仮想プライベートネットワーク「VPN」のメリットとは
2015年8月29日
今回は、VPN(仮想プライベートネットワーク)の構築において重要な役割を果たすGREと、 GREによって可能となるルーティングとトンネリングとは何かについて見ていきましょう。 複数拠点にオフィスを構える企業にとって、重要な技術になります。
VPNとは
通常のネットワークではインターネットを「外部」、LANを「内部」と捉えて、 「内部」のセキュリティを確保するために外部と内部の境界にファイアーウォールなどのセキュリティ対策を施していました。
しかし、企業や組織の業務においては、インターネットでつながった特定の外部の通信相手とも、 「内部」と同様に、外部に見られずにやり取りをしたい場合があります。
例えば、東京の本社が大阪の支社と通信する場合、 東京本社のセキュアな社内ネットワークと同様の振る舞いで、大阪支社とも通信したいと思うはずです。
しかし、通信に使用するインターネットはだれが傍受するかわからない回線です。
そこで、インターネット回線の通信経路に、認証や暗号化技術などを用いて、 仮想的な専用回線(Virtual Private Network)を作り出し、重要なデータのやりとりをセキュアに行う技術があります。
それがVPN(仮想プライベートネットワーク)です。 VPNにはいくつか種類がありますが、インターネット回線を利用するVPNをインターネットVPNといいます。
GREとトンネリング
VPNにとって重要な技術がトンネリング(Tunneling)です。 トンネリングは、物理的に離れた複数拠点での通信を仮想的に直結し、 あたかも外部からの干渉を遮断するトンネルを構築するようなイメージであることから、 このように名づけられました。
仮想的に結ばれたトンネルの両端には専用のVPN機器(ルータ)を設置します。 このルータがルーティングを行います。
ルーティングは、TCP/IPネットワーク上で、 目的のホストまでパケットを送るときに最適な経路を選択して送信することを言います。
送信データはトンネルの手前でカプセル化加工され、トンネル通過後、 受信側のルータによってカプセル化を解除して送信前の状態に戻されます。
やりとりする拠点はVPNをとくに意識することもなく、 通常の通信と全く同じシステムやソフトウェアを用いて通信を行うことができます。
GRE (Generic Routing Encapsulation) は、VPNにおいて使用されるプロトコル(規約)のうちの一つで、 トンネリングのためのトンネルプロトコルの1つです。 GREトンネリングではパケットをIPトンネル内でカプセル化します。
GREは暗号化機能を持っていないので、ルーティングの際のセキュリティが確保されていても、 データそのものに関してはセキュリティが確保されていません。 そのため、GREによる通信はモニタリングすることが可能です。
GRE over IPSecとは
IPsecは暗号化とトンネリングの二つを行うことができるプロトコルですが、 よりデータの安全性を保ちたいときはGRE over IPSecという技術を用います。 GRE over IPSecとは、IPsec上でGREを動作させることです。
IPsecにはユニキャストパケット(単一の送信相手を指定してデータを送信するパケット)しか転送できないという欠点があり、 GREはユニキャストもマルチキャストパケット(複数の送信相手に対して同時にデータを送信するパケット)の転送もできるという強みがあります。
この二つのVPN技術を組み合わせることで、 双方の欠点を補い、二つのプロトコルの特性を生かした通信を行うことができます。
インターネットVPNの長所と難点
インターネットVPNを設置する場合、インターネット回線を利用できるので、 新たな専用回線を敷設する必要がなく、設置にかかるコストを削減することができます。
難点はトンネリングと暗号化というステップを踏むので、 もとのIPパケットに対してヘッダーが余計に追加されることになり、サイズが増えることです。
とはいえ、複数の拠点での通信が必要となる企業において、 盤石なセキュリティを構築するには、VPNの導入は必須と言えるでしょう。
本ブログは、日本初Web専門スクールのインターネット・アカデミーの講師が運営するWebメディアです。 スクールの情報はもちろん、最新のWebデザイン・プログラミング・Webマーケティングについて役立つ情報をご紹介しています。