスのルーターとクラウドの間に IPsec トンネルを確立できます。AWS は、ユーザーのリモート アクセス用の完全に管理された OpenVPN サービスである Client VPN も提供しています。Azure VPN Gateway も同様に、ポイントツーサイト (ユーザーから Azure) とサイトツーサイトの機能を提供します。SaaS 側では、Perimeter 81 (Check Point がサポート) がクラウド管理の VPN サービスを提供しており、さまざまなグローバル ロケーションに「仮想ゲートウェイ」を設定し、ユーザー アクセスを一元管理できます。OpenVPN Cloud は、OpenVPN Inc. の別のサービスで、サーバーを自分で実行する必要のないクラウド ホスト型 VPN を提供しています。

クラウド VPN の台頭を反映する実際の統計: 2022 年の時点で、「クラウド VPN」セグメントは VPN 市場の収益の約 73% を占めており、組織が従来のセットアップよりもクラウドベースの VPN 展開を急速に採用していることを示しています。これには、VPN インフラストラクチャでのクラウドの使用と、アクセスを容易にするための VPN-as-a-Service の採用の両方が含まれます。

要約すると、クラウド VPN は VPN をクラウド コンピューティングの時代にもたらし、特に他のサービスで既にクラウドを信頼している企業にとって、柔軟性、グローバルなリーチ、および潜在的に簡単な操作を提供します。

ハードウェア VPN

概要: ハードウェア VPN とは、VPN 機能を処理する専用の物理デバイスを指します。汎用サーバーまたは PC で実行される VPN ソフトウェアとは対照的に、ハードウェア VPN アプライアンスは、ネットワークに接続する専用のボックス (多くの場合、VPN 機能を備えたルーターまたはファイアウォール デバイス) です。これらのデバイスには、暗号化タスク用の独自のプロセッサ、強化されたオペレーティング システム、および Web ベースの管理インターフェイスが付属していることがよくあります。大規模な組織では、サイト間 VPN に、または多くのリモート アクセス クライアントの中央 VPN コンセントレータとしてよく使用されます。

仕組み: ハードウェア VPN アプライアンスは通常、ネットワークのエッジ (ゲートウェイなど) に配置されます。たとえば、インターネット モデムに接続されたハードウェア VPN デバイスがあるとします。トラフィックを暗号化/復号化し、ファイアウォール/ルーターとしても機能することがよくあります。リモート ユーザーが接続すると、実際にはこのデバイスで終了し、認証されてネットワークに参加します。サイト間の場合、2 つのこのようなデバイスが間にトンネルを作成します。これは特殊なハードウェアであるため、通常のサーバー CPU よりも高速に暗号化操作を処理できることがよくあります (VPN 用の ASIC が組み込まれているものもあります)。多くのハードウェア VPN は、すぐに使用できる負荷分散と同時接続もサポートしているため、多数の VPN クライアントまたは複数のトンネルを同時に安定したパフォーマンスで処理できます。管理は通常、デバイス自体の Web インターフェイスまたはコンソールを介して行われます。

長所:

  • 強化されたセキュリティと分離: ハードウェア VPN は、一般的なサーバーとは別の独自のデバイスで実行されます。この分離により、攻撃対象領域を減らすことができます (デバイスの OS は通常最小限で、VPN タスク専用です)。Windows サーバーほど一般的なウイルスや OS 攻撃に対して脆弱ではありません。また、改ざん防止機能も組み込まれています。全体として、専用の安全なゲートウェイです。
  • 高いパフォーマンスと信頼性: デバイスの唯一の役割は VPN の実行 (多くの場合、ファイアウォール機能と併用) であるため、非常に効率的です。多くのハードウェア VPN には暗号化用のハードウェア アクセラレーションが組み込まれているため、レイテンシを抑えながらスループットを高めることができます。また、安定性のために最適化されていることが多く、問題なく長期間実行できます。VPN ユーザーが数百人いる場合や、帯域幅が非常に広いサイト リンクがある場合、ハードウェア VPN はエントリー レベルのソフトウェア ソリューションよりも負荷をうまく処理できることがよくあります。
  • 負荷分散とスケーラビリティ: ミッドエンドからハイエンドのアプライアンスでは、VPN 接続を複数のマシンまたは CPU コアに分散できます。一部のアプライアンスは冗長性のためにクラスター化されており、1 つが故障しても別のアプライアンスが引き継ぎます (高可用性)。また、複数のデバイス間でユーザーを分散させることもできます。これは大企業に最適です。
  • Web ベースの管理: ほぼすべてのハードウェア VPN は、VPN 設定、ユーザー、および接続の監視を構成するための Web インターフェイスまたはクラウド管理ポータルを提供します。これにより、たとえば Linux サーバーで構成ファイルを管理する場合と比較して、管理が簡素化されます。
  • オールインワンのネットワーク機能: 多くの場合、ハードウェア VPN アプライアンスは、ファイアウォール、ルーター、および侵入防止システムの 2 つの機能を果たします。たとえば、多くの UTM (Unified Threat Management) または次世代ファイアウォール (Fortinet、Palo Alto、SonicWall など) には、VPN 機能が組み込まれています。そのため、ネットワーク セキュリティの統合ソリューションが得られます。

短所:

  • コスト: ハードウェア VPN デバイスは高価になる場合があります。特殊な機器と、多くの場合はブランド プレミアムに対して料金を支払います。これは、小規模ビジネス デバイスの場合は数百ドルから、エンタープライズ グレードのシャーシの場合は数万ドルに及ぶことがあります。さらに、ベンダーはユーザーごとにライセンス コストやサポート契約のコストを負担する場合があります。コストのため、ハードウェア VPN は通常、投資が正当化される大企業または支社でのみ実行可能です。
  • 柔軟性が低い: 変更またはアップグレードする場合、デバイスの機能によって制限されます。容量を追加するには、新しいアプライアンスを購入する必要がある場合があります。任意のサーバーで実行できる (およびクラウドで迅速に拡張できる) ソフトウェアとは異なり、ハードウェアは固定されています。また、ハードウェア デバイスを使用すると、そのベンダーのエコシステムと更新スケジュールにある程度縛られます。
  • 展開の労力: 物理デバイスをインストールするには、電源、ラック スペース、および物理的なメンテナンスに対処する必要があります。サイトが多数ある場合は、サイト (またはクラスター) ごとに 1 つのデバイスが必要です。デバイスを配送してさまざまな場所に設置するのはロジスティック上の課題になる可能性がありますが、ソフトウェア VPN サーバーはリモートでセットアップできます。
  • 単一障害点: 冗長ユニットを導入しない限り、単一のハードウェア VPN は重大なポイントです。これが故障すると、VPN アクセスがダウンします (ただし、多くのハードウェア VPN は HA ペアでこれを緩和します)。
  • 機能の不均衡: ハードウェア アプライアンスは、「最新かつ最高の」プロトコルの実装が遅れる場合があります。たとえば、アプライアンスは IPsec とおそらく OpenVPN をサポートしているかもしれませんが、WireGuard などの新しいプロトコルが登場した場合、ベンダーがファームウェアで提供することを決定するまで (提供された場合)、そのプロトコルを入手できない可能性があります。ソフトウェア ソリューションの方が新しいプロトコルをより早く採用できる可能性があります。

最適な使用例: ハードウェア VPN は、堅牢で常時接続の VPN サービスを必要とし、専用デバイスを購入できる確立された組織に最適です。一般的な使用例:

  • エンタープライズ ゲートウェイ: 会社の本社には、従業員のすべてのリモート アクセスを処理する VPN アプライアンスがある場合があります。たとえば、銀行では、強力な暗号化と 24 時間 365 日の信頼性を備えた何千もの従業員 VPN セッションを終了するために、高性能の Juniper または Palo Alto VPN コンセントレータを使用する場合があります。
  • ブランチ オフィスの接続: 各ブランチには、サイト間 VPN を介して自動的に本社に接続する小型のハードウェア VPN ルーターがあります。この役割では、Cisco ISR ルーターや Meraki MX アプライアンスなどのアプライアンスがよく使用されます。これにより、展開が簡素化されます。ボックスを接続すると、VPN 経由でホームに電話がかかってきます。
  • パートナー アクセスのセキュリティ保護: ビジネス パートナーにネットワークの一部へのアクセスを許可する場合は、多数の個別のアカウントを設定するのではなく、パートナーにネットワークに接続するハードウェア VPN デバイスをインストールしてもらうことができます。この方法では、接続がネットワーク レベルで行われ、監視が容易になります。
  • データ センター間のリンク: 大量のデータを送信する 2 つのデータ センターでは、(スループットの高い) ハードウェア VPN ゲートウェイのペアを使用して、サイト間のトラフィックを暗号化できます。これは、特にパブリック インターネットをバックアップ トランスポートとして使用する場合に当てはまります。ハードウェア デバイスは、専用チップを使用することで、マルチギガビットの暗号化リンクをより適切に実現できます。
  • コンプライアンスのニーズがある組織: 一部の業界では、FIPS 140-2 準拠の暗号化モジュールなどのハードウェア ソリューションが好まれます。多くのハードウェア VPN は、政府機関や医療機関での使用に安心できる認定を受けています。また、物理セキュリティ モジュール (スマート カードやハードウェア トークンなど) とより直接的に統合することもできます。

例: ハードウェア VPN 製品は豊富に存在します。

  • Cisco – Cisco ASA (Adaptive Security Appliance) やその後継の Cisco Firepower アプライアンスなどのデバイスは、広く使用されている VPN/ファイアウォール デバイスです。ASA は、IPsec サイト間トンネルと Cisco AnyConnect (SSL/IPsec) 経由のリモート アクセスを同時にサポートする場合があります。
  • Juniper – Juniper の SRX シリーズは、古い Juniper Netscreen アプライアンスと同様に、同様の目的を果たします。
  • Fortinet FortiGate – IPsec および SSL VPN 機能を備えた人気のファイアウォール。分散型企業でよく使用されます。
  • SonicWall – 管理しやすい VPN とセキュリティを提供する SMB アプライアンスで知られています。
  • WatchGuard、Palo Alto Networks、Check Point – すべてに、VPN ハブとして機能できるアプライアンスがあります。
  • 小規模ビジネス ルーター (一部の ASUS、Linksys モデルなど) でも、少数のユーザーに対してハードウェア VPN サーバーとして機能することをサポートしています。これらはそれほど強力ではありませんが、ハードウェア VPN 実装としてカウントされます (PC ではなくルーターが作業を行います)。

たとえば、ブランチ オフィスに Meraki MX64 デバイスがある場合、中央ダッシュボードは、HQ の Meraki アプライアンスへの VPN トンネルを自動的に確立するように構成されます。管理者は Meraki クラウドを通じてこれを監視できます。別の例として、大学は、学生や教職員がリモート接続するために使用する Pulse Secure または F5 VPN アプライアンスを導入できます。これらは多くの場合、Web ポータルを備えた特殊な SSL VPN ゲートウェイです (一般的なソフトウェア クライアントが普及する前に頻繁に使用されていました)。

要約すると、ハードウェア VPN とは専用の「VPN ボックス」を持つことです。これにより、価格が高くなり、俊敏性が低下する代わりに、優れたパフォーマンスと統合セキュリティが得られます。従来のネットワーク アーキテクチャでは、依然として非常に一般的です。

SSL VPN

概要: SSL VPN は、SSL/TLS 暗号化 (HTTPS Web ブラウジングを保護するのと同じテクノロジ) を使用して安全なトンネルを作成するタイプの VPN です。ネットワーク層で動作する IPsec VPN とは異なり、SSL VPN は通常、TLS (SSL の最新バージョン) を使用してトランスポート層またはアプリケーション層で動作します。 「SSL VPN」という用語は、多くの場合、ブラウザに組み込まれた SSL/TLS 機能を利用して、標準の Web ブラウザからアクセスできる VPN を指します。多くの組織は、クライアントレス リモート アクセスを可能にするために SSL VPN を導入しています。ユーザーはブラウザのログイン ページにアクセスして認証するだけで、特定の社内 Web アプリケーションにアクセスしたり、そのポータルからシン クライアントを使用したりできます。SSL VPN は、TLS を使用するフル トンネル VPN (OpenVPN など) を指すこともあります。これらの VPN にはクライアント ソフトウェアが必要ですが、ファイアウォールを通過するのに便利なポート 443 で TLS プロトコルを使用します。

仕組み: SSL VPN には、主に次の 2 つの形式があります。

  • SSL ポータル VPN: ユーザーは Web ブラウザを使用して HTTPS で保護された Web ページ (VPN ポータル) に接続し、サインインします。このポータル ページから、ポータルを介してプロキシされる内部リソース (Web サーバー、Web インターフェイス経由のファイル共有など) へのリンクをクリックできます。基本的に、VPN は「ブラウザベース」です。そのポータルへのユーザーのブラウザ トラフィックは SSL/TLS を介して暗号化され、VPN アプライアンスはユーザーに代わって内部サービスと通信します。これは Web サイトへの 1 つの接続であり、そのページを介して複数のサービスにアクセスできます。
  • SSL トンネル VPN: このモードでは、VPN はブラウザを介して開始される場合がありますが、その後、何らかのアクティブ コンポーネント (Java、ActiveX、HTML5 クライアントなど) を読み込むか、ローカル クライアント プログラムを使用して、より汎用的なトンネルを作成します。このトンネルは SSL/TLS (ポート 443) を介して実行されますが、Web だけでなく複数のプロトコルを伝送できます。これにより、ユーザーは、たとえば、ブラウザだけでは転送できない暗号化されたトンネルを介してリモート デスクトップやその他のアプリケーションを実行できます。多くの場合、小さなエージェントをブラウザにインストールするか、実行する必要があります。実行すると、一般的な VPN に似ていますが、トランスポートとして TLS を使用します。
  • どちらの場合も、SSL VPN と呼ばれるのは、すべての Web ブラウザがサポートする広く普及している SSL/TLS 暗号化標準を活用するためです。つまり、ユーザーは必ずしも特別な VPN クライアントを必要としません。基本的なアクセスには Web ブラウザで十分です。通信は TCP ポート 443 (HTTPS) を介して行われます。このポートは通常、ファイアウォールで開いています (ブロックされたり、複雑な構成が必要な特定の IPsec ポートとは異なります)。

最新の SSL VPN は実際には TLS を使用します (SSL 3.0 は廃止されているため) が、この用語は残っています。SSL VPN は、サーバーが SSL 証明書 (多くの場合、信頼できる CA から発行) を提示し、クライアントとの安全なセッションを確立することに依存しています。ユーザー認証は、Web インターフェイスを介してパスワード、2 要素トークンなどを使用して行うことができます。

長所:

  • 特別なクライアントは不要 (ポータル モードの場合): ユーザーは標準の Web ブラウザーを備えたあらゆるデバイスからアクセスできます。これは、サードパーティの請負業者や公共のコンピューターを使用する場合に最適です。ソフトウェアをインストールする必要がありません。アクセシビリティのハードルが低くなります。
  • ファイアウォールや NAT を簡単に通過: SSL VPN は HTTPS を使用するため、通常、ほとんどのプロキシ サーバー、NAT デバイス、ファイアウォールを問題なく通過できます。通常の Web トラフィックのように見えます。なじみのないポートをブロックする企業ネットワークの多くは 443 を許可しているため、SSL VPN が停止される可能性は低くなります。これにより、制限のあるネットワークのユーザーにとって非常に便利です。
  • きめ細かなアクセス制御: 特にポータル モードでは、管理者は VPN 経由で特定のアプリケーションのみを公開できます。たとえば、SSL VPN 経由で電子メールと社内 wiki を許可し、それ以外は許可しないというようにできます。このアプリケーション レイヤー アプローチでは、ユーザーが完全なネットワーク アクセスを取得せず、特定のサービスのみを取得するため、リスクを軽減できます。
  • BYOD 対応: 従業員が個人のデバイスや電話を使用している場合、完全な VPN クライアントをインストールしたくない (またはインストールを許可されていない) 場合があります。SSL VPN を使用すると、ブラウザー経由でログインしながら、社内の Web アプリを安全に使用できます。この柔軟性は、さまざまなデバイス環境で役立ちます。
  • 導入の容易さ: 管理者側から見ると、SSL VPN アプライアンスのセットアップは、多くの場合、ユーザーと権限の構成のみを意味します。クライアント ソフトウェアの配布はありません (トンネル モードを使用する場合は、ヘルパーの 1 回限りのインストールが必要になる場合があります)。これにより、大規模な対象ユーザー (学生や顧客など) への VPN 導入が簡素化されます。
  • アプリケーション レイヤーで暗号化: TLS は、信頼性が高く、認証された暗号化チャネルを提供します。これは、成熟したライブラリとサポートを備えた実績のあるテクノロジです。

短所:

  • ポータル モードでのアクセス制限: クライアントレス Web ポータル アプローチを使用する場合、ユーザーは通常、Web ベースのアプリケーションまたは特定のプロキシ可能なサービスにしかアクセスできません。複雑なクライアント/サーバー アプリケーションや LAN プロトコルはサポートされない可能性があります。たとえば、アプライアンスにそれらのための特定のプロキシがない限り、純粋なポータル VPN を介して SSH クライアントまたはデータベース クライアントを使用することは簡単ではありません。
  • パフォーマンスのオーバーヘッド: TCP 経由の TLS は、UDP を使用できる IPsec と比較して、一部の種類のトラフィックでは効率が少し劣る場合があります。また、多くのユーザーがデータをトランスコードまたはプロキシする Web ポータルを介してやり取りしている場合、VPN アプライアンスの CPU は多くの作業 (URL の書き換え、ファイルのダウンロードの処理など) を実行している可能性があります。トンネル モードでは、パフォーマンスは通常良好です (たとえば、OpenVPN は SSL VPN であり、パフォーマンスは良好ですが、場合によっては WireGuard/IPsec より少し遅くなります)。
  • ブラウザーの互換性とコンポーネント: プラグインに依存するトンネル モードの SSL VPN (Java または ActiveX を使用する古いものなど) では、互換性の問題が発生する可能性があります。最近のものは HTML5 または軽量エージェントに移行していますが、特にブラウザが「リスクのある」プラグインを許可することに厳しくなるにつれて、依然として問題が発生する可能性があります。
  • クライアント マシンのセキュリティ: クライアントレス アクセスの利点は欠点にもなり得ます。管理されていないコンピュータまたは公共のコンピュータから SSL VPN ポータルにログインすると、痕跡 (キャッシュされたデータ、ダウンロードなど) が残るリスクがあります。多くの SSL VPN は、キャッシュ クリーナーやタイムアウト ポリシーなどでこれを軽減しようとしますが、安全性の低いエンドポイントが使用されるリスクは残ります。
  • 完全なネットワーク トンネルではない (エージェントを使用していない場合): 完全なネットワーク アクセスが必要な場合 (たとえば、ネットワーク ドライブをマップしたり、Web 以外のアプリを使用したりする場合)、シン クライアントまたはエージェントが必要になり、ソフトウェア クライアントの領域に戻ります。その時点で、IPsec に対する利点は主にファイアウォール トラバーサルの容易さと、おそらくよりシンプルなユーザー エクスペリエンスですが、クライアント ソフトウェアが必要です (ブラウザ経由でオンザフライで配信される場合も)。

最適な使用例: SSL VPN は、さまざまなエンドポイントのユーザーに特定のアプリケーションへのリモート アクセスを提供するのに適しています。使用例:

  • 請負業者またはパートナーのアクセス: 請負業者にネットワークへの完全な VPN を提供する代わりに、必要な 1 つのアプリケーションのみを表示する SSL VPN Web ポータル ログインを提供することもできます。これにより、露出が制限され、請負業者側で複雑な設定を行う必要がなくなります。
  • 個人デバイスからの従業員のアクセス: 従業員が自宅のコンピューターから何かをすばやく確認する必要がある場合、SSL VPN ポータルを使用すると、個人のコンピューターに企業の VPN ソフトウェアをインストールしなくても、会社のイントラネットなどに安全にログインできます。
  • 大規模な導入: 大学では、学生が図書館のリソースやラボにリモートでアクセスできるようにするために SSL VPN を使用することがよくあります。学生はポータル サイトにアクセスし、キャンパスの認証情報を使用してログインし、Java ベースのトンネル クライアントを起動してラボのマシンや図書館のデータベースにアクセスします。
  • 制限の厳しいネットワーク: ユーザーがホテル、会議センター、VPN をブロックする外国などの環境にいる場合、SSL VPN は通常の HTTPS トラフィックのように見えるため、多くの場合通過できます。これは、企業の IPsec VPN がブロックされているが、バックアップ SSL VPN (ポート 443 経由) が機能している出張者にとって便利です。
  • アプリケーション層のセキュリティ要件: 組織によっては、リモート ユーザーが完全なネットワーク アクセスではなく、一連のアプリケーションのみを使用することを希望する場合があります。SSL VPN ポータルは、設計によりこれを強制します。

例: 多くのエンタープライズ VPN ソリューションは SSL VPN 機能を提供します。次に例をいくつか示します。

  • Pulse Connect Secure (旧 Juniper) – Web ポータルとフル トンネルの両方のオプションを提供する、よく知られた SSL VPN アプライアンスです。ユーザーは、Web アプリにブラウザー経由でログインするか、より広範なアクセスのために Java アプレットを起動できます。
  • Cisco ASA/Firepower – ポータル アクセス用の「クライアントレス SSL VPN」機能と、トンネルに SSL/TLS を使用できる AnyConnect クライアント (つまり、クライアント モードの SSL VPN) を提供します。
  • Palo Alto GlobalProtect – 主にエージェント ベースの VPN で、SSL/TLS (および内部の IPsec) を使用できますが、特定のアプリ用のポータル機能も備えています。
  • OpenVPN – OpenVPN は基本的に SSL VPN プロトコルです (TLS を使用します)。クライアント プログラムが必要ですが、コンシューマー VPN とビジネス VPN の両方で非常に人気があります。多くの個人向け VPN プロバイダーのカスタム プロトコル (NordVPN の NordLynx は実際には WireGuard ですが、他のプロバイダーはカスタム TLS ベースのプロトコルを持っています) は、同様の TLS トンネリングを使用します。
  • Fortinet FortiGate – SSL VPN 用の Web ポータルと、フル トンネル用の FortiClient があります。Fortinet のポータルでは、たとえば Java アプレットを起動することで、ブラウザー経由で RDP セッションを許可できます。
  • Check Point – SSL VPN ブレードも提供しており、軽量クライアントを使用したモバイル ユーザー アクセスに重点を置いていることが多いです。

具体的なシナリオを挙げると、従業員が会社の Web サイトにアクセスしてサインインします。「イントラネット」、「電子メール」、「共有ドライブ」などのオプションが表示されます。「イントラネット」をクリックすると、ポータル内で社内 SharePoint サイトが開く場合があります。さらに必要な場合は、「フル VPN を開始」をクリックします。これにより、完全な VPN トンネルを確立する小さなエージェントのダウンロードがトリガーされ、オフィス LAN 上にあるかのように Outlook アプリケーションまたはネットワーク ドライブ マッピングを使用できるようになります。これらすべては TLS で保護されています。ユーザーの観点からは非常に簡単で、管理者の観点からは、公開内容を厳密に制御し、アプリケーション レベルで使用状況を監査できます。

MPLS VPN

概要: MPLS VPN は、一般的なインターネットベースの暗号化トンネル モデルをまったく使用せず、代わりにサービス プロバイダーの MPLS ネットワークを使用してトラフィックを仮想的に分離して優先順位を付ける VPN です。MPLS (マルチプロトコル ラベル スイッチング) は、パケットにラベルが割り当てられ、事前に決定されたパスに沿って転送される高性能ルーティング手法です。 MPLS VPN では、通信事業者またはキャリアが MPLS を使用して、プロバイダーのバックボーン全体にわたって顧客用のプライベート ネットワーク セグメントを切り出します。IP ルーティングが関係する場合はレイヤー 3 VPN (L3VPN)、特定のポイントツーポイント回線の場合はレイヤー 2 VPN と呼ばれることがよくあります。MPLS VPN は通常、企業向けのサブスクリプション サービスであり、プライベート ネットワークの信頼性で複数のサイト間の接続を提供します。トラフィックは実際には共有インフラストラクチャを通過する可能性がありますが、MPLS ラベルによって分離され、エンドツーエンドで暗号化されないことがよくあります (必要に応じて暗号化を追加できます)。

簡単に言えば、MPLS VPN は、通信事業者によって公衆インターネット レーンとは別に提供される独自のプライベート高速道路レーンを持つようなものです。すべてのブランチは (ルーター接続を介して) プロバイダーのネットワークに接続し、プロバイダーはそれらの接続が互いに到達できることを保証しますが、他のユーザーの接続には到達できないようにします。多くの場合、パフォーマンス保証が付きます。

仕組み: 企業は、MPLS VPN サービスについてプロバイダー (AT&T、Verizon、BT など) と契約します。プロバイダーのネットワーク エッジ ルーター (PE ルーター) は、会社のサイト (CE – カスタマー エッジ ルーター) に接続します。プロバイダーは MPLS を使用して、会社のトラフィックにタグを付け、他の会社のトラフィックと分離します。また、ルーティング プロトコルを実行して、プロバイダーがサイト間のルーティングを処理することもできます。次の 2 つのタイプがあります。

  • レイヤー 3 MPLS VPN: プロバイダーは、顧客のネットワークで IP ルーティングに参加します (VRF (仮想ルーティングおよび転送) などのテクノロジーを使用)。プロバイダーは基本的に、IP プレフィックスを運び、それらがサイト間で確実に届くようにします。パケットには MPLS ヘッダーが付けられるため、他のサイトではなく、他のサイトにのみ配信されます。これが最も一般的です。
  • レイヤー 2 MPLS VPN: プロバイダーは、レイヤー 2 の場所間でポイントツーポイント接続 (仮想専用線または VPLS (仮想プライベート LAN サービス) など) を提供します。これは、下にある MPLS トンネルを使用して、サイト間でスイッチを拡張するようなものです。

MPLS VPN には暗号化が組み込まれていません。プロバイダーのネットワークが外部からアクセスできないため、「プライベート」です。ただし、キャリアの MPLS ネットワークに侵入するのは容易ではないため (多くの場合、トラフィックを物理的に分離するか、アクセス制御リストを使用して分離を強制します)、実際には非常に安全です。プロバイダーを完全に信頼していない一部の顧客は、二重のセキュリティのために IPsec を重ねています。

長所:

  • 保証されたパフォーマンス (QoS): MPLS VPN には SLA が付属していることがよくあります。プロバイダーがパスを制御するため、帯域幅、低遅延、低ジッターなどを保証できます。特定のトラフィック (音声やビデオなど) を他のトラフィックよりも優先できます。このサービス品質は、オープン インターネットで問題が発生する可能性のあるリアルタイム アプリケーションにとって大きなセールス ポイントです。パケットは、ルーティングが制御された管理されたバックボーンを通過し、パブリック インターネットの予測不可能性を回避します。
  • 信頼性と一貫性: MPLS ルーティングは非常に効率的です。各ルーターは、複雑な IP ルックアップを行うのではなく、ラベルを確認するだけで転送を決定します。これにより、遅延が短縮され、スループットが向上します。さらに、MPLS ネットワークには通常、冗長性と高速再ルーティングがあるため、1 つのパスに障害が発生した場合、パケットは別の事前確立されたパスにすばやく切り替えることができます。重要なデータ (金融取引、音声通話) を扱う企業にとって、MPLS VPN は信頼性の高い専用回線のように感じられます。
  • 多数のサイトに対するスケーラビリティ: プロバイダー MPLS VPN は、各サイトが相互に個別のトンネルを持つことなく、フル メッシュで数十または数百のサイトを接続できます (複雑なメッシュ化を行わない限り、サイトが増えると管理するトンネルが増える従来の VPN とは異なります)。各サイトをプロバイダー クラウドに接続するだけで、プロバイダーの MPLS がラベルを介して any-to-any 接続を処理します。これにより、大規模ネットワークの複雑さが軽減され、キャリアにオフロードできます。
  • 管理のオフロード: 企業は暗号化キー、VPN コンセントレータなどを管理する必要はありません。プロバイダーがルーティングと分離を処理します。一部の IT チームにとっては、サイトのエッジ ルーターのみに集中することで、これはより簡単に処理できます。
  • プロトコルに依存しないトランスポート: MPLS は、IP だけでなくさまざまなプロトコルを伝送できます。必要に応じてレガシー プロトコルをカプセル化し、レイヤー 2 回線をサポートできます。たとえば、企業がサイト間でフレーム リレーまたはイーサネット ブリッジングをまだ使用している場合、MPLS L2 VPN はそれに対応できます。
  • セキュリティ (実用的な意味で): 暗号化はされていませんが、MPLS VPN は閉じたエコシステムであるため、非常に安全です。通信会社がプライベート ネットワークを運営しているようなものです。堅牢な分離が行われており、「事実上プライベートだが、実質的に安全」とよく言われます。

短所:

  • 高コスト: MPLS VPN サービスは、通常、通常のインターネット接続 + VPN を使用するよりもはるかに高価です。キャリアが専用の帯域幅と管理を提供するために、プレミアム料金を支払うことになります。コストは多くの場合、距離と帯域幅に左右されます。たとえば、ニューヨークからシカゴへの 10 Mbps の MPLS リンクは、同じ速度の標準的なビジネス インターネット リンクよりもはるかに高価になる可能性があります。このため、MPLS は小規模企業や予算が限られている企業にとって魅力が薄れます。
  • プロバイダーへの依存と柔軟性の欠如: 変更は通信会社に頼る必要があります。新しいサイトを追加したり、帯域幅を増やしたりしたい場合、プロビジョニングに長い時間や契約の変更が必要になる場合があります。ソフトウェア VPN のようにボタンをクリックするだけでは済まないのです。また、そのプロバイダーのフットプリントに大きく縛られます。プロバイダーが特定の地域にサービスを提供していない場合は、別の契約やプロバイダー間のネットワーク間インターフェイスが必要になる可能性があり、事態が複雑になります。
  • エンドツーエンドで暗号化されていない: 誰かが MPLS ネットワークまたはリンクに侵入できた場合、データを傍受できる可能性があります (まれで困難ですが)。一部の企業では、非常に機密性の高いデータ レイヤー暗号化を採用していますが、その場合、いくつかの利点が失われます (プロバイダーがトラフィックを効果的に圧縮または最適化できないなど)。対照的に、インターネット経由の IPsec VPN はデフォルトで暗号化されます。
  • パブリック インターネット統合の減少: MPLS VPN はオフィスの接続に最適ですが、各サイトは通常、一般的なインターネット トラフィック用に個別のインターネット ブレークアウトを必要とするか、すべてのインターネット トラフィックを中央サイトに戻してから外に出す必要があります (これは非効率的です)。そのため、各サイトで MPLS とインターネット サービスの両方を支払うことになる可能性があります。純粋なインターネット VPN では、インターネット接続が 2 つの役割を果たします。つまり、VPN と一般的なブラウジングの両方に使用されます。
  • 新しいテクノロジへの移行: 最近、多くの組織が MPLS から SD-WAN (ソフトウェア定義 WAN) に移行しています。SD-WAN は、スマート ソフトウェアを使用して複数の安価なインターネット リンクを使用し、MPLS レベルに近い信頼性をより低コストで実現します。これと比較すると、MPLS VPN はより堅固で旧式と見なされることがあります。 MPLS は依然として頻繁に使用されていますが、コスト削減のため、その一部を SD-WAN で補完または置き換える傾向にあります。
  • プロバイダーのカバレッジによる制限: 会社が世界中にオフィスを構えている場合、すべてのキャリアがどこにでもあるわけではありません。複数の MPLS プロバイダーが必要になり、それらをリンクする必要がある場合がありますが、これは複雑で、ネットワーク間でハンドオフする場合に一部の QoS が損なわれる可能性があります。一方、パブリック インターネットは、普遍的にアクセスできます (ただし、品質はさまざまです)。

最適な使用例: MPLS VPN は次の場合に最適です。

  • 大企業または銀行: オフィス間トラフィックの稼働時間とパフォーマンスを保証する必要があります。たとえば、トランザクション処理のためにデータ センターと支店を接続する銀行は、ATM や支店システムが接続を失ったり速度が低下したりしないように、MPLS VPN を使用して高速で安定した接続を確保する場合があります。
  • リアルタイム サービス: オフィス間で VoIP 電話システムやビデオ会議を頻繁に使用する企業は、音声/ビデオ パケットが優先され、ジッターが回避されるように MPLS を利用することがよくあります。これにより、通話品質を高く維持できます。
  • マルチサイトの一貫性: たとえば、50 の小売店と 5 つの倉庫を持つ組織は、すべての場所を接続するために MPLS を使用し、在庫システムと販売システムをリアルタイムで最小限の遅延で複製し、すべてで同じネットワークを使用して管理を簡素化できます。
  • 規制対象業界: データ パスに対する高度な制御が必要な政府機関や医療機関は、暗号化されたデータをワイルド インターネット経由で送信するよりも MPLS を好む場合があります。これにより、より制御されたネットワークという認識 (および現実) が得られます。
  • インターネットが信頼できない場合: 地域や状況によっては、パブリック インターネット リンクが信頼できなかったり、遅延が長かったりする場合があります。プライベート MPLS 回線は、安定した代替手段となります。たとえば、国際企業は、海底ケーブルの予測不可能な混雑を避けるために、海を越えた接続に MPLS を使用することがあります。MPLS には遅延の保証が付いています。

例: MPLS VPN のほとんどの例はブランド製品ではなく、通信事業者からのサービスです。

  • A classic example: AT&T VPN Service connecting all sites of a multinational corporation. Each site’s router connects to AT&T’s network. AT&T handles routing such that any-to-any connectivity is achieved. The corporation might request classes of service – e.g., 30% of bandwidth reserved for voice (high priority), 20% for critical apps, rest best-effort. AT&T’s MPLS enforces this. The result is a private network spanning all offices.
  • Verizon Business IP VPN is another such offering, similarly allowing QoS and global connectivity.
  • Level 3 (now Lumen) MPLS IP VPN – these providers often have portals where you can see your network, but the implementation is behind the scenes with MPLS.
  • Some providers also offer a hybrid: MPLS links plus integrated internet failover, etc. But pure MPLS VPN implies you’re mostly relying on their private network.

技術的な例: ある会社にはパリ、ロンドン、東京にオフィスがあります。パリとロンドンでは Orange Business Services (France Telecom) から MPLS VPN を取得し、東京ではおそらく NTT から相互接続を使用して取得します。各サイトのルーターにはプロバイダーへのインターフェイスがあります。プロバイダーはそれらのルーターを会社の VPN ID (VRF) に割り当てます。ルートを交換します。パリは MPLS クラウド経由でロンドンと東京に到達する方法を知っています。パリが東京にパケットを送信すると、プロバイダーの入力ルーターは、東京の出力ルーターへのパスに対応する MPLS タグでパケットにラベルを付けます。プロバイダー ネットワークの各ホップで、ルーターはラベルに基づいてパケットをすばやく切り替えます (IP ルックアップなし)。パケットは東京のルーターに到着し、そこでラベルがポップされ、IP パケットが東京オフィス ネットワークに配信されます。この間、他の顧客のトラフィックが混ざることはありません。ラベルが異なるためであり、中間ルーターは VPN ごとに個別のラベル スペースを追跡します。会社は、これら 3 つのサイトが 1 つの大きなプライベート ルーター上にあるかのように、安定した高速接続を利用できます。

MPLS VPN は、「VPN」が必ずしも「インターネット上の暗号化されたトンネル」を意味するわけではないことを強調しています。通信事業者がプロビジョニングする「仮想プライベート ネットワーク」を意味することもあります。これらは少し目立たない存在ですが、多くの大規模ネットワークにとって依然として重要です。

L2TP (レイヤー 2 トンネリング プロトコル) VPN

概要: L2TP は、パブリック ネットワーク経由で転送するデータをカプセル化するために使用される VPN トンネリング プロトコルです。L2TP だけでは暗号化や機密性は提供されません。セキュリティのために IPsec と組み合わせて使用​​されることがよくあります。実際、「L2TP VPN」と言う場合、通常は L2TP/IPsec を意味します。これは、トンネリングに L2TP を使用し、暗号化/認証に IPsec を使用する組み合わせです。L2TP はレイヤー 2 で動作するため (名前の由来)、PPP フレームを伝送でき、IP だけでなくあらゆる種類のプロトコルをトンネリングできます。これは、PPTP (ポイントツーポイント トンネリング プロトコル) の後継として、また L2F (レイヤー 2 転送プロトコル) の拡張機能として Cisco によって設計され、両方の機能を組み合わせています。

現在、実用化されている L2TP/IPsec は、多くのオペレーティング システムでネイティブにサポートされている一般的な VPN オプションです (Windows、macOS、Linux、iOS、Android にはすべて L2TP/IPsec クライアントが組み込まれています)。 このため、サードパーティ ソフトウェアを使用せずに VPN をセットアップする場合によく使用されます。 たとえば、小規模なオフィスでは、従業員がラップトップや電話に組み込まれている VPN クライアントを使用して接続できるように、L2TP/IPsec VPN を使用する場合があります。

仕組み: L2TP は、2 つの「L2TP ピア」(通常はクライアントとサーバー) の間にトンネルを作成します。 L2TP 内にパケット (たとえば、IP パケット) をカプセル化し、UDP パケット内にカプセル化してインターネット経由で送信します (L2TP は UDP ポート 1701 を使用します)。ただし、L2TP データが送信される前に、クライアントとサーバーの間で IPsec セキュリティ アソシエーションが確立されます (IKE プロトコルを使用)。その後、すべての L2TP トラフィックはこの IPsec SA を介して送信され、通常は暗号化に IPsec ESP プロトコルが使用されます。基本的には次のようになります。

  1. クライアントとサーバーは IPsec ハンドシェイクを実行し、暗号化されたチャネルを構築します。
  2. その暗号化されたチャネル内で、クライアントは L2TP セッションを開始します。
  3. L2TP セッションは認証を行います (多くの場合、ユーザー名/パスワードまたは Windows ドメイン認証情報を使用して行われます)。
  4. 確立されると、クライアントのネットワーク トラフィックは L2TP によってカプセル化され (PPP フレームにラップするなど)、IPsec によって暗号化されてサーバーに送信されます。サーバーは次にカプセル化を解除し (IPsec で復号化してから L2TP でラップ解除)、内部パケットをターゲット ネットワークに転送します。

L2TP カプセル化は実際には二重カプセル化を行います。つまり、データには 2 つの層 (L2TP/PPP + IPsec) があるため、効率が若干低下する可能性があります。ただし、柔軟性も得られます。L2TP は必要に応じて非 IP トラフィックを伝送できます (ただし、ほとんどの場合は L2TP 内の PPP 内の IP だけです)。

長所:

  • 幅広くサポートされています: L2TP/IPsec は、ほぼすべての最新システムでデフォルトで使用できます。この普遍性により、OpenVPN などが有名になる前は特に、L2TP/IPsec が定番の選択肢でした。管理者はカスタム クライアントを配布する必要はなく、組み込みの VPN クライアントで十分です。これは、すべての環境で新しいソフトウェアをインストールできるわけではないため、今日でも一部の人が L2TP を使用する理由です。
  • 安全 (IPsec を使用): IPsec と組み合わせると、強力な暗号化 (IPsec の AES、3DES など) と認証が提供されます。IKEv1 または IKEv2 モードの IPsec は十分にテストされており、適切に構成されていれば安全です。基本的に、L2TP/IPsec のセキュリティは堅牢な IPsec から生まれます。
  • 柔軟な認証: L2TP は PPP 認証方法 (PAP、CHAP、MS-CHAPv2、EAP) を使用できます。つまり、RADIUS サーバーなどのシステムと統合してユーザー認証を行うことができ、エンタープライズ統合 (Active Directory 資格情報を使用したログインなど) が可能になります。 IPsec 自体もエンドポイントを認証します (通常は事前共有キーまたは証明書を使用)。そのため、IPsec によるマシン レベルの認証と PPP/L2TP によるユーザー レベルの認証という 2 つのレイヤーが得られます。これは、追加のセキュリティ レイヤーと見なすことができます。
  • ファイアウォール フレンドリー (ある程度): L2TP/IPsec は UDP ポートを使用します (IPsec の場合は 500 と 4500、L2TP の場合は 1701。NAT-T を使用する場合、実際には 4500 にカプセル化されます)。多くのファイアウォールがこれを処理でき、IPsec の NAT トラバーサル (NAT-T) は標準化されているため、通常は NAT の背後で機能します。SSL VPN ほどステルス性はありませんが、多くのネットワークで一般的に機能します。IPsec は UDP ベースであるため、長時間のバーストでスロットリングされる可能性のある TCP 接続は必要ありません。
  • サイト間使用: リモート アクセス用としてよく考えられていますが、L2TP はサイト間でも使用できます。特に、何らかの理由で非 IP をトンネルする必要がある場合や、既存の L2TP アプライアンスを使用したい場合などです。一部の古いルーターは、ルーター間の L2TP トンネルをサポートしていました。サイト間接続では、GRE または IPsec のみを使用することが多いですが、L2TP がオプションになる場合もあります。
  • データ用に固定ポートがない (IPsec あり): 一部の NAT が嫌う GRE プロトコルを持つ PPTP とは異なり、L2TP over IPsec は UDP パケット内に隠れます。これにより、GRE ベースの VPN よりも NAT を通過しやすくなります。

短所:

  • パフォーマンスの低下: L2TP はデータを 2 回カプセル化します (L2TP + IPsec)。これによりオーバーヘッドが増加します。具体的には、L2TP over IPsec はデータを 2 つのヘッダーにカプセル化し、2 レベルのチェックサムも行います。これにより、WireGuard や単純な IPsec などの新しいプロトコルよりも遅くなる可能性があります。二重カプセル化により、スループットが低下し、レイテンシがわずかに増加する可能性があります。また、多くの場合 UDP 上で実行され、TCP の輻輳制御のようなメカニズムがないため (内部トラフィックは TCP である可能性があります)、不安定なネットワークでは遅くなることがあります。
  • 場合によってはファイアウォールが障害になる: 通常は問題ありませんが、一部の厳格なファイアウォールでは UDP 4500/500 がブロックされ、L2TP/IPsec が機能しなくなることがあります。また、同じ NAT の背後にいる複数のユーザーが L2TP/IPsec を使用して同じ VPN サーバーに接続しようとすると、一部の古い実装で問題が発生しました (これは IPsec IKE の問題であり、多くの人が解決しましたが、歴史的には問題でした)。
  • 高度な機能がない: L2TP はかなり古い (1999 年に標準化された) ため、一部の最新の VPN プロトコルのような機敏性や機能がありません。たとえば、暗号化を動的に適応させることはなく (IPsec がネゴシエートする範囲を超えて)、Web プロキシなどをトラバースする組み込みメカニズムもありません (SSTP や OpenVPN のように)。基本的には、フォールバックがほとんどなく、機能するかしないかのどちらかです。
  • VPN フィルターによるブロックの可能性: 通常の Web トラフィックとして隠すことができる TLS とは異なり、L2TP/IPsec には識別可能なシグネチャ (UDP 500/4500 など) があります。VPN をブロックしたいネットワークや国の中には、IPsec と L2TP をターゲットにするところもあります。HTTPS は許可するかもしれませんが (SSL VPN は通過するため)、既知の VPN プロトコルはブロックされます。そのため、敵対的なシナリオでは、L2TP の方がブロックしやすい場合があります。
  • 暗号化自体がない: L2TP だけ (IPsec なし) を考えると、安全ではありません。しかし、特定のシナリオ (すでに安全なネットワークなど) を除いて、単独で使用されることはほとんどありません。インターネット VPN に IPsec なしで L2TP を使用する人はいないので、これは欠点ではないと言えるかもしれません… しかし、設計として注目すべき点は、IPsec との組み合わせに依存していることです。
  • 少し時代遅れ: 多くの VPN プロバイダーと企業は、IKEv2 または OpenVPN/WireGuard を優先して L2TP/IPsec を段階的に廃止しています。たとえば、Microsoft は、最新の Windows のクライアント VPN に IKEv2 を推し進めています。L2TP はまだ機能しますが、「最先端」とは見なされておらず、互換性またはレガシーの選択肢となっています。たとえば、一部のレポートでは、L2TP/IPsec は適切に構成されていない場合 (弱い暗号や、強力でない場合はブルートフォース攻撃される可能性のある事前共有キーを使用するデフォルト設定など) は弱体化する可能性があると指摘されています。

最適な使用例: L2TP/IPsec VPN は、標準ベースの幅広い互換性を持つ VPN が必要で、追加のソフトウェアをインストールしたくない場合に適しています。使用例は次のとおりです。

  • 小規模オフィスのリモート アクセス: 高度な VPN ソリューションの予算がない小規模な企業では、基本的な L2TP/IPsec サーバー (多くのルーターや NAS デバイスがこれをサポートしています) を使用して従業員が接続できるようにすることができます。従業員は、OS に組み込まれている VPN クライアントを使用できます。これにより、ファイルや内部システムへのアクセスなどのセキュリティが適切に確保されます。
  • デバイス互換性シナリオ: L2TP/IPsec のみをサポートするデバイス (一部の古いデバイスや特定の IoT ゲートウェイ) があるとします。L2TP を使用すると、すべてのデバイスが同じ VPN サーバーに接続できるようになります。たとえば、古い Android バージョンでは PPTP と L2TP/IPsec はサポートされていましたが、OpenVPN はそのままではサポートされていませんでした。
  • バックアップ VPN オプションとして: 組織では主に新しい VPN テクノロジを使用していますが、プライマリを使用できないデバイス (またはプライマリに障害が発生した場合) 用のフォールバックとして L2TP/IPsec を利用できるようにしておくことができます。これはすべての OS に組み込まれているため、便利なバックアップです。
  • 暗号化の柔軟性が必要なサイト間: 企業がブランチを接続し、非 IP トラフィックを実行したり二重暗号化を使用したりしたい場合、IPsec と L2TP を使用できます。ただし、これはニッチなケースです。通常は IPsec のみを使用するか、IPsec 経由の GRE を使用します。ただし、L2TP は追加レイヤーを必要とするシナリオで使用できます (例: 2 つの LAN を接続してブリッジするための IPsec トンネル内の L2TP)。
  • 教育またはラボのセットアップ: L2TP/IPsec は、VPN の概念を教える例として教科書やコースで使用されることがあります (2 層構造であるため、トンネリングと暗号化をわかりやすく示します)。そのため、ラボのシナリオに登場することがあります。

Examples:

  • Microsoft Windows Server には、L2TP/IPsec VPN クライアントを受け入れることができる「ルーティングとリモート アクセス サービス (RRAS)」の役割があります。2000 年代と 2010 年代には多くの企業がこれを使用して、Windows ラップトップが追加のソフトウェアなしで VPN 接続できるようにしました (組み込みの Windows VPN クライアントを使用するだけ)。これは、典型的な L2TP/IPsec 展開の例です。
  • Cisco ルーター (古い Cisco 2800 シリーズや現在の ISR など) は、リモート アクセス用の L2TP/IPsec サーバーとして機能できます。Cisco の QuickVPN (古いクライアント) または組み込みの Windows クライアントは、L2TP/IPsec を使用してルーターに接続します。
  • SoftEther VPN (オープンソースのマルチプロトコル VPN サーバー) は、デバイスからの L2TP/IPsec 接続を受け入れ、同時に他のプロトコルをサポートできます。これは、これが多くのオプションの 1 つとして頻繁に含まれることを示しています。
  • 多くの最新のVPNサービス(商用サービス)は、実際にはアプリがデフォルトのプロトコルとしてL2TP / IPsecを提供していませんが(OpenVPNまたはWireGuardを好む)、手動のL2TP / IPsec設定を代わりに許可することがあります。たとえば、NordVPNはアプリでL2TPをサポートしていませんが、過去に手動設定ガイドを提供していました(現在は段階的に廃止中です)。 L2TP は多くのシステムで使用できますが、正しく設定しなければ最も安全ではないと指摘しています。
  • 興味深い用途: スマートフォンに OpenVPN アプリが搭載される前は、スマートフォンをホーム ネットワークに接続したい場合、ホーム ルーター (pfSense や小規模な VPN サーバーなど) に L2TP/IPsec をセットアップして、iPhone が内蔵の VPN を使用して自宅に接続し、たとえばホーム メディアからストリーミングしたり、プライベートなものにアクセスしたりすることがよくありました。余計なアプリが要らないので便利でした。

結論として、L2TP 自体は単なるトンネリング方式 (データが通るチューブと考えてください) であり、IPsec はそのチューブを保護する鍵です。L2TP/IPsec は長年にわたって VPN の主力でした。最速でも最高級でもありませんが、十分に機能し、ほぼどこでもサポートされています。デバイスで VPN 構成画面が表示された場合、オプションとして「L2TP/IPsec」がリストされている可能性が高く、その普及度がわかります。

適切なタイプの VPN の選択

VPN にはさまざまなタイプがありますが、ニーズに合った適切なものをどのように選択すればよいでしょうか。最終的には、使用事例、環境、優先順位によって異なります。決定に役立つ簡単なチェックリストを以下に示します。

自宅からオフィス ネットワークに接続する必要がありますか (従業員または学生の場合)?
リモート アクセス VPN を使用する – これにより、デバイスをプライベート ネットワークに安全に接続できます。例: 自宅で作業する従業員は、会社のリモート アクセス VPN を使用してファイル サーバーや社内サイトにアクセスする必要があります。

場所をまたいでオフィス ネットワーク全体を統合または接続しようとしていますか?
サイト間 VPN を使用する – 複数のオフィスから 1 つの統合ネットワークを作成するのに最適です。これは、個々の PC ではなく、ルーター/ファイアウォールで構成されます。例: 支社を本社に接続して、全員がイントラネットを共有できるようにします。

オンライン プライバシー、ストリーミング、または検閲の回避を主に懸念している個人ですか?
個人用 VPN を使用する – 評判の良い消費者向け VPN サービスにサインアップします。これにより、インターネット トラフィックが暗号化され、IP がマスクされますが、プライベート企業ネットワーク (おそらく必要ありません) へのアクセスは許可されません。例: 公共の Wi-Fi で安全にブラウジングしたり、地理的にブロックされたコンテンツにアクセスしたりするには、ラップトップや電話で ExpressVPN などの個人用 VPN を使用します。

VPN ユーザーは頻繁にネットワークを切り替えたり、移動したりしますか (車両、現場作業)?
モバイル VPN を検討してください – ソリューションがシームレスなローミングをサポートしていることを確認します (IKEv2 ベースの VPN や専用のモバイル VPN クライアントなど)。例: パトカーにラップトップを装備している警察署の場合、警官が運転中でも接続を維持できるようにモバイル VPN ソリューションを導入します。

インフラストラクチャは主にクラウドにありますか、それとも VPN インフラストラクチャをアウトソーシングしますか?
クラウド VPN を選択してください – クラウド プロバイダーの VPN サービスまたはクラウド VPN ベンダーを使用します。これにより、オンプレミスのハードウェアが削減され、分散した従業員のアクセスが向上します。例: すべてのサーバーを AWS 上に持つスタートアップは、AWS クライアント VPN を使用して、チーム メンバーがどこからでもクラウド リソースに安全にアクセスできるようにします。

高性能または多数の VPN 接続用に専用のデバイスが必要ですか?
ハードウェア VPN アプライアンスを導入します – 堅牢で常時接続を必要とし、専用のハードウェアに投資できる中規模から大規模の企業に最適です。例: 企業オフィスでは、何千もの従業員やサイトの VPN 接続を確実に処理するために、Cisco または Palo Alto の VPN アプライアンスをインストールする場合があります。

パートナーや請負業者に VPN 経由の限定的なアクセスを許可していますか、それともファイアウォールを簡単に通過する必要がありますか?
SSL VPN を検討してください – これにより、Web ベースのアクセスが可能になり、複雑なクライアント設定を回避できます。ユーザーがさまざまなデバイスやネットワークを使用している場合に最適です。例: 完全なネットワーク VPN ではなく、ベンダーに SSL VPN ポータルへのログインを許可して、社内システムの在庫データを表示します。

サイト間のネットワーク パフォーマンスの保証が最優先事項であり、予算に余裕がありますか?
MPLS VPN (プロバイダー VPN) を使用する – 安定した低遅延リンク (音声、ビデオ、または重要なデータ用) が必要で、その費用を支払う意思がある場合は、キャリアの MPLS VPN サービスを選択してください。例: 病院システムは、医療アプリケーション データと VoIP 通話が常にサービス品質で保護されるように、病院と診療所を MPLS VPN で接続しています。

アプリをインストールせずに、ほとんどのデバイスでデフォルトでサポートされている VPN が必要ですか?
L2TP/IPsec (または IKEv2 IPsec) を使用する – これらのプロトコルは、主要な OS プラットフォームに組み込まれています。少し古いものですが、互換性の面で便利です。例: 中小企業が L2TP/IPsec サーバーをセットアップすると、従業員は iPhone や Windows ラップトップの組み込み VPN 設定を使用して接続できるため、新しいアプリをインストールする必要がなくなります。

リモート アクセスでは最新のセキュリティとパフォーマンスが優先されますか (カスタム アプリを使用してもかまいません)?
OpenVPN や WireGuard などの最新のプロトコルを使用する (元のリストにはありませんが、文脈上は言及する価値があります) – これらは使用上の意味での VPN の「タイプ」ではありませんが、リモート アクセスや個人用 VPN ではプロトコルの選択が重要です。たとえば、多くの個人用 VPN サービスでは、その速度から WireGuard を提供しています。従業員向けに新しい VPN を展開し、すべてのデバイスがそれをサポートできる場合、WireGuard (高速で軽量なプロトコル) は、従来の L2TP よりもリモート アクセス VPN ソリューションとして最適な選択肢です。

多くの場合、VPN の種類を組み合わせることがあります。たとえば、大企業では、コア サイトの接続に MPLS VPN を使用し、モバイル ワーカー用にリモート アクセス SSL VPN も用意し、必要に応じてサイト VPN とリモート VPN の両方を処理するために各サイトにハードウェア VPN デバイスを配置することもできます。重要なのは、解決しようとしている問題に合わせて VPN の種類を一致させることです。

  • 接続の範囲: 個々のユーザーとネットワーク全体。
  • 環境: オンプレミスとクラウドとハイブリッド。
  • モビリティ: 固定ユーザーと移動ユーザー。
  • パフォーマンスとコスト: パフォーマンスが重要で予算がある場合は MPLS、コスト削減が重要な場合はインターネットベースの VPN。
  • クライアントの考慮事項: ソフトウェアをインストールできるかどうか (インストールできない場合は、組み込みまたは SSL ポータル ソリューションを使用します)。
  • セキュリティ レベル: 記載されているすべての VPN はセキュリティを提供しますが、追加の保証またはコンプライアンスが必要な場合は、テクノロジを階層化できます (強力な認証を備えた IPsec を使用する、または MPLS と独自の暗号化を使用するなど)。

最後に、管理とメンテナンスを常に考慮することを忘れないでください。VPN には、ユーザー アカウントやキーの管理、デバイスやソフトウェアの更新、問題の監視などの維持管理が必要です。クラウド VPN や十分にサポートされているハードウェア アプライアンスなどのソリューションを使用すると、手作業の労力が軽減される可能性がありますが、DIY ソリューション (独自の OpenVPN サーバーを実行するなど) では制御が強化されますが、より実践的な管理が必要になります。

VPNの種類を一目で比較

VPNタイプ目的最適な使用例暗号化プロトコル
リモートアクセスVPN個々のユーザーをプライベートネットワークに安全に接続します。テレワーク、出張中のスタッフ、リモートワークIPsec, SSL/TLSIPsec, SSL/TLS
サイト間VPNインターネットを介してネットワーク全体(例:2つのオフィスLAN)を接続し、複数の拠点を1つのプライベートネットワークに統合します。複数のオフィスネットワークを安全に接続する通常はIPsecIPsec, GRE, MPLS
個人VPNインターネットトラフィックを暗号化し、IPアドレスを隠す商業用VPNサービスです(企業のプライベートネットワークにアクセスするためのものではありません)。オンラインプライバシー、地域制限コンテンツの回避、公共Wi-FiIPsec, WireGuardOpenVPN, IKEv2, WireGuard
モバイルVPNユーザーのデバイスが異なるネットワーク間を移動したり、接続タイプ(Wi-Fi、携帯電話など)を変更しても安定して接続を維持するVPNです。フィールドワーカー、接続が断続的なデバイスIPsec, IKEv2, プロプライエタリープロトコルIKEv2, IPsec, プロプライエタリ
クラウドVPNクラウドリソースへの安全なアクセスを提供するVPNクラウドインフラに安全に接続するIPsec, SSL/TLSIPsec, SSL/TLS
ハードウェアVPNVPN機能を独立して処理する専用デバイス(アプライアンス)パフォーマンスとセキュリティが必要な企業デバイスによって異なる、通常はIPsecプロプライエタリ(Cisco、Palo Alto、Fortinet)
SSL VPN安全なウェブアクセスのためにSSL/TLS暗号化を使用するVPNウェブブラウザーを介してリモートアクセスを提供、クライアント不要SSL/TLSSSL/TLS
MPLS VPNキャリアのMPLSネットワーク(Multi-Protocol Label Switching)を介して提供されるVPN、通常は信頼性のある管理されたプライベート接続と品質保証が必要な企業向け信頼性が高く、高性能なサイト間接続が必要な企業暗号化は内蔵されていませんが、プロバイダーによってセキュリティが確保されていますMPLS
L2TP VPNネットワーク上でデータをトンネリングし、暗号化のためにIPsecと組み合わせて使用するVPNデバイス間の互換性、基本的なセキュリティ通常はIPsecL2TP/IPsec

これらのタイプの VPN とその長所を理解することで、公共の Wi-Fi で 1 人のユーザーの接続を保護する場合でも、グローバル企業のネットワーク全体をリンクする場合でも、ニーズに最適なものを選択できます。各タイプは VPN 環境で異なる役割を果たしており、違いを理解することで、適切なツールを導入できるようになります。

FAQ: VPN の種類について

リモート アクセス VPN とサイト間 VPN の違いは何ですか?

リモート アクセス VPN を使用すると、個々のユーザーはリモート ロケーションからプライベート ネットワークに安全に接続できます。在宅勤務者や出張中の従業員がよく使用します。
サイト間 VPN は、ネットワーク全体 (2 つのオフィス LAN など) をインターネット経由で安全に接続し、異なるオフィス ロケーションが同じプライベート ネットワークの一部として機能できるようにします。複数のオフィスや支店を持つ企業に最適です。


個人用 VPN をビジネス目的で使用できますか?

個人用 VPN は主に個人使用 (ブラウジングのセキュリティ保護や地理的制限の回避など) 向けに設計されていますが、パブリック Wi-Fi にアクセスする際にプライバシーとセキュリティが必要な中小企業やフリーランサーにも使用できます。ただし、大企業やエンタープライズ レベルのセキュリティの場合は、より堅牢な機能とネットワークの制御により、リモート アクセス VPN またはサイト間 VPN の方が適しています。


クラウド VPN はどのように機能しますか?

クラウド VPN は、ユーザーまたはネットワーク全体をクラウドベースのリソースに安全に接続します。クラウド VPN は、従来のオンプレミス VPN サーバーに依存するのではなく、サードパーティ プロバイダー (AWS、Azure、Google Cloud など) がホストするインフラストラクチャを使用してデータを安全にルーティングします。クラウドベースのインフラストラクチャを持つ企業や、どこからでもクラウド リソースに安全にアクセスする必要がある分散型の従業員にとって特に便利です。


モバイル VPN は通常の VPN と異なりますか?

はい。モバイル VPN は、ユーザーが異なるネットワーク間を移動するときに (Wi-Fi からセルラー データに切り替えるなど)、安定した安全な接続を維持するように特別に設計されています。モバイル ワーカーや、常に変化するネットワーク環境でデバイスを使用するユーザーに最適です。リモート アクセス VPN などの通常の VPN では、ネットワークを切り替えるときに接続がシームレスに維持されない場合があります。


コンテンツのストリーミングに最適な VPN タイプはどれですか?

ストリーミングの目的の場合、通常、個人用 VPN が最適な選択肢です。個人用 VPN では、IP アドレスをマスクして別の場所にいるように見せることで、ユーザーが地域制限のあるコンテンツにアクセスできます。多くの VPN サービスでは、ストリーミングに最適化されたサーバーを提供しています。ただし、バッファリングを回避するために、必ず高速のプロバイダーを選択してください。


L2TP/IPsec は安全ですか?

はい、L2TP/IPsec は、暗号化のために IPsec と組み合わせると安全であると見なされます。L2TP 自体は暗号化を提供しませんが、接続を保護するために IPsec とペアにされることがよくあります。この組み合わせにより強力なセキュリティが実現しますが、OpenVPN や WireGuard などの新しい VPN プロトコルでは、パフォーマンスが向上し、より高度な機能を提供する場合があります。


MPLS VPN は従来の VPN とどう違うのですか?

MPLS VPN は、キャリアが提供するプライベート ネットワーク サービスで、マルチプロトコル ラベル スイッチング (MPLS) テクノロジを使用して、非常に安全で信頼性の高い方法で異なるサイト間のトラフィックをルーティングします。従来のインターネットベースの VPN とは異なり、MPLS VPN はパブリック インターネットに依存せず、通信会社が提供する専用の管理ネットワーク上で実行されます。大企業では、安全で高性能なサイト間接続のためによく使用されています。


技術的な知識がなくても VPN を設定できますか?

はい、多くの商用 VPN サービスでは、技術的な設定を必要としないユーザーフレンドリーなアプリを提供しています。これらのアプリには通常、ワンクリック接続と自動サーバー選択機能があり、誰でも簡単に使用できます。より高度な設定 (サイト間 VPN やクラウド VPN など) には技術的な知識が必要になる場合がありますが、多くの VPN プロバイダーがチュートリアルやカスタマー サポートを提供しており、プロセスをガイドします。


SSL VPN はファイアウォールをバイパスできますか?

はい、SSL VPN は、ほとんどのファイアウォールで通常の Web トラフィック用に通常開いている HTTPS (ポート 443) を使用するため、ファイアウォールをバイパスするためによく使用されます。これにより、制限の厳しいファイアウォールやプロキシの背後にいる場合でも、ユーザーはネットワークに接続しやすくなります。ただし、一部のファイアウォールでは SSL VPN トラフィックが識別されるとブロックされる可能性があるため、特定のネットワーク設定で効果的に機能する VPN を選択することが重要です。


中小企業に最適な VPN タイプはどれですか?

中小企業の場合、特に従業員がさまざまな場所から会社のリソースに安全にアクセスする必要がある場合は、リモート アクセス VPN が通常最も適切な選択肢です。これらの VPN はセットアップが簡単で、コスト効率が高く、ビジネス データを保護するための強力な暗号化を提供します。企業が複数の物理的な拠点を運営している場合、異なるオフィス間でネットワークを安全に接続するために、サイト間 VPN が必要になる場合があります。