テレワークなどで利用する機会の多いVPNには用途ごとに4種類の実現方法がある。セキュリティや品質、利用デバイスの種類によって複数の選択肢を検討できるため、それぞれの最適解を把握しておきたい。実現コストなどを基にした比較も紹介する。
VPN(Virtual Private Network)は、離れた拠点間で、専用線のような特別な設備を使わず、インターネット回線を介して安全に接続するための技術を指す。
一般にはテレワークなどでオフィスのネットワーク内にあるシステムに接続する場合などに利用するケースが多く、VPNというとそれを思い浮かべる方が多いかもしれない。だが、VPNにはいくつかの種類があり、用途や目的によってさまざまな選択肢がある。
そもそも、拠点間を安全に接続する方法としては、VPNが絶対ではなく、専用線設備を設置してWAN(Wide Area Network)を構築する方法なども考えられる。ただし、設備投資や回線利用料の負担が大きい。これに比べてVPNはインターネット回線ないし事業者が提供する閉域網を経由すれば接続できるのが利点だ。
また、遠隔拠点との安全な接続という点ではこの他にも、VPN同様に高いセキュリティを確保した通信を使うクラウドサービスや、LTE回線を使ったVPN接続サービスも登場しており、選択肢は複数ある。これらの選択肢と技術的な違いは後述するとして、そもそもVPNが何かを大まかにみていこう。
インターネットでは、さまざまな通信がやりとりされている。これらの通信は公開された状態になっているため、悪意を持った者がのぞき見たり、改ざんすることも不可能ではない。従って、企業秘密などの機密情報を、インターネットを使ってやりとりすることは情報セキュリティの観点からリスクでしかない。
では、本社と支店、工場など離れた拠点間や、テレワークなど社内と社外で安全にやりとりするにはどうすればいいのだろうか。
以前は本社と支店、本社と工場など2点間を直接結ぶ、専用のネットワーク回線(専用線)を用意してそれぞれのネットワークを接続する方法が一般的だった。しかし専用線は「専用」だけあって使用料が高いのが難点だった。また、携帯回線などでは専用線を引くこと自体がそもそもできない。
そこで登場したのがVPNだ。VPNは暗号化技術などを使ってインターネットを流れる情報の「のぞき見」をできなくすることで、インターネット回線を使って、安全な通信を実現する技術である。
一口にVPNといっても、その実装は2つに大別できる。1つは一般のインターネットアクセス回線を使った「(1)インターネットVPN」だ。もう1つは通信事業者が提供するインターネットとは分離された閉域網を使ったVPNだ。閉域網を使ったVPNは閉域網への接続方法によって、さらに「(2)エントリーVPN」「(3)IP-VPN」「(4)広域イーサネット」に分類できる。
4種類のVPNそれぞれの構成やコスト、品質、信頼性を大まかに整理して比較したのが下図だ。以降でそれぞれを見ていこう。
インターネットVPNは一般のインターネット回線を使ったVPN接続だ。インターネットにアクセスできれば使えるため、比較的安価に、かつ場所を問わず使えるのがメリットだ。ただし、通信速度や通信品質はインターネット回線に依存するため、回線品質や信頼性を求める場合は適さない。
エントリーVPNは、比較的安価な光回線や携帯電話のLTE回線などのブロードバンド回線をアクセス回線に使って閉域網に接続する方式のことを指す。
エントリーVPNでは、通信事業者がアクセス回線を(インターネットを経由することなく)閉域網に接続するため、インターネットVPNより安全性は高い。ただし接続回線はインターネットVPNと同様の品質であるため、一般的には通信品質や通信速度の面では後述のIP-VPNや広域イーサネットには劣るとされる。
IP-VPNと広域イーサネットはいずれも専用線やイーサネットで閉域網に接続する方式のことを指す。この2つの違いは、接続に使用するプロトコルの違いで、IPのみを使うのであればIP-VPN、それ以外のプロトコルも使うのであれば広域イーサネットを選択する。
いずれもエントリーVPNよりも高品質なネットワークで閉域網に接続するため、信頼性の高さは期待できるが、専用線や広域イーサネットは通信量や回線速度によって従量制の場合が多く、回線コストは高くなりがちである。
VPNの種類が多様にあることは分かったが、テレワークで使うべきVPNにはどんなものがあるだろうか。今のところ、選択肢は2つある。
在宅勤務やサテライトオフィス、外出先からのVPN接続であれば、真っ先に候補に挙がるのはインターネットVPNだ。
通常の業務であれば大量のデータをやりとりすることもないため、インターネット回線でも速度は十分だと考えられる。回線使用料も安価で、ユーザー側に特別な機器を必要としないため、コスト面では圧倒的に安価に利用できる点が魅力だ。
他方、近ごろでは携帯電話事業者や、いわゆる格安SIMを提供しているMVMO事業者などによる専用SIMを使ったLTE回線によるエントリーVPNサービスも登場している。
モバイルWi-FiルーターやLTE対応のPCに専用SIMを入れることで、自動的にPCを閉域網に接続できるため、ユーザーが簡単に使える点や、モバイル回線費用をまとめて会社側で管理できるので、テレワーク、モバイルワークを推進する1つの方法として検討しても良いだろう。
本社と支社、工場、また取引先とを結ぶネットワークの場合、やりとりする情報(データ)量によって選択すべきVPNは変わってくる。
少人数の営業所などは、情報量も限られるのでインターネットVPNでも十分だ。しかし、基幹システムなどのデータ量も多く、信頼性が必要とされるネットワークが必要な場合は、IP-VPNや広域イーサネットの導入を検討すべきだろう。
最近では、アクセス先やアプリケーション、ネットワークの状態などによって、自動的に最適なネットワークを選択してくれるSD-WAN(Software Defined Wide Area Network:ソフトウェア定義型広域ネットワーク)対応機器が登場してきており、SD-WANによって、通常は安価なインターネットVPNやエントリーVPNを使いながら、バックアップ用としてIP-VPNや広域イーサネットを使い分けることで、VPNの利用コストと通信品質を両立することも可能である。
最近は「Office 365」などのクラウドサービスを導入する企業が増えている。また「Window 10」への移行に伴い、半期ごとの大型アップデートが実施されるようになった。VPNの運用においてはこれらに気を付ける必要がある。
複数拠点をVPNで結び、セキュリティの観点から本社にのみインターネットへのゲートウェイを設けているようなネットワーク構成としている場合、クラウドサービスやWindows Updateによって大幅に増加したトラフィック(一定時間のデータ量)がネットワークの速度に影響を及ぼすことがある。実際、Windows Updateの影響でネットワークが非常に低速になってしまい、全社的に業務に支障をきたした企業もあるという。
この課題の解決方法の1つとして、前掲のSD-WANを活用した「ローカルブレークアウト(インターネットブレークアウト)」が有効だ。クラウドサービスやWindows UpdateなどはVPNを使う必要がないため、各拠点からインターネットにトラフィックを逃がしてしまうことで、VPNの通信負荷を低減できる。これをローカルブレークアウトという。SD-WANであれば、ユーザーが意識することなく、自動でローカルブレークアウトを行ってくれるため、過剰な負荷をVPNにかけることなく、クラウドサービスとVPNの両立が可能となる。
このように、VPNは働き方変革の促進や、高セキュリティ拠点間ネットワークのコスト削減を実現する一方で、その選択や導入は、使い方や規模、必要とされるセキュリティや速度・信頼性によってさまざまである。従って、信頼できるベンダーやシステムインテグレーターなどのパートナーの支援を受けながら導入することが望ましいだろう。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。