VPNの概要と役割

VPN（Virtual Private Network）は、公衆ネットワーク上に仮想的な専用通信路（トンネル）を構築し、安全なデータ転送を実現する技術です。主にPKI（公開鍵基盤）技術を応用し、情報の機密性、完全性、可用性を確保することを目的としています。

VPNの主要な分類

VPNは利用形態に応じて、大きく以下の2種類に分けられます。

1. リモートアクセスVPN

個人のデバイスから企業の内部ネットワークへ接続するための形態です。テレワークや出張先からのアクセスに利用されます。

• 主なプロトコル: SSL VPN, L2TP/IPsec, SSTP, IKEv2

2. 拠点間VPN（Site-to-Site VPN）

本支店間など、組織の拠点同士を常時接続するための形態です。各拠点のゲートウェイ機器間でトンネルを確立します。

• 主なプロトコル: IPsec

データ転送モードと暗号化アルゴリズム

VPNにおけるデータ保護には、以下の2つのモードが存在します。

• トランスポートモード： 元のIPヘッダーを維持し、ペイロード（データ部分）のみを暗号化します。処理負荷は低いですが、通信経路の秘匿性は限定的です。
• トンネルモード： 元のIPパケット全体を暗号化し、新しいIPヘッダーでカプセル化します。拠点間通信で一般的に利用されます。

暗号化手法には以下の特徴があります。

• 共通鍵暗号（AES, 3DES）： 高速な処理が可能。事前共有鍵（PSK）の管理が重要となります。
• 公開鍵暗号（RSA, DH）： 鍵交換の安全性は高いですが、処理負荷が大きいため、主に共通鍵を安全に受け渡すフェーズで使用されます。

VPNの通信原理：パケットのカプセル化

プライベートIPアドレス（例：192.168.x.x）を持つパケットは、そのままではインターネット上をルーティングできません。VPNは、このプライベートパケットを、インターネットで通信可能なパブリックIPヘッダーで包み込む「カプセル化」によって、通信を実現します。

IPsec VPNの構成例（Cisco IOSベース）

以下は、2つの拠点間を接続するためのIPsec VPN設定の論理構造です。

フェーズ1: ISAKMPポリシー（制御用トンネルの確立）

crypto isakmp policy 10
 encryption aes 256
 hash sha256
 authentication pre-share
 group 5
 lifetime 86400
exit

crypto isakmp key Secur3P@ssword address 198.51.100.1

フェーズ2: IPsec設定（データ転送用トンネルの確立）

! 興味のあるトラフィック（VPN対象）の定義
access-list 150 permit ip 192.168.10.0 0.0.0.255 172.16.20.0 0.0.0.255

! トランスフォームセットの定義
crypto ipsec transform-set TSET-SECURE esp-aes 256 esp-sha256-hmac

! クリプトマップの作成と適用
crypto map VPN-MAP 10 ipsec-isakmp
 set peer 198.51.100.1
 set transform-set TSET-SECURE
 match address 150
exit

! 外部インターフェースへの適用
interface GigabitEthernet0/1
 crypto map VPN-MAP

この構成により、指定されたネットワーク間のトラフィックが検知されると、自動的に暗号化トンネルが生成され、安全な通信が開始されます。