- 「インターネットVPN」は、インターネット通信を暗号化するための仕組みです。
- ざっくり言うと、公衆 Wi-Fi からインターネットにアクセスするときに、途中経路で情報漏えいすることを防ぎます。
「テレワーク」で、社外から社内システムにアクセスするときには、通信の暗号化が必要になります。
![[VPN]「専用ネットワークを仮想化する」とは?(インターネットVPNとIP-VPN)](https://chiilabo.com/wp-content/uploads/2024/08/image-3-1024x576.jpg)
1. インターネットは「開かれた通信網」
「VPN」っていう言葉を見かけるんだけど、なんなのかな?
インターネットのセキュリティで、必要みたいなんだけど……。
もともとインターネットは、不特定多数のユーザーが利用する開かれた通信網、つまり「公衆回線」です。
伝言ゲームのようにデータが行き来しているので、知識のあるハッカーであれば 通信内容を盗み見たり改ざんしたりできます。
特に公衆 Wi-Fi は、パスワード保護されていなかったり、不特定多数がアクセスすることもあり、通信傍受などの危険性が高いです。
ただし、近年は多くのウェブサイトがセキュリティ証明書による暗号化をしているので、以前ほど簡単にはデータの傍受・改ざんはできません。
2. VPNは通信を暗号化する
企業などが外部からの侵入を排除する方法としては、これまでも拠点間を「専用線」で結ぶ、という方法がありました。
しかし、この方法は費用がかかります。
専用線のように途中経路での通信傍受を防ぐ機能を、暗号技術で代替するのが「VPN」です。
やり取りする2点間で「仮想的なトンネル」を作って覆うことで、通信内容が漏洩するリスクを減らします。
仮想的なトンネルって?
「仮想的なトンネル」とは、端的に言えば 暗号通信のことです。
通信データを暗号で保護すれば、トンネルのように周りから隠すことができます。
VPNは、「Virtual Private Network」の略で、「仮想専用線」と訳されることが多いです。
もともとは、「Private Network」という、社内システムなどを専用の回線で直接つなぐ方式がありました。ただ、費用がかかるので、インターネット回線と暗号技術で代用したのが「VPN」です。
2-1. セキュリティアプリのような月額制のサービスが多い
スマホで使う VPNは、ウイルス対策アプリのようなもので、だいたい月額 300円〜1000円ぐらいかかります。
- アバスト セキュアラインVPN
(8,780円 / 年) - ノートン セキュア VPN(3,490円/1年3台版)
(8,780円 / 年)もちろん、もっと安いものも見つかりますが、セキュリティ会社自体の信頼性を考慮して選ぶ必要があります。
タダ同然でも、情報が抜かれていたら、かえって危険だもんね。
3. VPNでは何を暗号化しているの?
VPNでは、一般的に「IPsec」という方式で、インターネット通信を暗号化します。
「IPsec」は、「Security Architecture for Internet Protocol(インターネット通信のためのセキュリティ体系)」の意味です。
IPsecで通信される情報は、コントロールシステムの「IPヘッダ」と、通信内容の本体である「データ」で構成されます。
IPsecには、2つのモードがあります。
▶ トンネルモード(強い)
▶ トランスポートモード(弱い)
基本的にトンネルモードが採用されます。
「トンネルモード」は、パケット全体が暗号化される仕組みです。
つまり、IPヘッダも暗号化されるため、通信相手の情報も保護されます。
本体データも暗号化するだけでなく、元のIPヘッダを暗号化し、新たなIPヘッダを付加します。
ただし、経路上のルーターがIPsecに対応している必要があります。
一方、「トランスポートモード」では、元のIPヘッダは暗号化せず、本データのみを暗号化する仕組みです。
トンネルモードとは異なり、基本的にはホスト間(末端のデバイス同士)でVPN接続を確立します。
ただし、本データのみを暗号化するのでは、HTTPSのセキュリティ保護(SSL/TLS)と大差ないので、あまり利用されません。
つまり、トランスポートモードだと内容だけが暗号化されるのに対して、トンネルモードだとどこに通信しているのか、というアクセス先情報も秘匿できます。
社内システムへの不正アクセスを防ぐためには、ログインページのアドレス自体を隠しておいた方がよいからです。
![パソコンはリセット厳禁 [Windowsの初期化]](https://chiilabo.com/wp-content/uploads/2023/02/image-54-1024x576.png)
