VPNとは？ 10分でわかりやすく解説

UnsplashのPrivecstasyが撮影した写真

VPN（Virtual Private Network）は、インターネットなどの公衆ネットワーク上に、仮想的な私設ネットワークを構成する技術です。暗号化、認証、トンネリングを組み合わせることで、社外端末から社内システムへ接続したり、拠点間通信を保護したりできます。ただし、VPNは通信経路を保護するための技術であり、接続後の権限設計、端末管理、認証強度、ログ監視まで含めて設計しなければ、侵害時に被害範囲が拡大するおそれがあります。

VPNとは何か

VPNの定義

VPNはVirtual Private Networkの略で、インターネットなどの共有ネットワークを利用しながら、利用者端末や拠点間に仮想的な私設ネットワークを構成する技術です。企業利用では、リモートアクセス、拠点間接続、クラウド接続、管理用ネットワークへの接続などで使われます。

VPNでは、通信をカプセル化して別の通信路の中に通し、必要に応じて暗号化や認証を組み合わせます。これにより、通信経路上での盗聴や改ざんのリスクを抑えやすくなります。一方で、VPNを利用しているだけで接続先システムや端末そのものが保護されるわけではありません。

VPNの基本的な仕組み

VPNは、主にトンネリング、暗号化、認証によって構成されます。代表的なリモートアクセスVPNでは、次の流れで接続が成立します。

1. 利用者端末がVPNゲートウェイへ接続要求を送る。
2. VPNゲートウェイが利用者、端末、証明書、認証情報などを確認する。
3. 認証後、端末とVPNゲートウェイの間にトンネルを確立する。
4. 端末からの通信をトンネル内で送信し、必要に応じて暗号化する。
5. VPNゲートウェイが通信を復号し、接続先の社内システムやネットワークへ転送する。

VPNが主に保護するのは、通信中のデータと接続経路です。端末がマルウェアに感染している場合や、接続後に広い範囲へアクセスできる設計になっている場合、VPN経由で内部環境へ被害が及ぶ可能性があります。

VPNで保護できる範囲と保護できない範囲

VPNは通信保護の基盤として有効ですが、認証、端末管理、権限制御、ログ監視、脆弱性管理を組み合わせて初めて、企業利用に耐える構成になります。

VPNのメリットとデメリット

VPNのメリット

• 社外から社内システムへ接続するリモートアクセス環境を構成しやすい。
• インターネット経由の通信でも、暗号化や認証により盗聴・改ざんリスクを抑えやすい。
• 拠点間を接続し、専用回線に比べて柔軟なネットワーク構成を取りやすい。
• 既存の社内システムを大きく変更せずに、外部からの接続手段を用意できる場合がある。
• 利用者、接続元、接続時間、転送量などをログとして管理しやすい。

VPNのデメリット

• VPNゲートウェイ、認証基盤、証明書、クライアント配布などの運用負荷が発生する。
• 暗号化・復号処理や通信経路の迂回により、遅延や速度低下が発生する場合がある。
• VPN装置が外部公開されるため、脆弱性を放置すると攻撃対象になりやすい。
• 接続後のアクセス範囲が広すぎると、侵害時に内部ネットワークへ影響が拡大する。
• 端末側の設定、OS更新、クライアント更新、問い合わせ対応が継続的に必要になる。

VPNを導入する場合は、接続できることだけで評価せず、接続後にどのシステムへ、どの権限で、どの端末から、どの条件でアクセスさせるかを設計します。

VPNの種類

VPNは、用途と実現方式を分けて整理すると選定しやすくなります。用途ではリモートアクセスVPNとサイト間VPN、方式ではIPsec系、TLS系、L2TP/IPsec、OpenVPN、WireGuardなどが代表例です。

用途による分類

方式による分類

方式名だけで優劣を判断するのは危険です。利用者数、端末種別、接続先、認証方式、ログ要件、運用体制、サポート範囲を踏まえて選定します。

企業におけるVPNの活用方法

リモートアクセスでの利用

リモートアクセスVPNは、社員や委託先が社外から社内システムへ接続するために使われます。テレワーク、出張、外出先作業、緊急時の社外対応などで利用されます。

リモートアクセスVPNでは、次の項目を設計します。

• 利用者ごとの認証方式と権限。
• 管理端末、私物端末、委託先端末の利用可否。
• 接続後にアクセスできるシステムとネットワーク範囲。
• 同時接続数、帯域、ピーク時間帯の性能要件。
• ログ取得、監視、異常検知、アカウント停止の手順。

社外から接続できることを優先しすぎると、侵害端末や盗まれた認証情報を使われた場合に、内部ネットワークへ到達されるリスクが高まります。リモートアクセスでは、多要素認証、デジタル証明書、端末状態の確認、最小権限を組み合わせます。

拠点間接続での利用

サイト間VPNは、本社、支社、工場、店舗、データセンター、クラウド環境などを接続する用途で使われます。専用線と比べて構成を変更しやすい一方で、インターネット回線の品質、冗長化、障害時の切り分けが課題になります。

• IPアドレス設計、ルーティング、名前解決を整理する。
• 回線冗長化、VPNゲートウェイ冗長化、フェールオーバー手順を設計する。
• 業務アプリに必要な帯域、遅延、パケットロス許容値を確認する。
• 拠点ごとのアクセス範囲を分け、不要な相互接続を避ける。
• 障害時の確認手順を、回線、装置、設定、認証、宛先ごとに分ける。

拠点間VPNでは、全拠点を同じ範囲で接続するのではなく、業務単位や拠点単位で通信範囲を分けます。これにより、ある拠点の侵害が他拠点へ波及するリスクを抑えやすくなります。

クラウド接続での利用

企業がパブリッククラウドやSaaSを利用する場合、社内ネットワークとクラウド環境をVPNで接続することがあります。移行期のシステム連携、管理用アクセス、バックアップ、閉域接続の補完などで使われます。

クラウド接続では、オンプレミス側とクラウド側の責任分界を明確にします。ルーティング、セキュリティグループ、ファイアウォール、ログ、鍵管理、アクセス権限を別々に確認し、VPN接続だけでクラウド側のセキュリティが成立していると誤解しないようにします。

VPNプロトコルの選び方

IPsecの特徴と適用しやすい場面

IPsecは、IPパケットを保護するための仕組みです。拠点間VPNやクラウド接続で使われることが多く、ネットワーク機器同士でトンネルを構成しやすい方式です。

一方で、設定項目が多く、暗号方式、鍵交換、NAT、ルーティング、装置間の互換性を確認する必要があります。運用では、設定変更時の影響範囲、鍵や証明書の更新、ログ確認、障害時の切り分け手順を準備します。

TLS系VPNの特徴と適用しやすい場面

TLS系VPNは、リモートアクセス用途で採用されることが多い方式です。製品によって、ブラウザ型、専用クライアント型、アプリ単位のアクセス制御、ポータル型などの構成があります。

「SSL-VPN」という名称が残っている製品でも、実際の通信保護はTLSを使う構成が一般的です。選定時は、名称ではなく、対応するTLSバージョン、暗号スイート、認証方式、アクセス制御、ログ機能を確認します。

L2TP/IPsecの特徴と注意点

L2TPはトンネルを作るためのプロトコルであり、単体では暗号化を提供しません。企業利用では、IPsecと組み合わせたL2TP/IPsecとして使われる場合があります。

OS標準機能で利用しやすい場合がある一方、事前共有鍵、証明書、NAT、ファイアウォール、端末設定の配布方法を確認する必要があります。標準機能で利用できることだけを理由に採用すると、運用時の証明書更新や問い合わせ対応で負担が増える場合があります。

OpenVPNやWireGuardを選ぶ場合の確認点

OpenVPNやWireGuardは、柔軟な構成が取りやすい一方で、企業利用では管理対象を明確にする必要があります。証明書や鍵の配布、失効、端末紛失時の停止、ログ監視、サポート体制を確認します。

特に、OSSベースで構成する場合は、構築担当者だけに依存しない運用設計が欠かせません。運用手順、更新手順、障害時の復旧手順、監査ログの確認方法を文書化します。

選定時の確認項目

VPN導入時のセキュリティ設計

認証を強化する

VPNは外部から社内環境へ接続する経路になるため、IDとパスワードだけに依存する構成は避けます。リスクの高い接続では、多要素認証、証明書認証、端末認証、条件付きアクセスを組み合わせます。

認証方式を選ぶ際は、利用者の負担だけでなく、端末紛失、退職者アカウント、委託先終了、証明書失効、緊急停止の手順まで確認します。

接続後のアクセス範囲を限定する

VPNで接続した利用者に、社内ネットワーク全体へアクセスを許可すると、端末侵害や認証情報窃取時の被害範囲が広がります。接続先は、業務に必要なシステム、ポート、プロトコルに限定します。

部署、役割、端末状態、接続元、時間帯、利用システムに応じてアクセス範囲を分けると、侵害時の影響を抑えやすくなります。必要に応じて、ゼロトラストやZTNAも比較対象にします。

VPN装置の脆弱性を管理する

VPNゲートウェイは外部公開されるため、攻撃者の標的になりやすい機器です。ファームウェアやソフトウェアの更新、設定変更履歴、管理画面のアクセス制限、不要機能の停止を継続的に確認します。

• VPN装置のバージョンとサポート期限を管理する。
• 緊急パッチの適用手順と検証手順を決める。
• 管理画面への接続元を制限する。
• 設定変更の承認、記録、ロールバック手順を整備する。
• 既知脆弱性情報を確認し、影響有無を判断する。

ログ監視と異常検知を行う

VPN運用では、接続成功ログだけでなく、認証失敗、異常な接続元、深夜帯の接続、短時間の大量試行、転送量の急増、管理設定変更を確認します。

ログは収集するだけでは不十分です。アラート条件、確認担当、対応期限、アカウント停止手順、端末確認手順を決め、SIEMやSOC運用と連携できる構成を検討します。

VPNと近接する技術の比較

VPNは有力な接続方式ですが、すべてのリモートアクセス要件に最適とは限りません。利用目的によっては、ZTNA、SASE、SD-WAN、リモートデスクトップ、DaaSなども比較対象になります。

VPNが適しているのは、既存の社内ネットワークや拠点間通信を維持しながら、暗号化された接続経路を構成したい場合です。一方で、利用者ごとにアプリ単位でアクセス制御したい場合や、社内ネットワーク全体への接続を避けたい場合は、ZTNAやSASEも比較します。

VPNを導入する手順

目的と対象範囲を決める

最初に、VPNで実現したい目的を整理します。リモートアクセスなのか、拠点間接続なのか、クラウド接続なのかによって、方式、製品、運用体制が変わります。

• 誰が接続するのか。
• どこから接続するのか。
• どのシステムへ接続するのか。
• どの端末を許可するのか。
• どの認証方式を使うのか。
• どのログをどれだけ保管するのか。

方式と製品を評価する

方式と製品を選ぶ際は、機能表だけでなく、実環境での接続性、速度、端末対応、認証連携、ログ取得、運用負荷を確認します。可能であればPoCを行い、実際の端末、回線、業務アプリで検証します。

PoCでは、接続成功だけでなく、接続失敗時の原因表示、ヘルプデスク対応、証明書更新、端末紛失時の停止、ログ確認、装置更新時の影響も確認します。

ネットワークと認証を設計する

VPN構築では、ネットワーク設計と認証設計を分けて考えます。ネットワークでは、IPアドレス、ルーティング、DNS、ファイアウォール、冗長化を確認します。認証では、ID連携、多要素認証、証明書、端末条件、権限割り当てを確認します。

既存のファイアウォール、認証基盤、ディレクトリサービス、端末管理製品と連携する場合は、責任分界と障害時の切り分け手順を明確にします。

テストと本番展開を行う

本番展開前に、接続性、性能、権限、ログ、障害時対応を検証します。特に、ピーク時間帯、海外回線、モバイル回線、低速回線、業務アプリ利用時の遅延は確認対象にします。

• 正規利用者が必要なシステムへ接続できるか。
• 権限外のシステムへ接続できないか。
• 接続ログ、認証ログ、設定変更ログが記録されるか。
• 端末紛失時にアカウント停止や証明書失効ができるか。
• VPN装置や回線障害時の代替手順が機能するか。

VPN運用で確認する項目

VPNは導入後の運用で安全性が左右されます。アカウント、端末、装置、ログ、証明書、アクセス範囲を定期的に確認し、例外運用を放置しないことが要点になります。

関連する一次情報

• NIST SP 800-77 Rev. 1：Guide to IPsec VPNs
• NIST SP 800-113：Guide to SSL VPNs
• IETF RFC 4301：Security Architecture for the Internet Protocol
• IETF RFC 8446：The Transport Layer Security (TLS) Protocol Version 1.3

まとめ

VPNは、公衆ネットワーク上に仮想的な私設ネットワークを構成し、リモートアクセスや拠点間接続を実現する技術です。暗号化、認証、トンネリングにより通信経路のリスクを抑えやすくなりますが、VPNだけで社内環境全体を保護できるわけではありません。

企業でVPNを導入する場合は、目的、接続対象、利用端末、認証方式、接続後の権限、ログ監視、装置更新、障害時対応をまとめて設計します。既存ネットワークを維持しながら接続経路を保護したい場合はVPNが適用しやすく、アプリ単位の細かな制御や継続的な端末評価を重視する場合は、ZTNAやSASEとの比較も必要になります。

VPNに関するよくある質問