ssecutils
Network / Browser-native guide

VPNの仕組み

IPsec、OpenVPN、WireGuard、リモートアクセス、プライバシー面の誤解を整理します。

7Zero tracking reading surface

「VPN を使うと安全」って本当?

広告で「VPN で通信を暗号化!」「VPN で海外動画を見よう!」とよく見かけます。何となく便利そう、というイメージはあっても、VPN が実際に何をしてくれるのかは意外と説明しづらいものです。

この記事では、VPN の本質的な仕組み(トンネリング + 暗号化)と、代表的なプロトコル、そしてゼロトラスト時代における VPN の位置づけを整理します。

VPN は「仮想的な専用線」

VPN(Virtual Private Network)の名前の通り、インターネット上に仮想的なプライベートネットワークを作る技術です。

本物の専用線(物理的に敷いた光ファイバー)は確実に安全ですが、敷設費用が膨大です。VPN は既存のインターネットを通しつつ、暗号化と認証で「仮想的にプライベート」な通信路を実現します。

2 つの主な使い方

① リモートアクセス VPN(個人 → 会社など)

在宅勤務で「会社のイントラネットに繋がる」のがこのタイプ。PC から会社の VPN ゲートウェイへトンネルを張り、社内リソース(社内 Wiki・DB・社内システム)にアクセスできます。

自宅PC ──── 暗号化トンネル ───→ 会社VPNゲートウェイ ──→ 社内NW

② サイト間 VPN(拠点 ↔ 拠点)

東京本社と大阪支社のネットワークを VPN で接続するパターン。両拠点のルーター同士でトンネルを張り、社員が意識せずとも別拠点のサーバーにアクセスできます。

東京LAN ──── 拠点間VPN ────→ 大阪LAN

③ プライバシー VPN(個人 → 商用 VPN)

広告でよく見るタイプ。NordVPN・ExpressVPN・Mullvad 等の商用 VPN サーバーを経由して通信します。

自宅PC ──暗号化──→ 商用VPNサーバー(米国等) ──→ Internet
                  ↑ ここから先は普通の Internet

メリット:

  • 公衆 Wi-Fi 上で盗聴・ARP スプーフィングから守られる
  • Web サイト側からは VPN サーバーの IP に見える(地域偽装、トラッキング回避)

誤解されがちな点:

  • VPN サーバーから先のインターネットは普通の通信。HTTPS でない通信は VPN サーバー以降で覗かれる可能性あり
  • VPN プロバイダ自身を信頼する必要がある(ログを取らない宣言を信じる)
  • 「絶対匿名」ではない: アカウント情報・支払い情報・ブラウザ指紋からは身元特定可能

主な VPN プロトコル

IPsec(IP Security)

  • L3(IP 層)で動作、最も古典的
  • 企業の拠点間 VPN・大手ベンダー機器でデファクト
  • 設定項目が多く(IKE フェーズ1/2・暗号アルゴリズム・PSK 等)扱いが難しい
  • 2 つのモード: トンネルモード(パケット全体を包む)/ トランスポートモード(ペイロードのみ暗号化)

OpenVPN

  • OSS、TLS ベース、TCP/UDP 両対応
  • 柔軟だが設定が複雑、パフォーマンスは IPsec より劣る場合あり
  • 長年の実績、ファイアウォール越えに強い(443/TCP を使えば普通の HTTPS と区別困難)

WireGuard

  • 2018 年標準化、Linux カーネルに統合された新世代
  • 軽量・高速・コードベースが小さい(数千行): コード監査が容易
  • UDP のみ、設定が極めてシンプル(公開鍵 + IP のリスト)
  • Tailscale や Cloudflare WARP の中身もこれ

その他

  • L2TP/IPsec: 古い OS に残っている、要 IPsec
  • SSTP / SoftEther: 特定環境向け

VPN の限界とゼロトラスト

従来の VPN は 「内部 = 信頼、外部 = 不信頼」という境界モデルでした。VPN を通れば社内扱いとなり、内側の様々なリソースにアクセスできる構造です。

しかし現代は:

  • SaaS 化が進み「社内」と「社外」の境界が曖昧
  • VPN アカウントが侵害されると横移動(lateral movement)で被害が拡大
  • VPN ゲートウェイ自体の脆弱性が大規模事故を引き起こす(Pulse Secure / Fortinet 等の事例)

これに対する解が ゼロトラスト(Zero Trust)。「ネットワーク的にどこにいるか」ではなく「毎リクエストで認証 + 認可」を徹底するモデルです。Google BeyondCorp、Cloudflare Access 等が代表的実装で、VPN を完全に置き換える方向性です。

個人で VPN を使うときの注意

  1. 無料 VPN は基本使わない: 多くは通信を覗き見・販売してビジネスにしている
  2. 商用 VPN を使うなら独立監査済みのもの: Mullvad / IVPN / ProtonVPN など
  3. HTTPS で本来守られている通信に VPN は不要: 公衆 Wi-Fi での盗聴対策は HTTPS 普及で限定的になっている
  4. 地域回避目的の利用は規約違反の可能性: Netflix 等は VPN を検出してブロックする

おわりに

VPN は「インターネットの上にプライベートトンネルを張る技術」であり、目的によって最適なプロトコル・運用方法が変わります。「VPN を入れたから安全」ではなく、「具体的に何を脅威モデルから守りたいのか」を意識すると、本当に必要な対策が見えてきます。

Learn の記事一覧へ戻る