VPN接続とネットワーク機器

VPNの設定方法

VPNの設定方法はシステムが構成されているサーバサイドとユーザが利用する端末のクライアントサイトに分類して考えることが出来ます。サーバサイドはVPN接続が対応しているルータなどのネットワーク機器の設定が中心になります。「インターネットVPN」を例に説明をすると、クライアントサイドはVPN接続ソフトのインストールし接続の設定をすることや、OSのデフォルト機能のWindowsであればコントロールパネルのネットワーク設定、MacOSであればシステム環境設定のネットワーク設定で行います。VPN接続はサーバサイドのルータなどのネットワーク機器がVPNに対応しているかでパソコンなどの端末と通信ができるため、クライアントサイドで設定をしVPN接続モードになっていてもVPN対応していないネットワークに接続をする際はVPNの接続は途切れてしまい、通常のインターネット接続になりますので注意が必要です。

インターネットVPNの接続例

サーバサイドのVPN設定

サーバサイドで構成するネットワーク機器の「VPN対応ルータ」を導入する確認事項として「通信プロトコルに対応しているか」「セキュリティ対策の機能はどのようなものがあるか」「運用管理には専門知識が必要なのか」「月額のコストはどのくらいか」などを抑えておくことがポイントです。
通信プロトコルとは、このページの下に「VPNプロトコルの種類」でも説明をしていますがVPN特有のプロトコルが存在しクライアント側のOSにそれぞれ対応しているか、通信速度はどのくらいか、過去に脆弱性が発見された経緯はあるか、など各特徴を抑えておくことも必要です。有名なメーカにYAMAHA、Buffalo、Cisco、Hewlett-Packard Enterprise、JuniperなどからVPN対応ルータを販売しています。

クライアントサイドのVPN設定

クライアントサイドはパソコンであれば、利用しているOSによって設定方法が異なります。Windows10とMacOSを例に説明をします。

Windows10の場合

windows

Windowsでは、設定⇒VPNの画面で設定を行います。以下の手順に沿って画面入力をし手順の通り進めていきます。

  • ①+「VPN接続をする」を押すと青い画面に移動する
  • ②「VPNプロバイダー」通信業者のサービスを利用している場合は、必要な情報を入力する
  • ③「接続名」任意で名前を決めることが出来るので、目的に沿った名前を決定する
  • ④「サーバ名またはアドレス」接続をするサーバの名前かIPアドレスを入力
  • ⑤「サインイン情報の種類」ユーザ名またはパスワードを入力(認証が必要ない場合はユーザ名のみを入れる)
  • ⑥「ユーザ名(オプション)」認証に必要なアカウント情報のユーザ名を入力
  • ⑦「パスワード(オプション)」認証に必要なアカウント情報のパスワードを入力

MacOSの場合

MacOS

クライアントソフトを用いて設定をする方法は市場に出ているサービスによってそれぞれ異なりますが、ここではMacOSのデフォルト機能を用いた設定方法の流れをご紹介します。システム環境設定⇒ネットワークの画面で以下の手順に沿って操作をします。

  • ①+ボタンを押してネットワークを追加
  • ②構成を「デフォルト」で選択をし、「サーバアドレスに」IPアドレスを入力
  • ③「アカウント名」はログインするときのアカウントを入力
  • ④「認証設定」ではパスワードを入力
  • ⑤全て入力したら「接続」を押すとVPN接続ができる

VPNの種類と特徴

VPNは使用するネットワークの種類、対応するレイヤ、暗号化方式などの違いによって分類されます。ネットワークはインターネット接続と閉域網接続、レイヤーはネットワークアーキテクチャモデルのOSI参照モデルに沿った階層、暗号化方式はIPsecかSSL/TLS(詳しくはHTTPとHTTPSの違いで解説)でそれぞれ違いがあります。順番に見ていくと、ネットワーク(回線)を選択し、どのレイヤのプロトコルで通信をするのかを選び、暗号化方式の方法を選択するという流れになります。

VPN接続方式の種類

分類 名称 概要
ネットワークの種類 インターネットVPN インターネット上に作る。暗号化が不可欠
IP-VPN 通信事業者の閉域網などに作る。暗号化せずにトンネルだけ用いることも多い。
広域イーサーネット 通信事業者の専用線を利用する。
地理的に離れた拠点同士を結び、仮想化した大きな一つのネットワークを構築する方法。
レイヤ L3VPN IPパケットに代表されるレイヤ3(L3)の情報をトンネルで転送する
L2VPN イーサーネットフレームに代表されるレイヤ2(L2)の情報をトンネルで転送する。
地理的に遠く離れた拠点同士がイーサーネットを直接つないでいるかのような状況が作れる。
暗号化方式 IPsecVPN 暗号化方式にIPsecを使用。通信速度は比較的速い。
SSLVPN 暗号化方式にSSL/TLSを使用。
専用機器や専用ソフトなしにブラウザから使えるため利用のハードルが低い。

VPNプロトコルの種類

名称 読み方 概要
OpenVPN オープンVPN オープンソースプロトコルで高速通信と安全性で安定しているが、
サードパーティ製のソフトウェアが必要な場合がある。
IKEv2 インターネット・キー・エクスチェンジv2 シスコとマイクロソフトで開発されたIPsecベースのトンネリングプロトコル。
通信速度は比較的高速であり、切断されても自動的に再接続をしてくれる。
モバイル端末では対応している種類が少なめな点がデメリット。
L2TP レイヤー2トンネリング・プロトコル シスコのL2FとマイクロソフトのPPTPから由来されており、
L2TP単一では暗号化が機能しないため、IPsecとともに提供されている。
従って「L2TP/IPsec」と記載されていること多い。
セキュリティが強固で対応端末やOSが多いことから
一般的に利用されているプロトコルだが、通信速度が遅いことと
ファイアウォールにブロックされてしまうことがある点がデメリットとなる。
SSTP セキュア・ソケット・トンネリング・プロトコル WindowsVistaで初めて対応したが、
Windows以外のOSでは対応していない場合がある。
通信速度は高速だが脆弱性が発見された例もありセキュリティの安全性に難がある。
PPTP ポイントツーポイント・トンネリング・プロトコル WindowsOSで初めて対応したプロトコルで歴史があり、どの端末でも利用が可能。
高速通信だが暗号化基準が低いため安全性が低い点がデメリットとなる。

インターネットVPN

インターネットVPNとはインターネット経由でVPN接続をするもので、インターネット上に構築された仮想のネットワーク接続技術であり、仮想プライベートネットワーク、仮想専用線などとも呼ばれます。インターネット上には不特定多数のユーザが共用しているため、悪意のある第三者にも見られてしまうという前提を考えて置かなければいけません。従って通信は暗号化が必要となります。暗号化通信の方法に関しては以下に種類と説明を記載していますので御覧ください。

インターネットVPN

IPsec-VPN

クライアント(ユーザ)が社外から社内ネットワークにアクセスをしファイルサーバやグループウェアを利用する場合です。オフィス内に居なくてもインターネット回線を通じてVPN接続をすれば利用できる形態です。但しクライアントマシンは社外から社内ネットワークにアクセスをする際、専用ソフトウェアで認証が必要になります。

SSL-VPN

インターネットに接続をしブラウザから認証をして利用するため、専用のソフトウェアが必要なく利用できます。接続方式は「SSL技術とリバースプロキシ技術」を組み合わせたものになります。

L2TP/IPsec

L2TPとはPPTPとL2FをベースにIETFが策定したプロトコルで、暗号化通信の機能を持たないためIPsecと組み合わせて利用することが多いです。L2TPは新バージョンであるL2TPv3からイーサーネットフレームをそのままにVPNに流す機能が加えられています。

PPTP

TCP/IPネットワーク上のある機器から任意のアドレスの別の機器まで仮想的な伝送路を構築し、データを送受信するためのプロトコルです。暗号化の方法は定められていないがWindowsの認証機能やMicrosoftの暗号化機能と組み合わせて利用することが多いです。

IP-VPN

IP-VPNとは、通信業者が保有している閉域網を使用するVPN接続方法です。閉域網とはインターネットから直接アクセスを受けない閉じたネットワークで「閉域IP網」や「閉域IP」とも呼ばれます。IPとは通信プロトコルの一種でIPアドレスと通信をする際にこのプロトコルを利用します。閉域網は「通信事業者が独自に保有する閉域ネットワーク」を利用し、VPNトンネルを仮想構築するため、企業のサービスで利用する際は、プロバイダや通信事業者と契約を締結し利用する専用のネットワークになります。従って非常に高い安全性を保ちながら安定した通信を実現できることから、暗号化は必要なく高速な通信が実現できることもメリットですが、インターネット経由で利用するインターネットVPNに比べると費用が高額になる点がデメリットです。

IP-VPN

広域イーサーネット

広域イーサーネットとは、離れた地域に存在するLAN(Local Area Network)同士を接続し大きなネットワークを構築することで、別名をWAN(Wide Area Network)と呼びます。広域イーサーネットは通信業者と契約を締結し「専用線」を利用して通信を行うため費用が高額になります。しかし、限られた人たちだけが通信できるネットワークのためウィルスやマルウェア感染による情報漏えい事故や標的型攻撃の対象となるリスクが無く安全に利用することができ、さらに専有できるネットワークのため高速で大容量のデータ通信が可能です。企業で構成されているネットワークで東京本社と大阪支社を例に説明をすると、離れた地域に存在する会社同士を社内ネットワークで構成しファイルサーバのようにファイルの受け渡しや社内のスケジュールやプロジェクトを共有するグループウェアを利用するなどを行うなど、安定して大容量のデータを高速で転送ができ安全に通信ができます。社内ネットワークを利用し社外秘のデータを取り扱うことが多いため、閉ざされたネットワークのことを「イントラネット」とも呼びます。

広域イーサーネット

クラウド型VPN

クラウド型VPNとは、インターネット経由でクラウド事業者が提供しているVPNサービスのことを意味するためインターネットVPNの一種です。一般的に企業が社内システムで導入している構成はオンプレミス環境で、サーバやネットワーク機器を保有している状態で情報システム部門が運用管理をしているものになります。VPN対応の専用ネットワーク機器も同様にシステムに導入をし運用しているものになります。しかしクラウド環境で提供するVPN接続サービスも存在し、オンプレミス環境で機器を保有していることで運用コストが掛かっていたものを削減できる点でメリットとなります。従ってサーバサイドの設定はクラウド事業者が行うため、利用者は設定をする必要はなく運用工数削減にもつながります。しかしデメリットも有り、セキュリティではクラウドサービスの運用側で把握しているので、標的型攻撃による不正アクセスの検知やウイルスやマルウェアの脅威の把握もオンプレミス環境と比較をして厳密には行えるものが少なく、個人情報や機密情報を取り扱うシステムの場合はセキュリティ対策が不十分の場合があるため、クラウド型VPNはセンシティブな情報を取り扱うシステムには適していないことが懸念点となります。

VPN free(無料VPN)

無料で利用できるVPNサービスも多数存在しますが、外部からのセキュリティには強いが内部のセキュリティ即ち、運営側で見える部分に関しては対策がされていないものが多く脆弱性のある環境も存在します。従って運営会社などが明確に書かれていないフリーソフトやWebサービスを利用することは、接続環境に十分な予算をかけていなかったりセキュリティ対策が十分にできていない可能性がありますので利用するにはリスクが有ることを理解して利用するようにしましょう。

VPN対応ルータ

VPN対応ルータとはVPN接続機能を搭載したルータのことで、専用ソフトウェアをインストールして利用するものです。「インターネットVPN」接続をする際に拠点間のVPN接続を構築するために「VPN対応ルータ」必要になります。

VPN対応ルータを選定するポイント

リモートワークの普及で在宅勤務をする人たちが増加しました。また、出張先など外出先でインターネットVPNを利用して仕事をする人たちも多いことが現状です。多様な働き方をするクライアントの要望に応えれるよう企業の情報システム部門はVPN接続に関して以下のポイントを抑えて機器を導入することが必要とされます。

安全性

在宅勤務をする際は、自宅のインターネット環境の機能であるネットワーク機器(ルータなど)と安全に通信ができるかとい点を抑えておく必要があります。合わせて外出先でテザリングやWi-fiなどを用いてインターネット接続をし安全に利用できるかということもポイントとして押させておく必要があります。もう一つは社内ネットワークであるLAN同士を安全に接続できる機能を搭載しているか確認する必要もあります。ネットワーク通信には、社内システムを構築しているネットワーク機器とサーバ同士を安全に安定した通信を行えるよう基本機能を有していることが、まず必要であることを念頭において機器を選定する必要があります。

VPNに対応したプロトコル

インターネットVPNのプロトコルは上記で記載した通り「IPsec-VPN」「SSL-VPN」「L2TP/IPsec」「PPTP」「OpenVPN」「IKEv2」「SSTP」などが存在します。インターネットVPNを構築する際には、これらのプロトコルに対応しているかを確認してVPNルータを選定する必要があります。

システム監視との関連性

アイティーエムの主軸サービスであるMSP事業のシステム運用監視サービス(MSL)は、サーバやネットワーク機器の監視やシステム全体の運用・監視など、24時間365日体制で統合的にお客さまのシステム環境をサポートするサービスです。システム監視ルートは、パブリッククラウド環境の場合にはインターネット経由で、プライベートクラウド環境やオンプレミス環境の場合にはインターネット回線でVPN接続や専用線でというように、お客さまご利用のシステム環境に合わせて、対応いたします。

当社の監視回線パックメニューとOSI参照モデルの階層別に見る適用図

クラウド環境に接続をする「インターネット回線」を用いる場合と、オンプレミス環境やデータセンターに接続するための「専用線」に大きく分けられます。インターネット回線は3層から7層で用いられ、2層は専用線を用い1層はケーブルなどの配線です。それに伴い専用のネットワーク機器が必要になりL2スイッチ、L3スイッチ、ブリッジ、ルータなどが存在し各層に合わせた機器を利用します。下の図で色分けをしている1層から3層に着目をして見ましょう。

監視回線パックとOSI参照モデルの対応図

監視回線パックとOSI参照モデルの対応図

監視回線パックメニュー

パック名 接続形態 内容
GlobalAgent-Line パブリッククラウド接続 インターネット回線経由にて
暗号化通信による監視となります
※ リモートオペレーション不可※1
GlobalProxy-Line パブリッククラウド接続 インターネット回線経由にて
暗号化通信による監視となります。
Proxyサーバ構築/管理費を
含みます。※2
※ リモートオペレーション可
VPN-Line 拠点間IPSecVPN 一般的なブロードバンド回線を
利用して拠点間IPSecVPN接続にて
ご提供します。
VPN接続機器の
手配/設置/管理費を含みます。
L2-Line 広域イーサネットL2網 当社手配の専用線による
監視となります。
専用線接続機器の
手配/設置/管理費を含みます。
当社にて提供する専用線費用
DC-Line 当社データセンター内接続 当社データセンター内接続
(閉域網)による監視となります。
専用線接続機器の
手配/設置/管理費を含みます。
構内配線費用は
別途データセンター契約が
必要です。
  • ※1:GlobalAgent-Lineで監視を行う場合、監視対象にグローバルIPの付与が必要となります。
    監視対象にグローバルIPアドレスが付与されていないノードがある場合、またはリモートオペレーション対応(障害1次対応/二次対応)が
    必要な場合にはGlobalProxy-Lineの契約が必要となります。
  • ※2:Proxyサーバのリソース利用料金はお客様負担となります。

インターネット接続

パブリッククラウド環境へ接続をする場合は一般的に利用されているインターネット接続を行います。監視対象にグローバルIPアドレスが付与されているか付与されていかで監視回線が変わります。詳しくは以下のページを御覧ください。

閉域網接続

企業にはセキュリティポリシー上インターネット接続でアクセスすることができないシステム環境があります。代表的なものがオンプレミス環境やデータセンターをご利用になる場合です。当社の監視回線は、そのような企業のセキュリティ規則上インターネット接続ができないプライベート環境のシステムにも閉域網接続で監視回線パックを提供しております。以下2種類の監視回線パックを見ていきましょう。

拠点間IPSecVPN(VPN-Line)

VPN(Virtual Private Network)の一種でありL3(ネットワーク層)のプロトコルであるIP(Internet Protocol)で暗号化通信を行う形式でインターネットを通じて拠点間接続ができリモートアクセスなどで用いられます。IPSecとはTCP/IPネットワークで暗号化通信を行うためのプロトコルです。当社ではL3から上層のレイヤー接続が可能で主に拠点間を結ぶ閉域網として利用します。下の図は「当社の監視センターがプライベートクラウド環境に接続する例」でインターネット接続でありながらVPNを利用することでL3(ネットワーク層)の接続が実現できます。

拠点間IPSecVPNイメージ図

ブロードバンド回線を用いたインターネット経由の接続でVPNを構築しプライベートクラウド環境にネットワーク層(L3)で通信をする例

広域イーサネットL2網(L2-Line)

VPN(Virtual Private Network)の一種であり地理的に離れた地域同士のLAN(WAN)を結び拡張されたLANとして提供するサービスです。物理的な隣接する機器の接続という考え方ではなくVPNを利用することでL2領域の通信が可能となり拠点間を結ぶ閉域網として利用します。下の図は「当社監視センターがお客様拠点に接続する例」で専用線を利用しWANで地理的に離れた地域に接続をし拡張したLANでL2(データリンク層)の接続が実現できます。

広域イーサネットL2網イメージ図

専用線(WAN)で接続をし拠点間をデータリンク層(L2)で通信をする例

システム運用監視サービス Management Service Library(MSL)

アイティーエムのシステム運用監視サービス Management Service Library(MSL)は上記のように、様々な環境に適応した監視回線でお客様のシステムを監視します。24時間365日体制のカスタマーエンジニアにより、通知アラートを迅速にキャッチし、システムの状況を正確に確認いたします。日々のシステム運用はもちろんのこと、障害発生時の対応においても、効率よくオペレーションが行える監視サービスを実現しています。特に自社のオンプレミス環境に構築されたシステムを監視してほしい、開発エンジニアやアプリケーションエンジニアを本業に専念させたいというニーズには最適なサービスになっています。

システム運用監視パッケージ Managed Live

システム運用監視パッケージ Managed Liveとはサーバの特徴に合わせた監視項目をパッケージにしてご提供するサービスです。またManaged Live特有のVPN接続機器をご用意させていただきますので、機器の選定の時間短縮とともに予めパッケージ化された監視項目で主要サーバの運用監視の導入が簡単な点もメリットです。障害対応の際は当社のカスタマーエンジニアが障害1次対応で障害の早期発見による迅速な対応のもとサーバ障害から復旧支援を行います。

対象サービス

システム運用監視サービス

Management Service Library(MSL)

当社の中核サービスであるMSP事業のシステム運用監視サービス(MSL)は、サーバやネットワーク機器の監視やシステム全体の運用・監視など、24時間365日体制で統合的にお客さまのシステム環境をサポートするサービスです。ハイブリッド環境でシステムを運用されているお客さまや、AWS、Microsoft Azure、Google Cloud Platformなど、お客さまご利用のシステム環境に合わせて、監視サービスのみのご提供から運用サポートを含めたフルマネージドサービスまで、お客さまのご要望に応じて、ご選択いただけます。

利用例(お客様の課題)

お問い合わせ

Contact

サービス、記事、サイトに関するお問い合わせはお気軽にどうぞ

メールからのお問い合わせ

メール

メールでのご質問やお問い合わせなどを承ります。

お電話からのお問い合わせ

電話アイコン
土日・祝祭日を除く。AM9:30 − PM6:30