VPNとは?仕組み・使い道を初心者向けに完全解説!

この記事の目的は、読者がVPNの仕組みを正しく理解し、正しく使えるようになることです。VPNの仕組みを理解すれば自ずと正しく使えるようになるため、この記事の大半はVPNの仕組みの解説になっています。

VPNの仕組みを解説するとき、最初は難しい用語を使わず身近なものにたとえて解説します。そのあとに専門用語を使って解説します。長い記事になっていますが、突拍子に難しい用語を使うようなことはしません。ですので身構える必要はなく、気楽に読み進めていただけるかと思います。それではよろしくお願いします。

VPNの仕組みを理解せずに使うとどうなるか

VPN 必要性
冒頭でも書きましたが、VPNを正しく使うためには、VPNの仕組みを正しく理解する必要があります。もしVPNの仕組みを誤解していると、効果がないケースでVPNを使ったり、使い続けることで逆にセキュリティが低下してしまったりします。

前者の例としては、「十分に保護されたサイトにも関わらず、第三者にやり取りの内容を知られたくないという理由でVPNを使う」などがあります。後者の例としては、「顧客のホームページにアクセスしていることを知られたくないという理由で普段VPNを使っているのに、顧客との打ち合わせ時に、VPNを使って顧客のホームページを閲覧してしまう」などがあります。どちらもVPNの仕組みを理解することで問題点に気付くことができます。これらの問題点については、後の章で詳しく解説します。

VPNにまつわるネットワークの仕組み

VPN ネットワーク
それではVPNの仕組みの解説を始めます。といいたいところですが、VPNの仕組みの前にネットワークの仕組みを理解する必要があるため、まずはネットワークの仕組みから解説します。

ネットワークを身近なものにたとえると、宅配便です。宅配便を使って荷物を送るとき、まずダンボール箱に荷物を入れ、送り先住所と送り主住所を記入した伝票をダンボール箱に貼り付けます。そして、近くの発送窓口に引き渡します。

ここまでが送り主の仕事で、ここからは宅配業者の仕事です。宅配業者は、トラックや貨物列車をうまく使い、いくつかの中継地点を経由して目的地に送り届けます。

このような、宅配物を目的地まで運ぶために形成されたシステムのことを「配送網」と呼びます。網は英語でネットワークなので、「配送ネットワーク」ともいいます。

ネットワークと配送網の仕組みはよく似ています。

ネットワークは、まず送りたいデータを用意し、そのデータに送り先住所と送り主住所のデータを繋げます。そして、このデータを発送窓口に引き渡します。データは様々な回線を流れ、いくつかの中継地点を経て目的地に届きます。

これはネットワークの解説ですが、全体の流れが配送網の解説とよく似ています。

ここで専門用語に少し触れておきます。ネットワークでは、住所のことをIPアドレスといいます。住所が一意であるように、IPアドレスも一意です。正しく設定されていれば、IPアドレスが決まればデータの送り先はただひとつに決まります。他には宅配物のことをパケット、発送窓口や中継地点のことをルーター、伝票のことをIPヘッダといいます。

専門用語を用いて、改めてネットワークの仕組みを解説します。

まず送りたいデータに、送信先IPアドレスと送信元IPアドレスが含まれたIPヘッダを付けてパケットという形にします。そして、パケットをルーターに渡します。パケットは様々な回線を通り、いくつかのルーターを経由して目的地に届きます。

ネットワークの仕組みまとめ

全体の流れは以下です。

クライアントは、送信先がサーバーで、送信元がクライアントのパケットを作ります。
パケットをルーターに渡します。
パケットはいくつかのルーターを経由し、サーバーに届きます。

そしてこの流れは、VPNを利用しない場合の全体の流れともいえます。

VPNの仕組みを解説

VPN 仕組み
ネットワークの仕組みを理解すれば、VPNの仕組みを理解することは難しくありません。

ネットワークの仕組みの解説では、荷物のやり取りの主役は送り主と送り先の2人でした。VPNでは、新たにここに1人加わります。この人のことをひとまず「仲介者」と呼ぶことにします。

まずは宅配便にたとえて解説します。

送り主は、送りたい荷物をダンボール箱に入れ、伝票の送り先欄に送り先の住所を記入し、ダンボール箱に貼り付けます。ここまではネットワークの例と同じですが、ここからが異なります。送り主は、伝票の送り主欄に送り主の住所を記入するのではなく、仲介者の住所を記入します。そして新たに、ダンボール箱よりも一回り大きい鍵付きのアタッシュケースを用意し、そこに宅配物を入れます。もう1枚伝票を用意し、送り主欄に送り主住所を、送り先欄に仲介者の住所を記入します。この伝票をアタッシュケースに貼り付けて、近くの発送窓口に引き渡します。

宅配業者は、伝票に記入されている送り先住所を見て配送先を決めます。アタッシュケースの伝票に記入された送り先住所は仲介者の住所であるため、宅配物はまず仲介者に送られます。

仲介者のもとにアタッシュケースが届くと、仲介者は持っている鍵を使ってアタッシュケースを開け、中の宅配物を取り出します。そして、取り出した宅配物を発送窓口に引き渡します。

宅配便の例の言い換え

ネットワークの解説と同じく、宅配便の例をVPNの仕組みに言い換えることができます。荷物の送り主をクライアント、受取人をサーバー、仲介者をVPNサーバーと呼ぶことにします。

クライアントは、送りたいデータを用意し、このデータにIPヘッダを付けてパケットという形にします。このパケットの送信先はサーバーで、送信元はVPNサーバーです。クライアントではありません。

パケットという形であれば、ルーターを介して目的地に届けることができます。しかし今回は、このパケットをそのまま送るのではなく、新たにIPヘッダを付けて「パケットを含むパケット」を作成してこれを送信します。外側のパケットの送信先はVPNサーバー、送信元はクライアントになっています。

パケットを中継するルーターは、外側のIPヘッダを見て送信先を決めます。送信先はVPNサーバーであるため、パケットはまずVPNサーバーに送られます。

VPNサーバーにパケットが届くと、VPNサーバーはIPヘッダを取り除きます。すると、送信先がサーバー、送信元がVPNサーバーのパケットができあがります。これを送信します。

鍵付きのアタッシュケース

宅配便の例にはあり、言い換え後にはないものがあります。鍵付きのアタッシュケースです。鍵付きのアタッシュケースは、いったい何に言い換えられるでしょうか。

実はパケットを含むパケットを作るときに、内側のパケットは暗号化されます。暗号化とは、元のデータを第三者に読み取られないように書き換えることです。

暗号化されたデータを復号できるのは、クライアントとVPNサーバーだけです。クライアントとVPNサーバーは、暗号化されたデータを復号するための「鍵」を持っています。この鍵を使って、暗号化されたデータを元のデータに戻します。

この解説は、そのまま鍵付きのアタッシュケースの例に言い換えることができます。暗号化は「アタッシュケースに荷物を入れて鍵をかけること」、復号化は「鍵付きのアタッシュケースを、持っている鍵で開けること」に相当します。

ということで、宅配便の例をVPNの仕組みに言い換えることができました。ここまで理解できれば、VPNの仕組みを理解できたことになります。

VPNの仕組みまとめ

データの流れを振り返ります。

クライアントは、送信先がサーバー、送信元がVPNサーバーのパケットを作ります。
このパケットを暗号化します。
暗号化されたデータを持つ、送信先がVPNサーバー、送信元がクライアントのパケットを作ります。
パケットをルーターに渡します。
パケットはいくつかのルーターを経由し、VPNサーバーに届きます。
VPNサーバーは、IPヘッダを取り除いて復号化します。
復号化したパケットをそのままルーターに渡します。
パケットはいくつかのルーターを経由し、サーバーに届きます。

ここでもう一度、ネットワークの仕組みまとめの「VPNを利用しない場合のデータの流れ」を載せます。

クライアントは、送信先がサーバーで、送信元がクライアントのパケットを作ります。
パケットをルーターに渡します。
パケットはいくつかのルーターを経由し、サーバーに届きます。

VPNの有無による違いの比較

VPNを利用する場合と利用しない場合の違いを比較してみましょう。

・経由しない場合では、サーバーはクライアントのIPアドレスがわかります。それに対して経由する場合では、送信元がVPNサーバーになっているため、サーバーはクライアントのIPアドレスがわかりません。

・経由しない場合では、ネットワークを流れるパケットの内容を見られてしまう可能性があります。それに対して経由する場合では、クライアントからVPNサーバーに送られるパケットの内容は暗号化されているため、内容を見られる心配はありません。しかし、VPNサーバーからサーバーに送られるパケットの内容は見られる可能性があります。

・経由する場合、VPNサーバーにはクライアントとサーバーのIPアドレスと、パケットの内容がわかります。

・VPNサーバーを経由する場合は、経由しない場合に比べて配送に時間がかかります。理由は2つあり、ひとつは配送距離が長くなること、ひとつは暗号化と復号化の作業が増えたことです。

4つの違いをあげました。文章量が少し多いので、わかりやすくするために、VPNを利用した場合の利点と欠点だけに注目してみます。

<利点>
・サーバーには、クライアントのIPアドレスがわからない
・クライアントからVPNサーバーまでのパケットの内容は暗号化されている

<欠点>
・VPNサーバーには、クライアントとサーバーのIPアドレス、パケットの内容がわかる
・時間がかかる

VPNの使い方

VPNを使用したほうがいいケース

VPNの仕組みの解説、そしてVPNの有無による違いの比較を行いました。ここまで理解すれば、VPNの適切な利用方法がわかります。

まずは、VPNを利用したほうがいいケースを考えます。

ケース1~匿名掲示板への書き込み~

A君はSNSを運営しています。SNSの注目度は高く、ユーザー数が100万人を超えるほど人気です。A君の友人であるB君もSNSを利用していましたが、ある日、注目を浴びるA君に嫉妬し、匿名掲示板にA君の悪口を書くことにしました。

匿名掲示板に書き込むとIPアドレスも表示されますが、IPアドレスから個人を特定することはできないため安心だとB君は考えました。しかし、SNSのデータベースには、IPアドレスとユーザー名の対応が記録されています。A君は、匿名掲示板のIPアドレスとSNSのデータベースから、悪口を書き込んだ犯人がB君であることを突き止めました。こうしてA君はB君への信頼をなくし、B君と距離を置くことにしました。

どうすればB君は、A君に特定されることなく悪口を書き込めたでしょうか。今回特定されたのは、匿名掲示板のIPアドレスと、SNSのデータベースに記録されているB君のIPアドレスが一致していたからです。ということは、IPアドレスさえ異なれば特定されないということになります。

異なるIPアドレスにする方法は色々ありますが、そのうちのひとつに、匿名掲示板への書き込み時にのみVPNを利用する方法があります。この方法をとることにより、SNSのデータベースに記録されるのはB君の持つIPアドレスに、匿名掲示板で表示されるのはVPNサーバーのIPアドレスになります。これで、A君に特定されることはなくなりました。

このケースでは、サーバーには、クライアントのIPアドレスがわからないというVPNの利点を使っています。

ケース2~喫茶店のWi-Fiを使ってサイトにアクセス~

C君は、無料で漫画を閲覧できるサイトを知っています。いつもは家のパソコンでサイトを閲覧していましたが、ある日気分が変わり、ふらっと喫茶店に足を運び、Wi-Fi経由でサイトを閲覧することにしました。しかし喫茶店は、Wi-Fiを流れるパケットの送り先を常にチェックしており、不正なサイトに向かうパケットがインターネットに流れ出ないようにしていました。このためC君はサイトを閲覧できませんでした。

どうすればC君は、喫茶店のWi-Fiを使ってサイトを閲覧できたでしょうか。

サイトを閲覧できなかった理由は、喫茶店が不正なサイトとみなしたからです。そして、このときのチェック時には、パケットの送り先IPアドレスが使われています。送り先IPアドレスが「不正なサイトのIPアドレス一覧」にあればブロックし、なければ通過させます。ということは、パケットの送り先が漫画サイトでなければ、喫茶店のチェックを通過する可能性があります。

ここでVPNを使います。VPNを使った場合、C君のパソコンは、まず送信先が漫画サイトのパケットを作ります。このパケットをそのまま送信せずに暗号化し、送信先がVPNサーバーのパケットを作ります。「暗号化されたパケットを含むパケット」を作るわけです。これを送ります。

喫茶店はパケットをチェックしますが、送信先がVPNサーバーであり、VPNサーバーのIPアドレスは「不正なサイトのIPアドレス一覧」にないため、チェックを通過します。パケットはVPNサーバーまで届き、最終的に漫画サイトに届きます。こうしてC君は、喫茶店のWi-Fiを使って漫画サイトを閲覧することができました。

このケースでは、クライアントからVPNサーバーまでのパケットの内容は暗号化されているというVPNの利点を使っています。

VPNを使用しなくてもいいケース

次は、VPNを利用しなくてもよいケースについて考えます。

ケース3~保護されたサイトへのアクセスにVPNを利用~

TwitterやFacebookなどの保護されたサイトへのアクセスにVPNを利用するケースです。

サイトには、保護されたサイトと保護されていないサイトがあります。サイトがどちらに属するかを見分けるのは簡単で、URLが「https://」で始まっていれば保護されたサイト、「http://」で始まっていれば保護されていないサイトです。

保護されたサイトとのデータのやり取りは暗号化されます。宅配便の例を持ち出すなら、ダンボール箱でなく鍵付きのアタッシュケースに荷物を入れるようなものです。このアタッシュケースを開けるための鍵を持っているのは、送り主(手元のパソコン)と送り先(TwitterやFacebook)です。第三者は鍵を持っていないため、アタッシュケースの中身を見ることはできません。したがって、第三者がパケットの投稿内容を見ることはできません。

このようなサイトにアクセスする場合に、投稿内容を第三者に知られたくないという理由でVPNを利用することに意味はありません。なぜなら、暗号化された投稿内容を更に暗号化しているからです。宅配便の例に当てはめると、鍵付きのアタッシュケースに荷物を入れ、それを更に一回り大きい鍵付きのアタッシュケースに入れるようなものです。二重の暗号化と配送距離の増大によりオーバーヘッドが増えますが、その欠点を補うだけの利点はありません。ですのでこのようなケースでは、VPNを利用すべきではありません。

VPNの使い方を誤っているケース

最後に、VPNの使い方を誤っているケースについて考えます。

ケース4~顧客との打ち合わせ時にVPNを利用~

D君は、とある会社で顧客調査をしています。顧客のホームページを閲覧し、ホームページに掲載されている情報を逐次チェックする業務です。調査していることを顧客に気付かれないよう、VPNサーバーを経由してホームページを閲覧していました。

ある日、顧客であるE君と打ち合わせを行うことになりました。D君は、普段会社で使っているノートパソコンを打ち合わせ場所に持っていきました。ノートパソコンの接続設定は、VPNサーバーを経由するよう設定されたままです。打ち合わせ時、E君から自社のホームページを閲覧してほしいと頼まれたD君は、素直にホームページを開きました。そして、ホームページを確認しながら打ち合わせは進みました。

打ち合わせが終わったあと、E君は自社ホームページのアクセスログを確認しました。その中には打ち合わせ時にD君のパソコンからアクセスされた形跡が残っていましたが、D君のパソコンのIPアドレスを見ると、以前から頻繁にアクセスされているIPアドレスと一致しました。このIPアドレスからの頻繁なアクセスのせいで、サーバーの動きが遅くなることに困っていたのですが、まさか犯人がD君だとは思いませんでした。なぜなら、打ち合わせ時にD君は、E君の自社ホームページを閲覧するのは初めてだと言っていたからです。

こうしてE君に嘘をついていることがばれ、D君の信用は失われました。

なぜ犯人がD君だと特定されたのでしょうか。理由は、常にVPNを利用していたためです。打ち合わせ時にVPNを利用しなければ、アクセスログに記録されるIPアドレスはVPNサーバー以外のものになり、それならE君に特定されることもなかったでしょう。

このように、VPNを使い続けることで、逆にセキュリティが低下するケースがあります。

様々なケースまとめ

いろいろなケースを見てきましたが、いずれもVPNの仕組みと理解し、VPNの利点と欠点を把握することで、正しく判断できるようになります。

VPNに関する用語

これまで見慣れない用語を極力使わないようにしてきたため、VPNをより深く理解しようとして別の記事を読んだときに、見慣れない用語が多くてタジタジするかもしれません。それを避けるために、ネットワークやVPNの仕組みを解説するときによく使われる用語について、これから解説していきます。

IPsec

VPNの仕組みでは、どのような手順でパケットが暗号化され送信されるかを解説しましたが、このデータのやり取りを実現するためには、いくつかの下準備が必要です。

たとえば、データをやり取りするためには、まずクライアントとVPNサーバーの両方が鍵を持つ必要がありますし、暗号化の方法といってもいろいろあり、どの方法を使うかをあらかじめ決める必要があります。このような取り決めや鍵の生成方法などを決めるために最初に行うデータのやり取りの手順をIKEプロトコルといいます。

そして、IKEによって決まった暗号化の方法や鍵を使ってどのようにパケットを暗号化してやり取りするかの手順を定めたものをESPプロトコルといいます。この2つのプロトコルをあわせてIPsecといいます。厳密にはAHプロトコルも含んでIPsecといいますが、AHプロトコルはあまり使われないためないものとしています。

ESPプロトコルについては宅配便の例で解説しましたが、IKEプロトコルはまだ解説していません。そして、IKEプロトコルを宅配便の例で解説することは困難です。なぜなら、数学的な性質を使っているからです。この鍵生成方法のことを「ディフィー・ヘルマン鍵共有」といいますが、このアルゴリズムを使うことで、クライアントとVPNサーバー、それと回線を常に監視する第三者といった状況でも、クライアントとVPNサーバーが安全に鍵を生成できます。

L2TP

IPsecではユーザー認証を行なえませんでした。IPsecでは、普通は「共有シークレット」と呼ばれる「パスワードのようなもの」を使って認証を行いますが、これはユーザー認証ではなく、共有シークレットを知っている人であれば全員がクライアントになれるという欠点があります。

IPsecにユーザー認証の機能を追加したものを「L2TP over IPsec」または「L2TP/IPsec」といいます。これはプロトコルであり、IKEとESPの間に行われます。

L2TPにはクライアントにIPアドレスを発行する手順も含まれており、これをうまく使うことで、社外のネットワークから社内ネットワークにアクセスすることができます。この仕組みを理解するためにはより深いネットワークの知識(たとえばNAPT、DHCPなど)が必要なので、ここでは解説しません。

まとめ

ネットワークの仕組みの解説から始め、そこからVPNの仕組み、VPNの利用の有無による違いの比較をおこない、VPNを使うケースについて考え、最後にIPsecとL2TPについて解説しました。

この記事を読むことで、VPNの基礎が身に付きます。VPNには様々な用途や種類がありますが、いずれもここで解説したVPNの仕組みの流れを大きく外れることはありません。以下のような応用の仕方がありますが、

・内側のパケットの送信元IPアドレスを、VPNサーバーのIPアドレスではなく、送信先のローカルなネットワークに属するIPアドレスにできます(リモートアクセスVPNといいます)
・インターネットではなく専用線を利用することができますし(IP-VPNといいます)
・暗号化をルーターでおこなうことができます(このルーターをVPNゲートウェイといいます)

これらは一部が変わっているだけであり、全体の流れは変わっていません。VPNの基礎が身に付いていれば、これらをすんなりと理解できるでしょう。

ただ、やはり文章だけではVPNを理解するのは難しいです。おすすめは、VPN Gateを使ってVPNサーバーを立ててみることです。実際にサーバーを立てて使うことで、ここに書いた様々なことが確認できます。

VPNを正しく理解し、正しく使っていきましょう!

  • .htaccessとは
    .htaccessとは?できることと設定手順を初心者でもわかるように解説
  • リダイレクト redirect
    リダイレクト (redirect)とは?意味・設定方法を5分で解説
  • ネームサーバー DNS
    ネームサーバー(DNSサーバー)とは?意味と設定方法
  • USENスピードテスト
    usenスピードテストの"級"の種類やドラゴン級とは?使い方や目安を解説
  • 「Bluetooth」とは?Wi-Fiとの違いや製品・接続方法まで完全ガイド
  • fast.com
    「Fast.com」でインターネットの通信速度を計測しよう
おすすめの記事