サイト間VPN(仮想プライベートネットワーク)は、2つ以上のネットワーク全体の間に確立されたセキュアな接続であり、たとえ数千マイル離れていても、それらのネットワークを1つのプライベートネットワークのように機能させます。
たとえば、企業の本社と支社間の通信といったネットワーク間の通信を暗号化します。
企業は一般的にサイト間VPNを以下の目的で使用します。
- 異なる地域にあるオフィス同士を接続する
- オンサイトインフラストラクチャとオフサイトデータセンター間にセキュアな接続を確立する
- サプライヤーや流通業者など、パートナー企業間の安全な通信を可能にする
サイト間VPNの仕組み
サイト間VPNは、インターネットを介して異なる場所にある2つ以上のネットワーク間で暗号化されたセキュアな接続を確立します。これはトンネルのようなものです。つまり、サイト間でデータが移動する際にデータの保護を維持するプライベート経路です。
サイト間VPNの仕組みについて順を追って説明します。
各拠点でVPNゲートウェイをセットアップします
各拠点に、ネットワークの玄関として機能するデバイス(多くの場合、VPN機能を備えたルーターやファイアウォール)が設置されます。VPNゲートウェイは、VPN経由でのデータの暗号化、送信、受信を実行します。
セキュアなトンネルが確立されます
ゲートウェイが接続されると、それらの間に暗号化されたトンネル(鍵がかかった通路のようなもの)が形成されます。
ほとんどのサイト間VPNはIPSecプロトコルスイートを使用して、ゲートウェイ間のトンネルを確立し、保護します。 このプロトコルスイートはデータを暗号化するだけでなく、その完全性と発信元も検証します。
通信の暗号化と復号化が行われます
データが一方のネットワークから伝送される前に、IPSecプロトコルスイートによって解読できないコードに変換されます。他方のゲートウェイに到達して初めて、元の形式に復号化されます。つまり、たとえデータが傍受されても、正しいキーを持っていない者にとっては無意味な情報となります。
実際にあり得る例を考えてみましょう。
パリとシカゴにオフィスを構えるテクノロジー企業があるとします。毎日、大西洋を隔てたこれらのオフィスのチームは、転送中のデータが盗み見されるリスクを避けつつファイルの共有、アプリケーションの実行、同じコードベースの更新を行う必要があります。
サイト間VPNでこれを実現できる理由は以下の通りです。
- 各オフィスのVPNゲートウェイは、ローカルネットワークへの安全な玄関として機能します。
- VPNトンネルがこれらのゲートウェイを接続し、バックグラウンドで静かに動作する、暗号化されたプライベート経路を作成します。
- パリの開発者がシカゴのサーバーに保存されたプロジェクトを開くと、要求はまずローカルVPNゲートウェイに到達し、そこで暗号化されてトンネル経由で送信されます。シカゴのゲートウェイに到着すると復号化され、サーバーに渡されます。応答の場合、同じプロセスを逆方向に辿ります。
チームにとっては、1つの共有ネットワーク上で作業しているように感じられます。その裏では、データが外部からは侵入不可能な、ロックされたプライベート通路を通って数千キロもの距離を移動しているのです。
サイト間VPNのメリット
複数の拠点を持っている場合や、パートナーと緊密に連携している場合、サイト間VPNによって業務が大幅にスムーズになります。
費用対効果
サイト間VPNなら、オフィス間の高額な専用回線に投資する必要はありません。代わりに、公衆インターネットを使用してセキュアな接続を確立します。
セキュリティ機能
拠点間で送受信されるすべてのデータは暗号化されます。 これにより、機密情報が盗み見から守られます。
これは、オフィス間で事件に関するファイルを送信する法律事務所など、機密情報を扱う企業にとって極めて重要です。
拡張性
ビジネスが成長している場合、サイト間VPNは簡単に拡張して新しい拠点を追加できます。別の都市に支店を追加する場合であれ、別の国に倉庫を追加する場合であれ、パートナーのネットワークを接続する場合であれ、設定全体を再構築せずにVPNに統合できます。
要するに、サイト間VPNは、ネットワークとビジネスを接続するための費用対効果が高く、セキュアかつ柔軟な方法です。
VPNのタイプ
「サイト間VPNのタイプ」という言葉はよく検索されています。
厳密には、サイト間VPNに「タイプ」はありません。技術は標準化されています。「タイプ」と言う場合、VPNの異なる使用方法を指すことが多いです。
VPNは大きく3つのカテゴリーに分類されます。
- リモートアクセスVPN – 個別のユーザーをプライベートネットワークにセキュアに接続します(在宅勤務の従業員など)。
- サイト間(S2S)VPN – 拠点間でネットワーク全体を接続します(本社と支社の接続など)。
- 商業/消費者向けVPN – プライバシー、オンラインでの安全性、またはセキュアなリモートブラウジングのためプロバイダー経由でトラフィックをルーティングします。
これらはそれぞれ、目的が大きく異なる点に重要です。どれが適切かは、達成しようとしている目標しだいです。
サイト間VPNとリモートアクセスVPNの比較
いずれの種類のVPNもセキュアな接続を確立しますが、仕組みと目的が異なります。
サイト間VPNはネットワーク全体を接続します(企業の本社と支店など)。これらのネットワーク上の全ユーザーは、自動的に接続の一部となり、個別にログインする必要はありません。
このセットアップは、継続的な拠点間通信とデータ共有を必要とする組織に最適です。
リモートアクセスVPNによって、個別のユーザーがどこからでも企業のネットワークにセキュアにログインできるようになります。単一のデバイス(ノートパソコン、スマートフォン、タブレットなど)と企業ネットワークの間にセキュアなトンネルを確立します。
通常、在宅勤務時や出張時に使用されます。これはリモートワークやモバイルチーム向けの柔軟なソリューションですが、サイト間VPNのようにネットワーク全体を接続するわけではありません。
どのVPNタイプがニーズに合いますか?
|
機能
|
サイト間VPN
|
リモートアクセスVPN
|
|
目的
|
ネットワーク全体を接続すること(本社と支社など)
|
個別のデバイスをネットワークに接続すること
|
|
アクセスする
|
接続されたネットワーク上のすべてのユーザーが自動的にアクセス可能になります
|
各ユーザーが個別に接続します
|
|
セットアップ
|
より複雑であり、各サイトにネットワーク構成とVPNゲートウェイが必要です
|
より簡単であり、通常は必要なものはクライアントソフトウェアのみです
|
|
ネットワーク構成
|
複数の企業ネットワークを1つのネットワークとして接続します
|
個別のデバイスが中央企業ネットワークに接続します
|
|
最適な用途
|
複数の拠点やパートナーネットワークを持つ企業
|
リモートワーカー、出張中の従業員、またはモバイルチーム
|
サイト間VPNのユースケース
サイト間VPN接続は多くの現実のビジネス環境に不可欠であり、いくつかの事例を目にしたことがあると思います。
- 複数のオフィスを持つ企業 – 例:本社と全国の店舗を接続して売上データを共有する小売チェーン
- 外部パートナーと連携する組織 – 例:サプライヤーのシステムに自社のネットワークをセキュアに接続する製造業者
- 国際企業 – 例:ロンドン、ニューヨーク、東京の支店間通信を暗号化する金融会社
サイト間VPNは、複数のオフィス、パートナーネットワーク、または国際支店を持つ企業にとって最適です。これにより、簡単にデータをセキュアに共有し、通信を保護できます。
サイト間VPNの課題
サイト間VPNはネットワークの接続を維持するための優れたツールですが、いくつかのトレードオフもあります。留意するべき主な課題をいくつか紹介します。
セットアップの複雑さ
サイト間VPNの運用を開始するのは、「接続」ボタンをクリックするだけというほど簡単なものではありません。VPNゲートウェイの構成、トンネルのセットアップ、接続されるサイト間の設定の一致の確認が必要です。
そのため、VPNゲートウェイとIPsecトンネルの構成には通常、技術的専門知識と定期的な保守が求められます。
パフォーマンスの制限
サイト間VPNは公衆インターネットを使用するため、サイト間の遅延や帯域幅を完全にコントロールすることはできません。
また、暗号化プロセス自体も遅延を発生させます。ほとんどのタスクでは気にならないレベルですが、音声や動画などの遅延に敏感なトラフィックでは問題となる可能性があります。
潜在的な拡張性の問題
2か所のオフィスを接続する場合は比較的簡単です。しかし5か所、10か所、あるいはそれ以上を接続しようとすると(特に複数の国に分散しておりネットワークセットアップが全く異なる場合)、一気に難易度が上がります。
拠点が増えるごとに追加の構成やテストが必要となり、セットアップの完了したと思っていた部分の手直しを迫られることもあります。また、規模が拡大するにつれ、増加するトラフィックを処理するためにより高性能(かつ高価)なVPNゲートウェイが必要となる可能性が高いです。
セキュリティ上の脆弱性
暗号化自体は強力ですが、接続において構成が最も脆弱な部分となることがよくあります。古い暗号化プロトコルを使用していたり、ファイアウォールルールの更新を忘れていたり、ちょっとしたミスがシステムに穴を生む可能性があります。定期的な監査と更新はこれらのリスクを軽減するために極めて重要です。
サイト間VPNの代替手段
サイト間VPNは、セキュアな接続を実現する唯一の方法というわけではありません。さらに、ニーズによっては最も実用的な選択肢ではない場合すらあります。
その他の方法を紹介します。
リモートアクセスVPN
個人がどこからでも会社のリソースにセキュアにアクセスする必要がある小規模な企業やチームに最適です。各ユーザーが独自の暗号化されたトンネル経由で接続するため、ネットワーク全体を接続するよりもシンプルかつ安価です。
商業VPN
複雑なセットアップなしで暗号化とオンラインプライバシーが必要な個人や小規模チームに理想的です。
Surfsharkなどのツールは、転送中のデータを保護して、公共Wi-Fiの利用におけるセキュリティを確保し、ブラウジングのプライバシーを保ちます。
サイト間VPNやリモートアクセスVPNとは異なり、これらのサービスは企業リソースに接続することを意図しておらず、オンライン上での個人情報の保護とインターネット上での活動の安全性の確保にあります。
目的がネットワーク全体の接続ではなく個人のセキュリティとプライバシーであれば、この選択肢は同じ中核的なセキュリティ上のメリットを実現しつつ、複雑さを軽減できます。
サイト間VPNは本当に必要ですか?
いいえ。複数の国にオフィスや支店を持つ大規模な組織で働いていない限り、サイト間VPN接続は必ずしも必要ありません。ほとんどの個人や中小企業にとって、サイト間VPNは過剰と思われます。
データの保護、公共Wi-Fiのセキュリティの確保、数人へのリモートアクセスの提供が目的であれば、通常のVPNで十分です。
Surfsharkのようなサービスなら、セットアップに悩まされることなく強力な暗号化と柔軟性が得られます。数分で利用開始できます。
よくあるご質問
サイト間VPNとは何か
サイト間VPNとは、インターネットを介した2つ以上のネットワーク全体(企業の本社と支社など)のセキュアな接続です。それらの間でやり取りされるすべてのデータを暗号化するため、異なる場所にいるチームが、あたかも同じローカルネットワーク上にいるかのようにファイルを共有し、リソースにアクセスできます。
サイト間VPNとリモート(ポイント対サイト)VPNの違いは何ですか?
サイト間VPNはネットワーク全体を接続するため、各ネットワーク上のすべてのユーザーが個別にログインすることなくセキュアに通信できます。
リモート(またはポイント対サイト)VPNは、単一のデバイス(ノートパソコンなど)をネットワークに接続します。通常、どこからでも企業のリソースにセキュアにアクセスする必要があるリモートワーカーが使用します。
サイト間VPNを構成する方法
サイト間VPNを構成するには、通常、各拠点でVPNゲートウェイをセットアップして、IPsecなどのプロトコルスイートを選択し、両拠点で一致するセキュリティ設定を作成する必要があります。
このプロセスは専門性が高いため、多くの企業はセットアップと継続的な保守をITの専門家やマネージドサービスプロバイダーに委託しています。
ルーターにサイト間VPNを設定できますか?
はい。通常、ルーターにサイト間VPNを設定できます(ルーターがVPN機能をサポートしている場合)。多くの業務用ルーターや一部の高度な消費者向けモデルは、IPsecやOpenVPNなどのプロトコルを使用してサイト間VPNに対応可能です。 ルーターの仕様を確認する必要があります。
最適なサイト間VPNとは何ですか?
「最適なサイト間VPN」というものは存在しません。この技術自体は一般的なインターネットセキュリティ標準に準拠しており、すべてのベンダーがその実装に同じ中核的な暗号化方式を使用しています。つまり、どのベンダーであれ、トンネルと保護の仕組みは同じです。
実際に異なるのは、各ベンダーが提供するソフトウェアと、追加機能、拡張性、提供されているサポートです。
ネットワーク間接続全体を必要としない個人や小規模なチームには、SurfsharkなどのシンプルなVPNサービスが適しています。強力な暗号化と迅速なセットアップが可能であり、従来のサイト間VPNのように保守に悩まされることもありません。
