インターネットで安全な状態を保つには、VPN(仮想プライベートネットワーク)が欠かせないことは、既にご理解していることでしょう。とは言え、VPNがどのように機能して、具体的にどのような役割を果たしているかは、普通の人にはまだ分かりにくいでしょう。今日は、VPNがどのような役割を果たしているかを詳しく見て、VPNトンネルを紹介します。VPNとは何か、どのように機能するのか、目にする可能性のある種類について説明します。
目次
VPNトンネルとは何ですか?
VPNを使用してインターネットに接続すると、デバイスとワールド・ワイド・ウェブ間で行き来する情報を保護するための安全なリンクが構築されます。このリンクがVPNトンネルと呼ばれるもので、特定の解読キーを持たない人がデータを解読できないように、それぞれのデータを暗号化してカプセル化します。
この仕組みは、公共の郵送サービス会社の代わりに個人用の宅配業者を利用するようなものですが、この宅配業者はすべての手紙をあなただけが理解できる言語に翻訳して配達します。そのため、誰かがあなたのメールを盗んだり、読もうとしたりしても心配無用です。
そうですね、心配することはほとんどないです。保護される情報が実際にどれほど安全かは、VPNが使用する暗号プロトコル次第です。上の例に例えると、宅配業者が手紙の翻訳に使用した言語次第ということです。
後ほど詳しく紹介しますが、使用例とセキュリティレベルが異なるさまざまなプロトコルがあります。まずは、プロセスの全体と、VPNトンネルを自分で構築する方法を見ていきましょう。
VPNトンネルはどのように機能しますか?
どのウェブサイトでも、リンクをクリックしたり、ファイルをダウンロードしたりすると、情報の要求が送信され、その引き換えとして情報を取得します。通信が保護されていない場合、データの要求はウェブサイトに届く前に、デバイスからインターネットサービスプロバイダー(ISP)に送信され、要求したデータが戻ってきます。
このように、ISP、ウェブサイトや通信を覗き見する恐れのある人は、やり取りされる情報のさまざまな部分を特定し、利益を得る目的で後からデータを使用したり、販売したりします。
このようなことを防ぐために、VPNはVPNトンネルを介して、サーバーのひとつと安全な接続を構築します。
- ステップ1:VPNトンネルを構築する要求を、VPNクライアントからサーバーのひとつに送信します。
- ステップ2:フェーズ1は、デバイスとVPN間のネゴシエーションの段階で、デバイスとVPNが互いを認識し、構築に必要なセキュリティ対策を確認します。
- ステップ3:フェーズ2で、データを送信するVPNトンネルが追加されます。
- ステップ4:構築されたトンネルを介して、暗号化されたデータがインターネット間を行き来しますが、ISPでさえ見ることができません。
- ステップ5:一定の時間が過ぎたり、情報が送信されると、トンネルは無効になり、自動的に役割を終えます。さらに接続を保つ必要がある場合は、ステップ1から新たにやり直します。
このようなプロセスが少し複雑に感じるかもしれませんが、安全なインターネット接続を構築するのにさほど時間はかかりません。疑問があるとすれば、実際のところ、VPNトンネルがどれほど安全なのかということぐらいでしょう。これに対する答えは、使用しているトンネリングプロトコルで変わります。
VPN プロコル
すべてのVPNプロトコルが、さまざまなネットワーク間で送信されるデータを安全に保護することを目的としていますが、すべてが同じように作られている訳ではありません。インターネットプロトコルのセキュリティは、使用されるVPNプロトコルの強さで異なります。
実際に、今日広く使用されているものの中で、性能の良いVPNプロトコルは多くありませんが、目にする可能性がある主な種類を紹介します。
SSTP
長所 | 短所 |
---|---|
ファイアウォールを回避できる | 全く監査されない |
高性能の暗号化アルゴリズムに対応 | Windows以外のOSで設定しにくい |
適切なネゴシエーションとトラフィックの確認 | 非常に多くの帯域幅が必要 |
Windowsで簡単に設定できる | VPNの開発者向けのコードがなく、プライバシー保護やセキュリティの問題が生じる可能性がある |
セキュア・ソケット・トンネリングプロトコル(SSTP)は、ホストやその他のネットワーキングを使用せずに、2つのルーター間で情報を直接送信できるように開発されたVPNトンネルです。SSTPはセキュア・ソケット・レイヤー(SSL)チャンネルを使用し、適切なネゴシエーション、暗号化とトラフィックの確認を行います。SSTPは非常に安全なプロトコルで、決まったポートを使用しないため、ファイアウォールを回避しやすくなります。
SSTPの欠点は、Windows用に作られたとはいえ、Linux、BSDとMacのOSでも動作するように設定できるということです。コードが公開されていないことから全く監査されておらず、VPNプロバイダーに開発の問題が生じています。速度に関しては、SSTPは動作するのに十分な帯域幅がない限り、性能が著しく低下するため、ベストとは言えません。
PPTP
長所 | 短所 |
---|---|
非常に速い | 性能の良い暗号化に対応していない |
設定しやすい | 悪用されやすい |
古くて忘れられている |
プロトコルの中には、古くて使われなくなったものが多々あります。PPTP(ポイント・ツー・ポイント・トンネリングプロトコル)には、適切な暗号化方式がないため、セキュリティの面で非常に重大な問題があります。実際に、さまざまな政府機関やアメリカ国家安全保障局(NSA)が、比較的簡単にプロトコルをクラックされたことがあります。
しかし、PPTPのシンプルさが利点となり、状況によっては使用できます。現在に至るまで、接続速度と設定のしやすさに関しては、PPTPに勝るものはありません。トンネリングプロトコルは、音声や動画ストリーミングや、処理が旧式のプロセッサを備えたデバイスには、依然として非常に役立っています。
それでも、特定の状況で安全な接続を構築する必要がない限り、PPTPの使用はお勧めできません。
L2TP/IPsec
長所 | 短所 |
---|---|
PPTPよりセキュリティは良いが、重大な欠陥がある | 旧式 |
比較的速い | それ自体で暗号化されない |
ファイアウォールを回避する機能が低い | |
認証と完全性のレベルが低い |
PPTPの後継として開発されたレイヤ2トンネリングプロトコル(L2TP)は、PPTPで見られた欠点の改善を目的としています。L2TPは、インターネットプロトコルセキュリティスイート(IPsec)と組み合わせて使用され、カプセル化と暗号化の 2層を作ります。インターネットサービスプロバイダー(ISP)が、サービスの一部を提供するために使用することがよくあります。
L2TPは、データ暗号化業界の最高水準のセキュリティアルゴリズムであるAES-256ビットにも対応しています。L2TPは、階層化されたセキュリティにより比較的安全ですが、IKEv2、OpenVPNやWireguardの認証と確認プロセスに比べると劣ります。
しかし、PPTPよりも高いセキュリティを備えたトンネリングプロトコルということで、速度と柔軟性に欠けます。二重の暗号化を行う代わりに、データの通信速度がかなり遅くなります。また、L2TPは決まったポートを使用し、大抵の場合ファイアウォールを回避するのが難しいです。つまり、、このプロトコルのユーザーが性能の良いインフラストラクチャを備えたウェブサイトにアクセスしても、簡単にブロックされることを意味します。
Shadowsocks
長所 | 短所 |
---|---|
検閲回避に適している | 検閲回避のみに適している |
オープンソースで、継続して開発されている | ブラウザのトラフィックを暗号化して隠すだけ |
ほぼ削除できない | |
比較的速い |
Shadowsocksは、インターネットを検閲する規制の回避を目的として開発されたオープンソースのVPN暗号化です。Shadowsocksはプロキシサーバーではないですが、サードパーティーのsocks5プロキシに基づいて異なる言語を使用することで、ユーザーのデバイスにインターネットトラフィックを迂回させることができます。
元々は、中国のグレート・ファイアウォールを回避する最良の手段として使われていました。しかし、実装に欠点があり、VPNサービスプロバイダーのモデルとあまり上手く合いません。
OpenVPN
長所 | 短所 |
---|---|
強固なセキュリティ | 平均的な速度 |
性能の良い認証と確認方法 | 手動で設定しにくい |
高性能の暗号化 | |
オープンソース |
OpenVPNは、さまざまな機能を備えたオープンソースのVPNシステム で、クライアントアプリケーションとサーバーアプリケーションの両方のP-P接続やサイト間接続に対応しています。OpenVPNは、事前共有鍵(PSK)、認証情報と証明書を使用することで、ピアが互いに認証でき、非常に安全でスムーズな相互確認プロセスを可能にします。
OpenVPNはプロトコルとして使用できることから、最も安全で、幅広く利用できるVPNの選択肢の一つです。AES-256ビットの暗号化アルゴリズムを採用し、Windows、Mac、AndroidとiOSといったさまざまなプラットフォームで簡単にアクセスできます。
オープンソースであるため、世界中のサイバーセキュリティの専門家やこの分野に精通した人達がOpenVPNのコードを徹底的に検証しています。OpenVPNの唯一の欠点は、平均的な速度と、サードパーティーのソフトウェアを使わずに手動で設定するのが難しいということです。
IKEv2
長所 | 短所 |
---|---|
強固なセキュリティ | デバイスとサーバー間の距離で速度が変わる |
高速性 | |
高性能の暗号化 | |
性能の良い認証と確認方法 |
インターネットキー交換バージョン2(IKEv2)は、 速度とセキュリティの高さから、モバイルユーザーの間で人気のあるプロトコルです。OpenVPNの事前共有証明書のように、IPsecスイートで設定し、ピアの間でセキュリティ・アソシエーション(SA)を確立します。
IKEv2は、AES-256ビットを含む最も高度な暗号方式に対応しており、比較的簡単に接続を設定できます。IKEv2の最大の強みは、物理的に近いサーバーに接続する際の並外れた速度です。
WireGuard
長所 | 短所 |
---|---|
強固なセキュリティ | 比較的新しい |
わずか4,000行のコード | |
オープンソース | |
高性能の暗号化 | |
並外れた速度 | |
安定した接続性と再接続の速さ | |
使いやすい |
WireGuard®は、プロトコルとソフトウェアアプリケーションが一体となった最新のVPN通信として、IPsecやOpenVPNと同等のセキュリティレベルを維持しながら、より優れた電力使用と性能の実現を目指しています。WireGuard*は、信頼できるP-P接続を可能にするだけでなく、OpenVPNやIPsecのコードの行数が400,000から600,000にのぼるのに対して、わずか4,000で済みます。
これにより、セキュリティ監査がより簡単になると同時に、接続が切断される可能性が低くなり、切断されても早く再接続できます。これは、VPNトンネルを使用している人には大きな違いで、特にセキュリティの面では重要です。
WireGuardは無料のオープンソースで、OpenVPNに比べると、インストールしやすいアプリケーションです。また、別々のプロトコルとしても使用でき、VPNプロバイダーはそれぞれのサービスにWireGuardを導入できます。
*WireGuardは、Jason A. Donenfeldの登録商標です。。
ここまで見てきたように、VPNトンネリングプロトコルには、使用目的を絞ったものがあれば、単に古くなって悪用されやすいものもあります。賢い選択をしましょう。選択肢と言えば、話をまとめる前にもうひとつご紹介したいトンネリングがあります。それはスプリットトンネリングです。
スプリットトンネリングVPNとは何ですか?
スプリットトンネリングVPN(Surfsharkのバイパサー)は、VPNトンネルを介する通信を選べる機能です。1つのアプリを保護したいだけの場合は、この機能はかなりの効果があります。もちろん全てのアプリも保護しますが。例えば、銀行のアプリ以外の全てをVPNを介して動作するように設定できます。この設定で全てが保護され、銀行が他国からの取引をブロックすることはありません。
VPNスプリットトンネリングの長所と短所
長所 | 短所 |
---|---|
個人情報を保護 | 全てが保護される訳ではない |
暗号化が必要なデータは常にあります。何らかの理由でVPNをオフにしたい場合は、スプリットトンネリングが重要なファイルを危険にさらすことなくオフにできます。 | スプリットトンネリングの唯一の短所は、まさにその機能を果たすだけのために開発されたことでしょう。いくつかのアプリを除外するとしたら、暗号化の対象にならないため、脅威にさらすことになります。 |
異なるIPアドレスの使用 | |
IPアドレスの変更が望ましくないときがあります。銀行やストリーミングサービスを利用する際は、サービスの規約に反しないように、本物のIPアドレスを使用したいのではないでしょうか。そこでスプリットトンネリングが最大の助っ人となります。 | |
家庭でお使いのデバイスにアクセス | |
ほとんどの家庭用のワイヤレスデバイスが、同じネットワークに接続することで、メインのデバイスとして機能します。VPNは、デバイスが異なるネットワークを使用しているように見せるので、これが問題になることがあります。スプリットトンネリングを使用すると、VPNのオン・オフを切り替えることなくワイヤレスデバイスを使用することができます。 | |
データ量の多いアプリの除外 | |
暗号化を使用すると、デバイス速度が低下する場合があります。ほとんどの場合、低下しても気づかない程度です。それでも、データ量の多いアプリを使用すると、本当にうんざりする場合があります。スプリットトンネリングはこのようなアプリを除外し、速度を維持して、あらゆるものを保護します。 |
まとめ:さまざまなVPNプロトコルを使用する
さまざまなVPNトンネリングプロトコルがあるために、一つを選ぶのが難しく感じるかもしれません。しかし、このような種類の違いは、大抵の場合、技術に詳しい人に重要であって、ログ記録を残したくない、Netflixを視聴したいというだけなら、一般の人には大したことではありません。
デスクトップデバイスやラップトップでインターネットを閲覧する際は、速度とセキュリティの面ではWireGuardやOpenVPNのプロトコルが一般的に良い選択です。モバイルを介して接続するなら、VPNサーバーの拠点と利用できる可能性次第では、IKEv2が良い場合があります。
大抵の場合、状況によっては、ほとんどのVPNプロバイダーが、これらのうちの1つまたは2つを提供しています。Surfsharkはユーザーのリクエストに応えて、これら3つのVPNトンネリングプロトコルを揃えています。しかし、望まなければ、これらを選んだり、手動で何もする必要はありません。Surfsharkは、ユーザーのニーズに最大限応えられるように最初から設定されています。
よくある質問
フルトンネルVPNとは何ですか?
これはデバイスで全てをカバーするVPNで、あなたが一番使っていると思われるものです。これをオンにすると、デバイス上の全てのものが保護されます。手順はこれだけです。
最適なVPNトンネルは何ですか?
最適なVPNトンネルと言えば、トンネリングプロトコルで、最適なプロトコルはWireGuardです。それでも、他のプロトコルが劣るとか、あまり機能しないという意味ではありません。プロトコルはネットワークにかなり左右されるので、最適なプロトコルは異なることがあります。
スプリットトンネリングの使用方法とは?
Surfsharkはバイパサーがあるので、簡単に使えます。アプリの設定画面で機能をオンにし、除外したいアプリやウェブサイトを選びます。これで完了です。