VPN技術の比較と使い分け

VPN（Virtual Private Network）は、インターネットなどの公衆ネットワーク上に仮想的な専用線を構築する技術です。この記事では、IPsec-VPN、SSL-VPN、IP-VPN、広域Ethernetの違いと使い分けを整理します。

VPN技術の全体像

主な分類

インターネットVPN
- IPsec-VPN: 拠点間接続（Site-to-Site）に利用
- SSL-VPN: リモートアクセス（クライアント接続）に利用
閉域網VPN
- IP-VPN（MPLS利用）: 企業WAN（L3接続）に利用
- 広域Ethernet（VLAN利用）: 企業WAN（L2接続）に利用

インターネットVPN vs 閉域網VPN

項目	インターネットVPN	閉域網VPN
回線	インターネット	通信事業者の専用網
コスト	低い	高い
品質	ベストエフォート	SLAで保証
セキュリティ	暗号化で確保	網分離で確保
導入期間	短い	長い

IPsec-VPN

IPsecはネットワーク層（L3）で動作するセキュリティプロトコルです。

IPsecの構成要素

プロトコル	役割	説明
IKE	鍵交換	SA（セキュリティアソシエーション）の確立
ESP	暗号化+認証	データの暗号化と改ざん検知（プロトコル番号50）
AH	認証のみ	改ざん検知のみ（プロトコル番号51）

IKEのフェーズ

sequenceDiagram
    participant A as 拠点A
    participant B as 拠点B

    Note over A,B: フェーズ1（ISAKMP SA）
    A->>B: 暗号アルゴリズム提案
    B-->>A: アルゴリズム決定
    A->>B: 鍵交換（DH）
    B-->>A: 鍵交換（DH）
    A->>B: 認証
    B-->>A: 認証
    Note over A,B: ISAKMP SA確立

    Note over A,B: フェーズ2（IPsec SA）
    A->>B: IPsecパラメータ提案
    B-->>A: パラメータ決定
    Note over A,B: IPsec SA確立

    Note over A,B: データ通信開始
    A->>B: 暗号化データ
    B-->>A: 暗号化データ

メインモード vs アグレッシブモード

モード	メッセージ交換	ID情報	セキュリティ	用途
メインモード	6回	暗号化される	高	拠点間接続（固定IP推奨）
アグレッシブモード	3回	平文で送られる	低	リモートアクセス（動的IP可）

トンネルモード vs トランスポートモード

トンネルモード: 元のIPヘッダごと暗号化し、新しいIPヘッダを付加する。拠点間接続（VPNゲートウェイ間）で使用。
トランスポートモード: ペイロードのみ暗号化し、元のIPヘッダはそのまま使用する。エンドツーエンド（ホスト間）で使用。

graph TB
    subgraph original["元のパケット"]
        O_IP["IPヘッダ"]
        O_DATA["データ"]
    end

    subgraph tunnel_pkt["トンネルモード"]
        NEW_IP["新IPヘッダ"]
        ESP_H["ESPヘッダ"]
        ENC1["暗号化部分"]
        T_IP["元IPヘッダ"]
        T_DATA["データ"]
    end

    subgraph transport_pkt["トランスポートモード"]
        TR_IP["IPヘッダ<br/>（そのまま）"]
        ESP_H2["ESPヘッダ"]
        ENC2["暗号化部分"]
        TR_DATA["データ"]
    end

    style NEW_IP fill:#c8e6c9
    style ESP_H fill:#bbdefb
    style ENC1 fill:#ffcdd2
    style T_IP fill:#ffcdd2
    style T_DATA fill:#ffcdd2
    style TR_IP fill:#fff3e0
    style ESP_H2 fill:#bbdefb
    style ENC2 fill:#ffcdd2
    style TR_DATA fill:#ffcdd2

SSL-VPN

SSL/TLSを利用したVPNで、主にリモートアクセス用途で使用されます。

SSL-VPNの種類

方式	対応アプリ	クライアント	特徴
リバースプロキシ	Webのみ	ブラウザ	導入が最も容易
ポートフォワーディング	特定アプリ	専用ソフト	TCP/UDPアプリ対応
L2フォワーディング	全アプリ	仮想NIC	IPsec相当の機能

IPsec-VPN vs SSL-VPN

IP-VPN（MPLS-VPN）

通信事業者のMPLS網を利用した閉域網VPNです。

IP-VPNの仕組み

graph TB
    subgraph ipvpn["IP-VPN構成"]
        subgraph customer_a["企業A"]
            CE_A1["CE<br/>拠点1"]
            CE_A2["CE<br/>拠点2"]
        end

        subgraph mpls["通信事業者MPLS網"]
            PE1["PE"]
            PE2["PE"]
            PE3["PE"]
            P1["P"]
            P2["P"]
        end

        subgraph customer_b["企業B"]
            CE_B1["CE<br/>拠点1"]
        end
    end

    CE_A1 --> PE1
    CE_A2 --> PE2
    CE_B1 --> PE3
    PE1 --> P1
    PE2 --> P1
    PE1 --> P2
    PE3 --> P2
    P1 <--> P2

    style CE_A1 fill:#e3f2fd
    style CE_A2 fill:#e3f2fd
    style CE_B1 fill:#fff3e0
    style PE1 fill:#c8e6c9
    style PE2 fill:#c8e6c9
    style PE3 fill:#c8e6c9
    style P1 fill:#f3e5f5
    style P2 fill:#f3e5f5

機器	役割
CE（Customer Edge）	顧客側のルーター
PE（Provider Edge）	事業者網の入口ルーター
P（Provider）	事業者網内部のルーター

MPLSラベル

graph TB
    subgraph mpls_label["MPLSによる転送"]
        PKT1["IPパケット"]
        PKT2["ラベル + IPパケット"]
        PKT3["IPパケット"]
    end

    PKT1 -->|"ラベル付与<br/>（Push）"| PKT2
    PKT2 -->|"ラベル除去<br/>（Pop）"| PKT3

    subgraph flow["転送の流れ"]
        CE1["CE"] --> PE_IN["PE<br/>（入口）"]
        PE_IN -->|"ラベルで<br/>高速転送"| P["P"]
        P --> PE_OUT["PE<br/>（出口）"]
        PE_OUT --> CE2["CE"]
    end

    style PKT1 fill:#fff3e0
    style PKT2 fill:#c8e6c9
    style PKT3 fill:#fff3e0

広域イーサネット

通信事業者のL2網を利用したサービスで、拠点間をL2で接続します。

広域イーサネットの仕組み

graph TB
    subgraph wan_eth["広域イーサネット構成"]
        subgraph site1["拠点1"]
            SW1["L2スイッチ"]
        end

        subgraph carrier["通信事業者網"]
            VLAN["VLAN/VPLSで<br/>論理分離"]
        end

        subgraph site2["拠点2"]
            SW2["L2スイッチ"]
        end
    end

    SW1 -->|"同一VLAN"| VLAN
    VLAN -->|"同一VLAN"| SW2

    NOTE["拠点間が同一<br/>ブロードキャスト<br/>ドメイン"]

    style SW1 fill:#e3f2fd
    style SW2 fill:#e3f2fd
    style VLAN fill:#c8e6c9
    style NOTE fill:#fff3e0

IP-VPN vs 広域イーサネット

項目	IP-VPN	広域イーサネット
接続レイヤー	L3（ネットワーク層）	L2（データリンク層）
ルーティング	事業者が管理	自社で管理
プロトコル	IP限定	任意（IPX等も可）
拡張性	高い	中程度
自由度	低い	高い

GRE over IPsec

GRE（Generic Routing Encapsulation）とIPsecを組み合わせた構成です。

GREの役割

GREを利用するメリット

マルチキャストパケットを転送可能（OSPFなどの動的ルーティングが使える）
IP以外のプロトコルもカプセル化可能
これにより、IPsecの「ユニキャスト通信のみ」という制限を克服できる。

GRE over IPsecの構造

graph TB
    subgraph packet["パケット構造"]
        NEW_IP["新IPヘッダ"]
        ESP["ESPヘッダ"]
        GRE["GREヘッダ"]
        ORIG_IP["元IPヘッダ"]
        DATA["データ"]
    end

    subgraph enc["暗号化範囲"]
        ENC["IPsecで暗号化"]
    end

    NEW_IP --> ESP
    ESP --> GRE
    GRE --> ORIG_IP
    ORIG_IP --> DATA

    style NEW_IP fill:#e3f2fd
    style ESP fill:#bbdefb
    style GRE fill:#fff3e0
    style ORIG_IP fill:#ffcdd2
    style DATA fill:#ffcdd2

ローカルブレイクアウト

クラウドサービス向けの通信を、本社データセンターを経由せず直接インターネットへ出す構成です。

従来構成 vs ローカルブレイクアウト

graph TB
    subgraph traditional["従来構成"]
        B1["拠点"]
        DC1["データセンター"]
        CLOUD1["クラウド"]

        B1 -->|"VPN"| DC1
        DC1 -->|"インターネット"| CLOUD1
    end

    subgraph lbo["ローカルブレイクアウト"]
        B2["拠点"]
        DC2["データセンター"]
        CLOUD2["クラウド"]

        B2 -->|"VPN<br/>社内通信"| DC2
        B2 -->|"直接接続<br/>クラウド向け"| CLOUD2
    end

    style B1 fill:#e3f2fd
    style DC1 fill:#fff3e0
    style CLOUD1 fill:#e8f5e9
    style B2 fill:#e3f2fd
    style DC2 fill:#fff3e0
    style CLOUD2 fill:#e8f5e9

メリット:

データセンターの回線負荷軽減
クラウドサービスへの遅延低減
回線コストの削減

注意点:

各拠点でのセキュリティ対策が必要
通信経路の可視化が複雑化

VPN技術の選定フロー

graph TB
    START["VPN選定開始"]

    Q1{"通信品質の<br/>保証が必要?"}
    Q2{"L2接続が<br/>必要?"}
    Q3{"拠点間接続?<br/>リモートアクセス?"}

    START --> Q1
    Q1 -->|"はい"| Q2
    Q1 -->|"いいえ"| Q3

    Q2 -->|"はい"| WAN["広域イーサネット"]
    Q2 -->|"いいえ"| IPVPN["IP-VPN"]

    Q3 -->|"拠点間"| IPSEC["IPsec-VPN"]
    Q3 -->|"リモート"| SSL["SSL-VPN"]

    style START fill:#f3e5f5
    style WAN fill:#e8f5e9
    style IPVPN fill:#e8f5e9
    style IPSEC fill:#e3f2fd
    style SSL fill:#e3f2fd

VPN技術比較表

項目	IPsec-VPN	SSL-VPN	IP-VPN	広域イーサネット
動作層	L3	L4-L7	L3	L2
回線	インターネット	インターネット	閉域網	閉域網
コスト	低	低	高	高
品質	ベストエフォート	ベストエフォート	SLA保証	SLA保証
主な用途	拠点間接続	リモートアクセス	企業WAN	企業WAN
暗号化	必須	必須	オプション	オプション

試験対策のポイント

IPsecの動作を理解する
- フェーズ1でISAKMP SA、フェーズ2でIPsec SAを確立
- ESPは暗号化+認証、AHは認証のみ
モードの違いを把握する
- メインモード: 6往復、IDを暗号化、固定IP向け
- アグレッシブモード: 3往復、IDが平文、動的IP可
閉域網VPNの使い分け
- IP-VPN: L3接続、ルーティングは事業者任せ
- 広域イーサネット: L2接続、自由度が高い
最新トレンド
- ローカルブレイクアウトによるクラウド最適化
- SD-WANとの組み合わせ