
仮想プライベートネットワーク(VPN)は、ネットワーク仮想化を使用して、暗号化とトンネリングプロトコルを介してインターネットなどのパブリックネットワーク全体にプライベートネットワークを拡張するオーバーレイネットワークです。[1] VPNでは、トンネリングプロトコルを使用して、ネットワークメッセージを1つのネットワークホストから別のネットワークホストに転送します。
ホスト対ネットワークVPNは、組織において、オフサイトユーザーがインターネット経由でオフィスネットワークに安全にアクセスできるようにするために一般的に使用されています。[2] [3]サイト対サイトVPNは、オフィスネットワークとデータセンターなど、2つのネットワークを接続します。プロバイダーが提供するVPNは、プロバイダー自身のネットワークインフラストラクチャの一部を仮想セグメントに分離し、各セグメントのコンテンツを他のセグメントに対してプライベートに保ちます。個人もまた、VPNを使用してネットワークトラフィックを暗号化および匿名化しており、VPNサービスは自身のプライベートネットワークへのアクセスを販売しています。
VPNは、ISPがVPN経由で交換される個人データにアクセスできないようにすることで、利用時のプライバシーを強化します。暗号化により、VPNは機密性を高め、データスニッフィング攻撃のリスクを軽減します。
ネットワークとは、ホストと呼ばれる通信を行うコンピュータのグループであり、ネットワークハードウェアによって実現される通信プロトコルを介して他のホストとデータを通信します。コンピュータネットワーク内では、コンピュータはネットワークアドレスによって識別され、インターネットプロトコルなどのルールベースのシステムはネットワークアドレスを使用してホストを検索および識別します。ホストにはホスト名(ホストノードの識別しやすいラベル)が付けられる場合もあります。ホスト名は最初に割り当てられた後は、ほとんど変更されません。情報交換をサポートする伝送媒体には、銅線、光ファイバー、無線周波数媒体などの有線媒体が含まれます。ネットワークアーキテクチャ内のホストとハードウェアの配置は、ネットワークトポロジと呼ばれます。[4] [5]
物理的な伝送媒体とは別に、ネットワークは、ネットワーク インターフェイス コントローラ、リピータ、ハブ、ブリッジ、スイッチ、ルータ、モデムなどのネットワーク ノードで構成されます。
通信プロトコルとは、ネットワーク上で情報を交換するための一連の規則です。通信プロトコルには、コネクション指向型かコネクションレス型か、回線交換型かパケット交換型かなど、様々な特性があります。
プロトコルスタックは、多くの場合OSI参照モデルに基づいて構築され、通信機能はプロトコル層に分割されます。各層は下位層のサービスを活用し、最下層はメディアを介して情報を送信するハードウェアを制御します。プロトコル階層化は、コンピュータネットワークの分野で広く用いられています。プロトコルスタックの重要な例として、ワールドワイドウェブプロトコルであるHTTPが挙げられます。HTTPはインターネットプロトコルであるTCP over IP上で動作し、TCP over IPはWi-FiプロトコルであるIEEE 802.11上で動作します。このスタックは、無線ルーターとパソコン 間でウェブにアクセスする際に使用されます。
現代のコンピュータネットワークのほとんどは、パケットモード伝送に基づくプロトコルを使用しています。ネットワークパケットとは、パケット交換ネットワークによって伝送されるフォーマットされたデータ単位です。パケットは、制御情報とユーザーデータ(ペイロード)の2種類のデータで構成されます。制御情報は、ネットワークがユーザーデータを配信するために必要なデータ(送信元および宛先ネットワークアドレス、エラー検出コード、シーケンス情報など)を提供します。通常、制御情報はパケットヘッダーとトレーラーに含まれ、ペイロードデータはその間に存在します。
インターネットプロトコルスイート(TCP/IPとも呼ばれる)は、あらゆる現代ネットワークの基盤であり、インターネットを定義するプロトコル群です。インターネットプロトコル(IP)を用いたデータグラム伝送によって構成される、本質的に信頼性の低いネットワーク上で、コネクションレス型およびコネクション指向型のサービスを提供します。このプロトコルスイートの中核は、インターネットプロトコルバージョン4(IPv4)および、アドレス指定機能が大幅に拡張された次世代プロトコルであるIPv6のアドレス指定、識別、ルーティング仕様を定義しています。 [6]
VPNは、インターネットサービスプロバイダー(ISP)などの信頼できない中間ネットワークプロバイダーに対して、接続ユーザーを匿名化したり、識別不能にしたりするものではありません。しかし、VPNはISPがVPN経由で交換される個人データにアクセスできないようにすることで、利用プライバシーを強化します。VPNは暗号化を通じて機密性を高め、データスニッフィング攻撃のリスクを軽減します。VPNを通過するデータパケットは、メッセージ認証コードによる改ざん防止によって保護されることもあり、メッセージの改ざんや拒否を防止し、データの整合性を高めます。[要出典]
接続先の認証を確実に行うための実装は他にも数多く存在します。トンネルエンドポイントは、VPNアクセス開始時に、エンドポイントIPアドレスのホワイトリスト登録など、様々な方法で認証できます。また、実際のトンネルが既にアクティブになった後に、例えばWebキャプティブポータルなどを用いて認証を行うこともできます。リモートアクセスVPNでは、パスワード、生体認証、二要素認証、その他の暗号化方式が使用される場合もあります。サイト間VPNでは、パスワード(事前共有鍵)やデジタル証明書が使用されることが多いです。[要出典]
スプリットトンネリングは、ユーザーが同一または異なるネットワーク接続を使用して、異なるセキュリティドメインに同時にアクセスすることを可能にします。[7]この接続状態は通常、LANネットワークインターフェースコントローラ(NIC)、無線NIC、無線LAN NIC、および仮想プライベートネットワーククライアントソフトウェアアプリケーションの同時使用によって実現されます。スプリットトンネリングは、リモートアクセスVPNクライアントを使用して構成されることが最も一般的であり、ユーザーは近くの無線ネットワーク、オフサイトの企業ネットワーク上のリソース、そしてインターネット上のウェブサイトに同時に接続できます。
すべてのVPNがスプリットトンネリングを許可しているわけではない。[8] [9] [10]スプリットトンネリングの利点には、ボトルネックの緩和、帯域幅の節約(インターネットトラフィックがVPNサーバーを通過する必要がないため)、リモートでリソースにアクセスするときにユーザーが継続的に接続と切断を行う必要がないことなどがある。[要出典]欠点には、DNSリークや、会社のインフラストラクチャ内に配置されている可能性のあるゲートウェイレベルのセキュリティをバイパスする可能性などがある。[11] インターネットサービスプロバイダーは、DNSハイジャックの目的でスプリットトンネリングを使用することが多い。

ホスト・ツー・ネットワーク構成は、1台以上のコンピュータを、直接接続できないネットワークに接続することに似ています。このタイプの拡張により、コンピュータはリモートサイトのローカルエリアネットワーク、またはイントラネットなどのより広範な企業ネットワークにアクセスできるようになります。各コンピュータは、接続先のネットワークへのトンネルをそれぞれ起動する必要があります。接続されたネットワークは、トンネルごとに1つのリモートホストのみを認識します。これは、リモートワーカー向けに利用したり、パブリックインターネットに公開することなく、自宅や会社のプライベートリソースにアクセスできるようにするために利用できます。[要出典]
サイト間構成は、2つのネットワークを接続します。この構成は、地理的に離れた場所にネットワークを拡張します。トンネリングは、各ネットワーク拠点に設置されたゲートウェイデバイス間でのみ行われます。これらのデバイスは、反対側の任意のホストにアクセスしようとする他のローカルネットワークホストにトンネルを提供します。これは、オフィスネットワークと本社やデータセンターのように、サイト間の安定した接続を維持するのに役立ちます。この場合、相手側への接続方法さえ分かっていれば、どの側からでも通信を開始できます。サイト間構成の文脈では、「イントラネット」と「エクストラネット」という用語は、2つの異なるユースケースを表すために使用されます。[12]イントラネットサイト間VPNは、VPNによって接続されるサイトが同じ組織に属する構成を表しますが、エクストラネットサイト間VPNは、複数の組織に属するサイトを結合します。[要出典]
従来のVPNの限界は、ポイントツーポイント接続であり、ブロードキャストドメインをサポートしていない傾向があることです。そのため、レイヤー2およびブロードキャストパケット( Windowsネットワークで使用されるNetBIOSなど)に基づく通信、ソフトウェア、ネットワークは、ローカルエリアネットワークのように完全にはサポートされない可能性があります。仮想プライベートLANサービス(VPLS)やレイヤー2トンネリングプロトコルなどのVPNの派生は、この限界を克服するために設計されています。[13]
信頼されたVPNは暗号化トンネリングを使用せず、トラフィックの保護を単一のプロバイダーネットワークのセキュリティに依存します。[14] マルチプロトコルラベルスイッチング(MPLS)は、多くの場合、信頼されたVPNをオーバーレイし、信頼された配信ネットワーク上でサービス品質制御を行います。セキュアVPNは、基盤となる配信ネットワークを信頼するか、内部メカニズムによってセキュリティを強化します。信頼された配信ネットワークが物理的に安全なサイト間でのみ実行される場合を除き、信頼されたモデルとセキュアなモデルの両方において、ユーザーがVPNにアクセスするための認証メカニズムが必要です。[要出典]
モバイル仮想プライベートネットワークは、VPNのエンドポイントが単一のIPアドレスに固定されておらず、携帯電話会社のデータネットワークや複数のWi-Fiアクセスポイント間など、さまざまなネットワーク間をローミングする環境で使用されます。VPNセッションが中断されたり、アプリケーションセッションが失われたりすることはありません。[15]モバイルVPNは、法執行官がコンピュータ支援ディスパッチや犯罪データベースなどのアプリケーションにアクセスできるようにする公共安全の分野で広く使用されており、[16]フィールドサービス管理や医療など、同様の要件を持つ他の組織でも使用されています。[17] [確認するには引用が必要です]
ダイナミックマルチポイント仮想プライベートネットワーク(DMVPN)[18]は、 Cisco IOSベースのルータ、Huawei AR G3ルータ[19] 、およびUnix系オペレーティングシステムでサポートされている仮想プライベートネットワークの動的トンネリング形式です。
DMVPNは、 IPsecやISAKMPピアなど、トンネルエンドポイントのあらゆるピアを事前に静的に設定する必要なく、ダイナミックメッシュVPNネットワークを構築する機能を提供します。 [20] DMVPNは、スポーク上のハブ(VPNヘッドエンド)を静的に設定することで、ハブアンドスポークネットワークを構築するように初期設定されます。新しいスポークを受け入れるためにハブの設定変更は必要ありません。この初期のハブアンドスポークネットワークを使用することで、ハブやスポークに追加の設定を加えることなく、スポーク間のトンネルがオンデマンドで動的に構築されます。このダイナミックメッシュ機能により、スポークネットワーク間でデータをルーティングする際にハブにかかる負荷が軽減されます。[要出典]
イーサネットVPN(EVPN)は、広域ネットワークプロトコルを用いてOSIレイヤー2 イーサネットトラフィックを仮想プライベートネットワークとして伝送する技術である。EVPN技術には、イーサネット・オーバー・マルチプロトコル・ラベル・スイッチング(MPLS)やイーサネット・オーバー・仮想拡張LANなどがある。[21] [22]
マルチプロトコルラベルスイッチング(MPLS)は、通信ネットワークにおけるルーティング技術であり、ネットワークアドレスではなくラベルに基づいてデータをあるノードから次のノードに転送します。 [23]ネットワークアドレスはエンドポイントを識別しますが、MPLSラベルはエンドポイント間の確立されたパスを識別します。MPLSは、さまざまなネットワークプロトコルのパケットをカプセル化できます。
実際には、MPLSは主にIP プロトコルデータユニットと仮想プライベートLANサービス( VPN)のイーサネットトラフィックの転送に使用されます。MPLSの主な用途は、通信トラフィックエンジニアリングとMPLS VPNです。MPLSはインターネットプロトコル(IP)とそのルーティングプロトコル(通常は内部ゲートウェイプロトコル(IGP))と連携して動作し、トラフィックエンジニアリング、重複アドレス空間を持つレイヤVPNのトランスポート機能、およびさまざまなトランスポートペイロード( IPv4、IPv6 、ATM、フレームリレーなど)をトランスポートできるレイヤ2擬似回線をサポートする、動的で透過的な仮想ネットワークの構築をサポートします。[24] [25]
仮想プライベートLANサービス(VPLS)は、 IPまたはMPLSネットワーク上でイーサネットベースのマルチポイントツーマルチポイント通信を提供する仮想プライベートネットワーク技術です。VPLSは、疑似回線を介してサイト(サーバーとクライアントの両方を含む)を接続することで、地理的に分散したサイトがイーサネットブロードキャストドメインを共有できるようにします。[26]疑似回線として使用できる技術には、Ethernet over MPLS、L2TPv3、さらにはGREなどがあります。VPLSの確立については、 IETF標準化過程のRFC (RFC 4761とRFC 4762)が2つあります。L2TPv3がポイントツーポイントのOSIレイヤー2トンネルのみを許可するのに対し、VPLSはエニーツーエニー(マルチポイント)接続を許可します。[27] [28]
プロバイダープロビジョニング VPN (PPVPN) は、接続サービス プロバイダーまたは大企業が独自に運用するネットワーク上で実装する仮想プライベート ネットワーク (VPN) です。これに対し、「顧客プロビジョニング VPN」では、プロバイダーの技術的な詳細に基づいて接続サービスを取得する顧客によって VPN が実装されます。

仮想プライベート ネットワークはトンネリング プロトコルに基づいており、他のネットワーク プロトコルやアプリケーション プロトコルと組み合わせて、セキュリティと機能をさらに強化することができます。
インターネットプロトコルセキュリティ(IPsec)は、標準ベースのセキュリティプロトコルであり、当初はインターネット技術タスクフォース(IETF)によってIPv6用に開発され、RFC 6434で推奨事項になるまでは、すべての標準準拠のIPv6実装で必須でした。[29] IPv4でも広く使用されています。
IPSecの設計は、可用性、整合性、機密性といったほとんどのセキュリティ目標を満たしています。IPsecは暗号化を使用し、 IPパケットをIPsecパケット内にカプセル化します。カプセル化解除はトンネルの終端で行われ、元のIPパケットが復号化されて目的の宛先に転送されます。IPsecはネットワークハードウェアアクセラレータによってサポートされていることが多く[30] 、常時接続のリモートアクセスVPN構成など、低消費電力のシナリオにはIPsec VPNが適しています。[31] [32]
IPsecトンネルは、インターネット鍵交換(IKE)プロトコルによって設定されます。IKEバージョン1で構築されたIPsecトンネル(IKEv1トンネル、または単に「IPsecトンネル」と呼ばれることもあります)は、VPNを提供するために単独で使用できますが、多くの場合、レイヤー2トンネリングプロトコル(L2TP)と組み合わせて、既存のL2TP関連の実装を再利用することで、より柔軟な認証機能(Xauthなど)を実現します。
MicrosoftとCiscoによって開発されたIKEバージョン2は、単独でIPsec VPN機能を提供するのに使用できます。主な利点は、拡張認証プロトコル(EAP)による認証をネイティブでサポートしていることと、 3Gまたは4G LTEネットワーク上のモバイルデバイスでローミングする際に発生する、関連付けられたホストのIPアドレスが変更された場合でもトンネルをシームレスに復元できることです。
トランスポート層セキュリティ(SSL/TLS)は、ネットワーク全体のトラフィックをトンネリング(OpenVPNプロジェクトやSoftEther VPNプロジェクト[33]のように)することも、個々の接続を保護することもできます。多くのベンダーがTLSを介したリモートアクセスVPN機能を提供しています。TLSベースのVPNは、通常のTLSウェブナビゲーション( HTTPS )がサポートされている場所から、追加の設定を必要とせずに接続できます。
OpenSSHは、ネットワーク、ネットワーク間リンク、およびリモートシステムへの[曖昧な]リモート接続を保護するためのVPNトンネリング(ポートフォワーディングとは異なる)を提供します。OpenSSHサーバーは、限られた数の同時トンネルを提供します。VPN機能自体は個人認証をサポートしていません。 [34] SSHは、サイト間VPN接続ではなく、マシンまたはネットワークへのリモート接続によく使用されます。
OpenVPNは、TLSプロトコルをベースにした無料のオープンソースVPNプロトコルです。Perfect Forward Secrecy(PFS)と、 AES、Serpent、TwoFishといった最新の安全な暗号スイートをサポートしています。現在(2023年3月時点では古い可能性があります) 、安全なVPN技術を提供する非営利団体であるOpenVPN Inc.によって開発および更新されています。
SSTP (Secure Socket Tunneling Protocol)は、SSL/TLSチャネルを介してポイントツーポイント プロトコル(PPP) トラフィックを転送するメカニズムを提供する VPN トンネルの一種です。
WireGuardはプロトコルです。2020年には、Linux [35]とAndroid [36]の両方のカーネルにWireGuardのサポートが追加され、VPNプロバイダーによる採用が可能になりました。WireGuardはデフォルトで、鍵交換にCurve25519プロトコル、暗号化とメッセージ認証にChaCha20-Poly1305を使用しますが、クライアントとサーバー間で対称鍵を事前共有する機能も備えています。 [37]
デスクトップ、スマートフォン、その他のエンドユーザーデバイスのオペレーティングシステムでは、通常、グラフィカルツールまたはコマンドラインツールからリモートアクセスVPNの構成がサポートされています。[47] [48] [49]ただし、VPNプロトコルは多様で、多くの場合標準ではないため、OSでネイティブサポートされていない、またはネイティブサポートされなくなった追加のプロトコルを実装するサードパーティアプリケーションが多数存在します。 たとえば、Androidはバージョン11までネイティブIPsec IKEv2をサポートしていなかったため、 [50]ユーザーはその種類のVPNに接続するためにサードパーティアプリをインストールする必要がありました。 逆に、Windowsは、プレーンなIPsec IKEv1リモートアクセスネイティブVPN構成( CiscoおよびFritz!Box VPNソリューションで一般的に使用)をネイティブでサポートしていません。
ファイアウォールなどのネットワークアプライアンスには、リモートアクセスまたはサイト間接続用のVPNゲートウェイ機能が搭載されていることがよくあります。管理インターフェースでは、サポートされているプロトコルを選択して仮想プライベートネットワーク(VPN)を簡単に設定できます。ファイアウォールやネットワークデバイス専用のオープンソースオペレーティングシステム(OpenWrt、IPFire、PfSense 、 OPNsenseなど)では、不足しているソフトウェアコンポーネントやサードパーティ製アプリをインストールすることで、追加のVPNプロトコルのサポートを追加できる場合があります。[要出典]
独自のハードウェアまたはソフトウェアプラットフォームに基づくVPN機能を備えた商用アプライアンスは、通常、製品全体で一貫したVPNプロトコルをサポートしていますが、実装されているユースケース以外でのカスタマイズは許可していません。これは、VPNのハードウェアアクセラレーションを利用してスループットを向上させたり、同時接続ユーザー数の増加に対応したりするアプライアンスによく見られます。[要出典]
2025年には17億5000万人がVPNを利用すると予測されています。2027年までに、この市場は760億ドルに成長すると予測されています。[51]
[...] フレーム リレーなどの専用回線を使用する VPN は、[...]サービス プロバイダーによって運用されるネットワーク設備が侵害されないことを顧客が信頼するため、信頼できる VPNと呼ばれることもあります。
。以前は、IPv6はIPsecの実装を義務付け、IKEによる鍵管理アプローチを推奨していました。本文書は、IPsecアーキテクチャRFC4301のサポートをすべてのIPv6ノードで推奨とすることで、この推奨事項を更新します。
{{cite journal}}: CS1 maint: DOI inactive as of July 2025 (link)[リンク切れ]
は、CiscoのAnyConnect SSL VPNクライアントです。[...] OpenConnectは、Cisco Systemsによって公式にサポートされておらず、またいかなる形でもCisco Systemsと提携していません。たまたま同社の機器と相互運用性があるというだけのことです。