IPトンネル

IPトンネルは、2つのネットワーク間のインターネットプロトコル（IP）ネットワーク通信チャネルです。パケットをカプセル化することで、別のネットワークプロトコルを転送するために使用されます。

IPトンネルは、相互にネイティブなルーティングパスを持たない2つの独立したIPネットワークを、中間トランスポートネットワークを介したルーティング可能な基盤プロトコルを介して接続するためによく使用されます。IPsecプロトコルと組み合わせることで、インターネットなどのパブリックネットワークを介して2つ以上のプライベートネットワーク間に仮想プライベートネットワークを構築できます。もう一つの重要な用途は、 IPv4インターネットを介して IPv6インストールの島々を接続することです。

IP トンネリングでは、送信元および宛先 IP ネットワークのアドレス情報を含むすべての IP パケットが、トランジットネットワークに固有の別のパケット形式内にカプセル化されます。

送信元ネットワークとトランジットネットワーク、およびトランジットネットワークと宛先ネットワークの境界では、トランジットネットワークを横断するIPトンネルのエンドポイントを確立するゲートウェイが使用されます。これにより、IPトンネルのエンドポイントはネイティブIPルーターとなり、送信元ネットワークと宛先ネットワーク間の標準IPルートを確立します。トランジットネットワークからこれらのエンドポイントを通過するパケットは、トンネリングプロトコルで使用されるトランジットフレーム形式のヘッダーとトレーラーが削除され、ネイティブIP形式に変換されてトンネルエンドポイントのIPスタックに挿入されます。さらに、IPsecやトランスポート層セキュリティなど、トランジット中に使用されるその他のプロトコルカプセル化も削除されます。

IP in IP はipencapとも呼ばれ、IP 内での IP カプセル化の例であり、RFC 2003 で説明されています。IP-in-IP の他のバリエーションとしては、IPv6-in-IPv4 ( 6in4 ) と IPv4-in-IPv6 ( 4in6 ) があります。

IPトンネリングは、元のデータグラムの具体的な性質やアドレスが隠蔽されるため、単純なファイアウォールルールを透過的に回避することがよくあります。IPトンネルをブロックするには、通常、コンテンツ制御ソフトウェアが必要です。

歴史

IP トンネリングの最初の仕様は RFC 1075 で、最初の IP マルチキャストルーティングプロトコルであるDVMRPについて説明しました。マルチキャストは特別な IPv4 アドレスを使用するため、DVMRP をテストするには、まだマルチキャストアドレスを認識しないインターネットの部分を越えて IP データグラムを送信する方法が必要でした。これは、IP トンネリングによって解決されました。IP トンネリングへの最初のアプローチでは、マルチキャストアドレスをマルチキャスト非対応ルータから隠すために、IP ルーズソースルートおよびレコード (LSRR) オプションが使用されました。マルチキャスト対応の宛先ルータは、パケットから LSRR オプションを削除し、マルチキャスト IP アドレスをパケットの IP 宛先フィールドに復元します。DVMRP 仕様のもう 1 つのアプローチは、上で説明した IP in IP でした。IP in IP はすぐに推奨されるアプローチとなり、後にMboneで使用されました。

VPN

仮想プライベートネットワーク（VPN）は、信頼できない（VPNを実装しようとしているエンティティによって制御されていないため）か、分離する必要がある（基盤となるネットワークが見えなくなるか、直接使用に適さない）1つ以上の他のネットワークを介して、プライベートネットワーク（つまり、パブリックインターネットネットワークではない任意のコンピュータネットワーク）を仮想的に拡張するためのネットワークアーキテクチャです。^{[ 1 ]}

VPNは、オフィスネットワークなど、直接アクセスできないユーザーにも、インターネット経由で外部から安全なアクセスを提供することで、プライベートネットワークへのアクセスを拡張することができます。^{[ 2 ]}これは、ネットワークトンネリングプロトコルを用いて、コンピューティングデバイスとコンピュータネットワーク間の接続を確立することで実現されます。信頼できるVPNサービスには、明確なログなしポリシー、つまりユーザーのオンライン活動に関するデータを保存しないポリシーが必須です。これはプライバシー保護に不可欠なので、細則を必ずお読みください。^{[ 3 ]}

暗号化を実装したトンネリングプロトコルを選択することで、VPNは安全でない通信環境（例えば、パブリックインターネット）でも安全に使用できます。^{[ 4 ]}このタイプのVPNの利点は、コスト削減と、リモート従業員用の専用通信回線に関する柔軟性の向上にあります。VPNが信頼できない第三者の環境にプライベートネットワークを仮想的に拡張することを意図している場合、選択したプロトコルは以下のセキュリティモデルに準拠することが望ましいです。

個人情報の漏洩やデータの傍受を防ぐ機密性。ネットワークトラフィックがパケットレベルで傍受された場合でも、攻撃者は生データではなく暗号化されたデータのみを見ることができます。
メッセージの整合性により、送信されたメッセージへの不正な干渉を検出して拒否します。データパケットは、メッセージ認証コード (MAC) を使用して不正な変更から保護されます。これにより、変更されたデータパケットの MAC 不一致によるメッセージの拒否なしに、メッセージの改ざんや不正な改ざんを防止します。

VPNは、信頼できない環境の提供者の観点から、接続ユーザーの匿名性や識別不能性を確保するように設計されていません。VPNがそのようなプライバシー機能を提供するプロトコルを使用している場合、信頼できない環境の所有者がVPNを介して送信される機密データにアクセスできないようにすることで、ユーザーのプライバシーが向上する可能性があります。^{[ 5 ]}

VPNという用語は、VPNトンネリングプロトコルを使用してクライアントを接続し、インターネットアクセス用に独自のプライベートネットワークへのアクセスを販売するVPNサービスを指す場合にも使用されます。^{[ 6 ]}^{[ 7 ]}

参照

参考文献

^ 「仮想プライベートネットワーク（VPN）」 . csrc.nist.gov . 2025年8月15日閲覧。
^ 「仮想プライベートネットワーク（VPN）とは？」 www.cisco.com . 2025年8月15日閲覧。
^ 「VPNの関係：隠れたつながりがVPNブランドを盛り上げる仕組み」 safepaper.io 2025年8月15日閲覧。
^ 「VPN暗号化：最も安全なVPN暗号化の説明（ガイド）」 www.addictivetips.com . 2025年8月15日閲覧。
^ 「仮想プライベートネットワーク（VPN）の定義」 www.rsinc.com . 2025年8月15日閲覧。
^ 「VPNとは？」 operavps.com . 2025年8月15日閲覧。
^ 「VPNとは何か？どのように機能するのか？」incogni.com。2025年8月15日閲覧。

RFC 1075
RFC 1853
RFC 2003
RFC 2473
RFC 4213

[1] 「仮想プライベートネットワーク（VPN）」 . csrc.nist.gov . 2025年8月15日閲覧。

[2] 「仮想プライベートネットワーク（VPN）とは？」 www.cisco.com . 2025年8月15日閲覧。

[3] 「VPNの関係：隠れたつながりがVPNブランドを盛り上げる仕組み」 safepaper.io 2025年8月15日閲覧。

[4] 「VPN暗号化：最も安全なVPN暗号化の説明（ガイド）」 www.addictivetips.com . 2025年8月15日閲覧。

[5] 「仮想プライベートネットワーク（VPN）の定義」 www.rsinc.com . 2025年8月15日閲覧。

[6] 「VPNとは？」 operavps.com . 2025年8月15日閲覧。

[7] 「VPNとは何か？どのように機能するのか？」incogni.com。2025年8月15日閲覧。

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]