仮想プライベートネットワーク

この記事は検証のために追加の引用が必要です。信頼できる情報源からの引用を追加することで、この記事の改善にご協力ください。出典のない資料は異議を唱えられ、削除される可能性があります。出典を探す: 「仮想プライベートネットワーク」  – ニュース·新聞·書籍·学者· JSTOR      ( 2025年9月) (このメッセージを削除する方法と時期については、こちらをご覧ください)

仮想プライベートネットワーク（VPN）は、ネットワーク仮想化を使用して、暗号化とトンネリングプロトコルを介してインターネットなどのパブリックネットワークを介してプライベートネットワークを拡張するオーバーレイネットワークです。^{[ 1 ]} VPNでは、トンネリングプロトコルを使用して、ネットワークメッセージを1つのネットワークホストから別のネットワークホストに転送します。

ホスト対ネットワークVPNは、組織において、オフサイトユーザーがインターネット経由でオフィスネットワークに安全にアクセスできるようにするために一般的に使用されています。^{[ 2 ] [ 3 ]}サイト対サイトVPNは、オフィスネットワークとデータセンターなど、2つのネットワークを接続します。プロバイダーが提供するVPNは、プロバイダー自身のネットワークインフラストラクチャの一部を仮想セグメントに分離し、各セグメントのコンテンツを他のセグメントに対してプライベートに保ちます。個人もまた、VPNを使用してネットワークトラフィックを暗号化および匿名化しており、VPNサービスは自身のプライベートネットワークへのアクセスを販売しています。

VPNは、ISPがVPN経由で交換される個人データにアクセスできないようにすることで、利用時のプライバシーを強化します。暗号化により、VPNは機密性を高め、データスニッフィング攻撃のリスクを軽減します。

ネットワークとは、ホストと呼ばれる通信コンピュータのグループであり、ネットワークハードウェアによって実現される通信プロトコルを介して他のホストとデータを通信します。コンピュータネットワーク内では、コンピュータはネットワークアドレスによって識別され、インターネットプロトコルなどのルールベースのシステムはネットワークアドレスを使用してホストを検索および識別できます。ホストにはホスト名（ホストノードの覚えやすいラベル）が付けられる場合もあります。ホスト名は最初に割り当てられた後はめったに変更されません。情報交換をサポートする伝送媒体には、銅線、光ファイバー、無線周波数媒体などの有線媒体があります。ネットワークアーキテクチャ内のホストとハードウェアの配置は、ネットワークトポロジと呼ばれます。^{[ 4 ] [ 5 ]}

物理的な伝送媒体とは別に、ネットワークは、ネットワーク インターフェイス コントローラ、リピータ、ハブ、ブリッジ、スイッチ、ルータ、モデムなどのネットワーク ノードで構成されます。

• ネットワークインターフェースコントローラ（NIC）は、コンピュータをネットワークメディアに接続するコンピュータハードウェアです。イーサネットネットワークでは、各NICには固有のメディアアクセス制御（MAC）アドレスが割り当てられており、通常はコントローラの永続メモリに保存されます。
• リピーターとは、ネットワーク信号を受信し、不要なノイズを除去して再生する電子機器です。信号はより高い出力レベルで、または障害物の反対側へ再送信されるため、信号は劣化することなくより長い距離をカバーできます。
• 複数のポートを備えたイーサネットリピーターは、イーサネットハブと呼ばれます。ハブは、ネットワーク信号の調整と分配に加え、ネットワークの衝突検出と障害分離にも役立ちます。LANにおけるハブとリピーターは、現代のネットワークスイッチによってほぼ廃止されています。
• すべてのポートに通信を転送するハブとは異なり、ネットワークスイッチは通信に関係するポートにのみフレームを転送します。スイッチは通常、多数のポートを備えており、デバイスのスター型トポロジーを容易に構築したり、追加のスイッチをカスケード接続したりすることができます。ネットワークブリッジは、2ポートスイッチに相当します。
  • ブリッジとスイッチはOSI参照モデルのデータリンク層で動作し、2つ以上のネットワークセグメント間のトラフィックをブリッジして単一のローカルネットワークを形成します。どちらも、各フレームの宛先MACアドレスに基づいてポート間でデータフレームを転送するデバイスです。ブリッジングとスイッチングによるネットワークのセグメンテーションは、大規模で混雑したネットワークを、より小規模で効率的なネットワークの集合体に分割するのに役立ちます。
• ルーターは、パケットに含まれるアドレス指定またはルーティング情報を処理して、ネットワーク間でパケットを転送するインターネットワーキング デバイスです。
• モデム(変調器-復調器) は、元々デジタル ネットワーク トラフィック用またはワイヤレス用に設計されていない有線経由でネットワーク ノードを接続するために使用されます。

通信プロトコルとは、ネットワーク上で情報を交換するための一連の規則です。通信プロトコルには、コネクション指向型かコネクションレス型か、回線交換型かパケット交換型かなど、様々な特性があります。

プロトコルスタックは、多くの場合OSI参照モデルに基づいて構築され、通信機能はプロトコル層に分割されます。各層は下位層のサービスを活用し、最下層はメディアを介して情報を送信するハードウェアを制御します。プロトコル階層化は、コンピュータネットワークの分野で広く用いられています。プロトコルスタックの重要な例として、ワールドワイドウェブプロトコルであるHTTPが挙げられます。HTTPはインターネットプロトコルであるTCP over IP上で動作し、TCP over IPはWi-FiプロトコルであるIEEE 802.11上で動作します。このスタックは、無線ルーターとパソコン 間でウェブにアクセスする際に使用されます。

現代のコンピュータネットワークのほとんどは、パケットモード伝送に基づくプロトコルを使用しています。ネットワークパケットとは、パケット交換ネットワークによって伝送されるフォーマットされたデータ単位です。パケットは、制御情報とユーザーデータ（ペイロード）の2種類のデータで構成されます。制御情報は、ネットワークがユーザーデータを配信するために必要なデータ（送信元および宛先ネットワークアドレス、エラー検出コード、シーケンス情報など）を提供します。通常、制御情報はパケットヘッダーとトレーラーに含まれ、ペイロードデータはその間に存在します。

インターネットプロトコルスイート（TCP/IPとも呼ばれる）は、あらゆる現代ネットワークの基盤であり、インターネットを定義するプロトコル群です。インターネットプロトコル（IP）を用いたデータグラム伝送によって構成される、本質的に信頼性の低いネットワーク上で、コネクションレス型およびコネクション指向型のサービスを提供します。このプロトコルスイートの中核は、インターネットプロトコルバージョン4（IPv4）および、アドレス指定機能が大幅に拡張された次世代プロトコルであるIPv6のアドレス指定、識別、ルーティング仕様を定義しています。 ^{[ 6 ]}

VPNは、インターネットサービスプロバイダー（ISP）などの信頼できない中間ネットワークプロバイダーに対して、接続ユーザーの匿名化や識別不能化を行うものではありません。しかし、VPNはISPがVPN経由で交換される個人データにアクセスできないようにすることで、利用プライバシーを強化します。VPNは暗号化を通じて機密性を高め、データスニッフィング攻撃のリスクを軽減します。VPNを通過するデータパケットは、メッセージ認証コードによる改ざん防止によって保護される場合もあります。メッセージ認証コードは、メッセージの改ざんや改ざんが拒否されることなく行われることを防ぎ、データの整合性を高めます。

接続相手の認証を確実に行うための実装は他にも数多く存在します。トンネルエンドポイントは、VPNアクセス開始時に、エンドポイントIPアドレスのホワイトリスト登録など、様々な方法で認証できます。また、Webキャプティブポータルなど、実際のトンネルが既にアクティブになった後に認証が行われる場合もあります。リモートアクセスVPNでは、パスワード、生体認証、二要素認証、その他の暗号化方式が使用される場合もあります。サイト間VPNでは、パスワード（事前共有鍵）やデジタル証明書がよく使用されます。

スプリットトンネリングは、ユーザーが同一または異なるネットワーク接続を使用して、異なるセキュリティドメインに同時にアクセスすることを可能にします。^{[ 7 ]}この接続状態は通常、LANネットワークインターフェースコントローラ（NIC）、無線NIC、無線LAN NIC、および仮想プライベートネットワーククライアントソフトウェアアプリケーションの同時使用によって実現されます。スプリットトンネリングは、リモートアクセスVPNクライアントを使用して構成されることが最も一般的であり、ユーザーは近くの無線ネットワーク、オフサイトの企業ネットワーク上のリソース、そしてインターネット上のウェブサイトに同時に接続できます。

すべての VPN がスプリット トンネリングを許可しているわけではありません。^{[ 8 ] [ 9 ] [ 10 ]}スプリット トンネリングの利点には、ボトルネックの緩和、帯域幅の節約(インターネット トラフィックが VPN サーバーを通過する必要がないため)、リモートでリソースにアクセスするときにユーザーが継続的に接続と切断を行う必要がないことなどがあります。欠点には、DNS リークや、会社のインフラストラクチャ内に配置されている可能性のあるゲートウェイ レベルのセキュリティをバイパスする可能性などがあります。^{[ 11 ]} インターネット サービス プロバイダーは、DNS ハイジャックの目的でスプリット トンネリングを使用することが多いです。

ホスト・ツー・ネットワーク構成は、1台以上のコンピュータを、直接接続できないネットワークに接続することに似ています。このタイプの拡張により、コンピュータはリモートサイトのローカルエリアネットワーク、またはイントラネットなどのより広範な企業ネットワークにアクセスできるようになります。各コンピュータは、接続先のネットワークへのトンネルをそれぞれアクティブ化する必要があります。接続されたネットワークは、トンネルごとに1つのリモートホストのみを認識します。これは、リモートワーカー向けに利用したり、パブリックインターネットに公開することなく、自宅や会社のプライベートリソースにアクセスできるようにするために 使用できます。

サイト間構成は、2 つのネットワークを接続します。この構成により、地理的に離れた場所にネットワークが拡張されます。トンネリングは、各ネットワークの場所にあるゲートウェイ デバイス間でのみ行われます。これらのデバイスは、反対側のホストに到達しようとする他のローカル ネットワーク ホストがトンネルを利用できるようにします。これは、オフィス ネットワークと本社またはデータセンターのように、サイト同士を安定して接続しておくのに役立ちます。この場合、相手側に到達する方法さえわかっていれば、どの側からでも通信を開始するように構成できます。サイト間構成のコンテキストでは、イントラネットとエクストラネットという用語は、2 つの異なる使用ケースを表すために使用されます。^{[ 12 ]}イントラネットサイト間 VPN は、VPN で接続されたサイトが同じ組織に属している構成を表します。一方、エクストラネットサイト間 VPN は、複数の組織に属しているサイトを結合します。

従来のVPNの限界は、ポイントツーポイント接続であり、ブロードキャストドメインをサポートしていない傾向があることです。そのため、レイヤー2およびブロードキャストパケット（ Windowsネットワークで使用されるNetBIOSなど）に基づく通信、ソフトウェア、ネットワークは、ローカルエリアネットワークのように完全にはサポートされない可能性があります。仮想プライベートLANサービス（VPLS）やレイヤー2トンネリングプロトコルなどのVPNの派生は、この限界を克服するために設計されています。^{[ 13 ]}

信頼されたVPNは暗号化トンネリングを使用せず、トラフィックの保護を単一のプロバイダーネットワークのセキュリティに依存します。^{[ 14 ]}マルチプロトコルラベルスイッチング（MPLS）は、多くの場合、信頼されたVPNをオーバーレイし、信頼された配信ネットワーク上でQoS制御を行います。セキュアVPNは、基盤となる配信ネットワークを信頼するか、内部メカニズムによってセキュリティを強化します。信頼された配信ネットワークが物理的に安全なサイト間でのみ実行される場合を除き、信頼されたモデルとセキュアなモデルの両方において、ユーザーがVPNにアクセスするための認証メカニズムが必要です。

モバイル仮想プライベートネットワークは、VPN のエンドポイントが単一のIP アドレスに固定されておらず、携帯電話会社のデータネットワークや複数のWi-Fiアクセスポイント間など、さまざまなネットワーク間をローミングする設定で使用され、安全な VPN セッションが切断されたり、アプリケーションセッションが失われたりすることはありません。^{[ 15 ]}モバイル VPN は、法執行官がコンピューター支援ディスパッチや犯罪データベースなどのアプリケーションにアクセスできるようにする公共の安全の分野で広く使用されており、^{[ 16 ]}フィールドサービス管理や医療など、同様の要件を持つ他の組織でも使用されています。^{[ 17 ]}

ダイナミックマルチポイント仮想プライベートネットワーク（DMVPN）^{[ 18 ]}は、 Cisco IOSベースのルータ、Huawei AR G3ルータ、^{[ 19 ]}およびUnix系オペレーティングシステムでサポートされている仮想プライベートネットワークの動的トンネリング形式です。

DMVPNは、 IPsecやISAKMPピアなど、トンネルエンドポイントピアのすべてを事前に静的に設定する必要なく、ダイナミックメッシュVPNネットワークを構築する機能を提供します。 ^{[ 20 ]} DMVPNは、スポーク上のハブ（VPNヘッドエンド）を静的に設定することで、ハブアンドスポークネットワークを構築するように初期設定されます。新しいスポークを受け入れるためにハブの設定変更は必要ありません。この初期のハブアンドスポークネットワークを使用することで、ハブやスポークに追加の設定をすることなく、スポーク間のトンネルがオンデマンドで動的に構築されます。このダイナミックメッシュ機能により、スポークネットワーク間でデータをルーティングするためにハブにかかる負荷が軽減されます。

イーサネットVPN （EVPN）は、広域ネットワークプロトコルを用いてOSIレイヤー2イーサネットトラフィックを仮想プライベートネットワークとして伝送する技術である。EVPN技術には、イーサネット・オーバー・マルチプロトコル・ラベル・スイッチング（MPLS）やイーサネット・オーバー・仮想拡張LANなどがある。^{[ 21 ] [ 22 ]}

マルチプロトコルラベルスイッチング（MPLS）は、通信ネットワークにおけるルーティング技術であり、ネットワークアドレスではなくラベルに基づいてデータをあるノードから次のノードに転送します。 ^{[ 23 ]}ネットワークアドレスはエンドポイントを識別しますが、MPLSラベルはエンドポイント間の確立されたパスを識別します。MPLSは、さまざまなネットワークプロトコルのパケットをカプセル化できます。

実際には、MPLSは主にIPプロトコルデータユニットと仮想プライベートLANサービス（ VPN）のイーサネットトラフィックの転送に使用されます。MPLSの主な用途は、通信トラフィックエンジニアリングとMPLS VPNです。MPLSはインターネットプロトコル（IP）とそのルーティングプロトコル（通常は内部ゲートウェイプロトコル（IGP））と連携して動作し、トラフィックエンジニアリング、重複アドレス空間を持つレイヤVPNの転送機能、およびさまざまなトランスポートペイロード（ IPv4、IPv6 、ATM、フレームリレーなど）を転送できるレイヤ2擬似回線をサポートする、動的で透過的な仮想ネットワークの作成をサポートします。^{[ 24 ] [ 25 ]}

仮想プライベートLANサービス（VPLS）は、 IPまたはMPLSネットワーク上でイーサネットベースのマルチポイントツーマルチポイント通信を提供する仮想プライベートネットワーク技術です。VPLSでは、疑似回線を介してサイト（サーバーとクライアントの両方を含む）を接続することで、地理的に分散したサイト間でイーサネットブロードキャストドメインを共有できます。^{[ 26 ]}疑似回線として使用できる技術としては、Ethernet over MPLS、L2TPv3、さらにはGREなどがあります。VPLSの確立については、IETF標準化過程のRFC （RFC 4761とRFC 4762）が2つあります。L2TPv3ではポイントツーポイントのOSIレイヤー2トンネルのみが許可されていますが、VPLSではエニーツーエニー（マルチポイント）接続が許可されています。^{[ 27 ] [ 28 ]}

プロバイダープロビジョニング VPN (PPVPN) は、接続サービス プロバイダーまたは大企業が独自に運用するネットワーク上で実装する仮想プライベート ネットワーク (VPN) です。これに対し、「顧客プロビジョニング VPN」では、プロバイダーの技術的な詳細に基づいて接続サービスを取得する顧客によって VPN が実装されます。

仮想プライベート ネットワークはトンネリング プロトコルに基づいており、他のネットワーク プロトコルやアプリケーション プロトコルと組み合わせて、セキュリティと機能をさらに強化することができます。

インターネットプロトコルセキュリティ（IPsec）は、標準ベースのセキュリティプロトコルであり、当初はインターネット技術タスクフォース（IETF）によってIPv6用に開発され、RFC 6434で推奨事項になるまでは、すべての標準準拠のIPv6実装で必須でした。^{[ 29 ]} IPv4でも広く使用されています。

IPSecの設計は、可用性、整合性、機密性といったほとんどのセキュリティ目標を満たしています。IPsecは暗号化を使用し、 IPパケットをIPsecパケット内にカプセル化します。カプセル化解除はトンネルの終端で行われ、元のIPパケットが復号化されて目的の宛先に転送されます。IPsecはネットワークハードウェアアクセラレータによってサポートされている場合が多く^{[ 30 ]} 、常時接続のリモートアクセスVPN構成など、低消費電力のシナリオにはIPsec VPNが適しています。^{[ 31 ] [ 32 ]}

IPsecトンネルは、インターネット鍵交換（IKE）プロトコルによって設定されます。IKEバージョン1で構築されたIPsecトンネル（IKEv1トンネル、または単に「IPsecトンネル」と呼ばれることもあります）は、VPNを提供するために単独で使用できますが、多くの場合、レイヤー2トンネリングプロトコル（L2TP）と組み合わせて、既存のL2TP関連の実装を再利用することで、より柔軟な認証機能（Xauthなど）を実現します。

MicrosoftとCiscoによって開発されたIKEバージョン2は、単独でIPsec VPN機能を提供するのに使用できます。主な利点は、拡張認証プロトコル（EAP）による認証をネイティブでサポートしていることと、 3Gまたは4G LTEネットワーク上のモバイルデバイスでローミングする際に発生する、関連付けられたホストのIPアドレスが変更された場合でもトンネルをシームレスに復元できることです。

トランスポート層セキュリティ（SSL/TLS）は、ネットワーク全体のトラフィックをトンネリング（OpenVPNプロジェクトやSoftEther VPNプロジェクト^{[ 33 ]}のように）したり、個々の接続を保護したりできます。多くのベンダーがTLSを介したリモートアクセスVPN機能を提供しています。TLSベースのVPNは、通常のTLSウェブナビゲーション（ HTTPS ）がサポートされている場所から、追加の設定を必要とせずに接続できます。

OpenSSHは、ネットワーク、ネットワーク間リンク、およびリモートシステムへのリモート接続を保護するためのVPNトンネリング（ポートフォワーディングとは異なる）を提供します。OpenSSHサーバーは、限られた数の同時トンネルを提供します。VPN機能自体は個人認証をサポートしていません。 ^{[ 34 ]} SSHは、サイト間VPN接続ではなく、マシンまたはネットワークへのリモート接続によく使用されます。

OpenVPNは、TLSプロトコルをベースにした無料のオープンソースVPNプロトコルです。Perfect Forward Secrecy（PFS）と、 AES、Serpent、TwoFishといった最新の安全な暗号スイートをサポートしています。現在、安全なVPN技術を提供する非営利団体であるOpenVPN Inc.によって開発と更新が行われています。

SSTP (Secure Socket Tunneling Protocol)は、SSL/TLSチャネルを介してポイントツーポイント プロトコル(PPP) トラフィックを転送するメカニズムを提供する VPN トンネルの一種です。

WireGuardは、OpenVPNよりも軽量に設計されたプロトコルです。^{[ 35 ]} 2020年には、Linux ^{[ 36 ]}とAndroid ^{[ 37 ]}の両方のカーネルにWireGuardのサポートが追加され、VPNプロバイダーによる採用が可能になりました。デフォルトでは、WireGuardは鍵交換にCurve25519プロトコル、暗号化とメッセージ認証にChaCha20-Poly1305を使用しますが、クライアントとサーバー間で対称鍵を事前に共有する機能も備えています。 ^{[ 38 ]}

• データグラムトランスポート層セキュリティ（DTLS）– Cisco AnyConnect VPNおよびOpenConnect VPN ^{[ 39 ]}で使用され、 TLSがTCPを介したトンネリングで発生する問題を解決します（SSL / TLSはTCPベースであり、TCPを介したTCPトンネリングは大きな遅延と接続の中断につながる可能性があります^{[ 40 ]}）。
• Microsoft Point-to-Point Encryption ( MPPE ) は、Point-to-Point トンネリング プロトコルおよび他のプラットフォーム上のいくつかの互換性のある実装で動作します。
• Microsoft Secure Socket Tunneling Protocol ( SSTP )は、 SSL/TLSチャネルを介してポイントツーポイント プロトコル(PPP) またはレイヤー 2 トンネリング プロトコル トラフィックをトンネリングします (SSTP は、Windows Server 2008およびWindows Vista Service Pack 1 で導入されました)。
• マルチパス仮想プライベートネットワーク（MPVPN）。Ragula Systems Development Companyは登録商標「MPVPN」を所有しています。^{[ 41 ]}
• Crypto IP Encapsulation（CIPE）は、カプセル化によってUDP上でIPv4パケットをトンネリングするための、無料のオープンソースVPN実装です。^{[ 42 ]} CIPEはLinuxオペレーティングシステム用にOlaf Titzによって開発され、 Windowsへの移植版はDamion K. Wilsonによって実装されました。^{[ 43 ]} CIPEの開発は2002年に終了しました。^{[ 44 ]}
• L2TP ^{[ 45 ]}は、シスコのレイヤー2フォワーディング（L2F）^{[ 46 ]}（2009年時点で廃止）とマイクロソフトのポイントツーポイントトンネリングプロトコル（PPTP）^{[ 47 ]}という2つの独自のVPNプロトコルの標準ベースの代替品です。

デスクトップ、スマートフォン、その他のエンドユーザーデバイスのオペレーティングシステムでは、通常、グラフィカルツールまたはコマンドラインツールからリモートアクセス VPN の構成がサポートされています。^{[ 48 ] [ 49 ] [ 50 ]}ただし、VPN プロトコルは多様で、多くの場合標準ではないため、OS でネイティブにサポートされていない、またはサポートされなくなった追加のプロトコルを実装するサードパーティアプリケーションが多数存在します。 たとえば、Android はバージョン 11 までネイティブIPsec IKEv2サポートがなかったため、 ^{[ 51 ]}ユーザーはその種類の VPN に接続するためにサードパーティアプリをインストールする必要がありました。 逆に、Windows は、プレーンな IPsec IKEv1 リモートアクセスネイティブ VPN 構成 ( CiscoおよびFritz!Box VPN ソリューション でよく使用される) をネイティブでサポートしていません。

ファイアウォールなどのネットワークアプライアンスには、リモートアクセスまたはサイト間接続用のVPNゲートウェイ機能が搭載されていることがよくあります。管理インターフェースでは、サポートされているプロトコルを選択して仮想プライベートネットワーク（VPN）を簡単に設定できます。ファイアウォールやネットワークデバイス専用のオープンソースオペレーティングシステム（OpenWrt、IPFire、PfSense 、 OPNsenseなど）では、不足しているソフトウェアコンポーネントやサードパーティ製アプリをインストールすることで、追加のVPNプロトコルのサポートを追加できる場合があります。

独自のハードウェアまたはソフトウェアプラットフォームに基づくVPN機能を備えた商用アプライアンスは、通常、製品全体で一貫したVPNプロトコルをサポートしていますが、実装するユースケース以外でのカスタマイズは許可していません。これは、VPNのハードウェアアクセラレーションを利用してより高いスループットを実現したり、より多くの同時接続ユーザーをサポートしたりするアプライアンスによく見られます。

2025年には17億5000万人がVPNを利用すると予測されています。2027年までに、この市場は760億ドル規模に成長すると予測されています。^{[ 52 ]}

• インターネットのプライバシー
• 機会主義的暗号化
• VPNラボ

• ショーン・ケリー（2001年8月）「必要はVPNの発明の母」 Communication News誌26 ～ 28ページ。ISSN 0010-3632 。 2001年12月17日時点の オリジナルよりアーカイブ。