イントラネットという用語は近年使われなくなってきましたが、イントラネットもLANも、限られたユーザーだけが利用できる閉じたネットワークのことでした。

閉じたネットワークとは、一般に開放されていない利用者が限定されたネットワークのことです。よって、開かれたネットワークであるインターネットとは異なります。（イントラネットについては、イントラネットとは を参照してください）

とは言え、インターネットと同じTCP/IPプロトコルによるイントラネットやLANが通常になり、通信の仕組みとしては同じものです。そのため、インターネットにもスムーズに接続することができます。

ただし、インターネットに接続していたとしても、誰もが利用できるネットワークではありません。

イントラネットやLANは、利用者を限定するために、様々な方法でネットワークを保護しています。例えば、ユーザーIDとパスワードによる認証、ファイアウォールによる不正アクセスの制御や監視などです。（ファイアウォールについては次項で詳しく学習します）

こうしたネットワークの保護がセキュリティ対策になります。一般的にイントラネットやLANは、企業や学校などの建物単位で構築され、限定されたエリアで限定されたユーザーのみが利用するネットワークになります。

ところが、オンラインサービスやオンライン業務が日常的になった今日では、限られたネットワーク内だけで業務を完了することが困難となってきました。また効率的ではなくなってきました。

そのため、イントラネットやLANを拡張して、エクストラネットやWANを構築することも一般的になっています。

具体的には、東京本社と大阪支社をネットワーク化したり、グループ企業をネットワーク化したり、物理的に離れた地域にあるネットワーク同士を接続してネットワークを拡張することで、さらなる効率化や合理化をすすめています。

では一体、離れた場所になるネットワーク同士をどうやって接続するのでしょうか？

一番安全な方法は、専用の回線（ケーブル）で接続することです。しかし、地点間に距離がある場合や都市部の場合、膨大なコストと手間がかかるため、資本力がある企業や公的機関しか実現することができません。

そこで、オープンなインターネット回線を利用して、専用回線と同等にセキュリティを確保しつつ、複数の地点間を接続する方法が求められてきました。

通信の仕組みがインターネットと同じであれば、インターネットを介して容易に接続することが可能です。しかし、オープンなインターネットにそのまま接続してしまうと、閉じたネットワークではなくなり、誰でもアクセスできてしまう恐れがあります。

そこで、前項で学習したSSLと同様に公開鍵暗号方式（ハイブリッド暗号方式）を利用して、地点間の「経路を暗号化」することができれば、インターネットを介して接続したとしてもセキュリティが確保されたクローズなネットワークにすることができます。

これまで、PKIやSSLなど公開鍵暗号方式を利用した暗号通信の方法を学習してきました。ただこれらは、基本的に利用するブラウザやメーラーなどのアプリケーション単位の技術でした。

ネットワークとネットワークを接続するからには、アプリケーションソフトを意識することなく、LANと同じようにすべてのデータをやり取りできる必要があります。

こうして、インターネット回線であっても専用回線のように利用できる技術が開発されました。

この技術を、

VPN（ブイピーエヌ）

と言います。

VPNは「Virtual Private Network」の略で、文字どおり「Virtual（仮想的）」な「Private Network（専用線）」を構築する技術です。

VPNの仕組みは、地点間に仮想的なトンネルをつくり、許可したデータだけがそのトンネルを通過できるという仕組みです。「トンネルをつくる」ということは前項で学習のとおり、外部からは見えなくなり、インターネット回線であっても専用回線のように利用することができます。

SSLと同様に経路を暗号化し、かつトンネル内を通るデータも暗号化される形式が一般的です。

上図がVPNの概念図です。このとおり、仕組みとしては仮想トンネルの中をカプセル化されたデータが通過するというわかりやすい仕組みになっています。

では、どのようにトンネルをつくるのかというと、

トンネリングとカプセル化

と呼ばれる技術によって可能になります。

まずトンネリングとは、上図のとおり「仮想トンネル」をつくって安全な経路を確保することです。つまり、経路の暗号化です。インターネット上にプライベートな経路（トンネル）を構築してデータを伝送することをトンネリングと言います。

ただ、トンネリングは広い意味で使われており、インターネット限定ではなく、一般的にインターネットのように異なるネットワークを介して、データ伝送する技術をトンネリングと呼びます。

そして、トンネル内を通過するデータは「カプセル化」されます。カプセル化とは、ある通信プロトコルを別のプロトコルで包み込むことを意味します。（プロトコルについて詳しくは、プロトコルとは を参照してください）

例えば荷造りした段ボールを、さらに異なる段ボールの中に入れてしまうイメージです。この場合は、送信するパケットをさらに新しいパケットでカプセル化するという意味になります。（パケットについて詳しくは、データ伝送 を参照してください）

そのため、見かけ上は別プロトコル（新しいIPパケット）になりますが、実質的なデータは元プロトコル（古いIPパケット）のデータになります。包装で中身を偽装すると考えればわかりやすいでしょうか。

別のプロトコルというと、階層の異なるプロトコルと思いがちですが、このように同じ階層のプロトコルで包みなおす場合もあります。

こうしてカプセル化されたプロトコルは「トンネリングプロトコル」と呼ばれ、カプセル化も含めて「トンネリング」と表現されるケースが多いです。後述しますが、トンネリングプロトコルには「IP in IP（IP over IP）」や「IPsec」などがあります。

少し脱線して、カプセル化について説明すると、カプセル化をともなう技術には他に「IPv4 over IPv6」などがあり「over」が付くものが多いです。例えば「A over B」であれば、Bでカプセル化され（見かけ上がB）、実質的な中身がAとなります。

Bのルールで通信するためにAをBでカプセル化するということです。異なるネットワーク間で通信を実現するためにカプセル化するケースでは、このような名称が多くなっています。

しかし、同じネットワーク内での通信を実現するためにカプセル化を行うケースもあります。例えば、後述する「PPPoE」や「IPoE」などのプロトコルです。（詳しくは、IPアドレスとは（2） を参照してください）

つまり、カプセル化とトンネリングが必ずしもイコールではないということです。「PPPoE」や「IPoE」は通常トンネリングを行いません。そのため、トンネリングにはカプセル化を含むことが多いですが、カプセル化しているからといってトンネリングするとは限りません。細かいことですが、混乱のもととなり得るので注意しましょう。

では話を戻して、なぜカプセル化する必要があるのかということですが、大きく3つの理由があります。

ひとつ目は、形成されたトンネルを通るためのヘッダ情報を付与することです。データが正しくトンネル内を通過していくように、確立した経路のヘッダ情報をカプセル化された新しいパケットに付与します。

ふたつ目は「A over B」のように、利用するネットワークのプロトコルに合わせるということです。

インターネットでの通信は、IPプロトコルによる第3層の通信（L3通信）であり、データはパケット単位でやり取りされています。この場合、パケットというカプセルで包むことによって、異なるプロトコルのデータをインターネットでやり取りできるようになります。

例えば、第2層のプロトコルであるイーサネットフレームをインターネット経由で利用するために、IPパケットでカプセル化する「L2TP」などがあります。

そして、みっつ目に、

カプセル化と同時に元データを暗号化する

という目的があります。

カプセル内を暗号化することで、トンネル内を通過するすべてのデータを暗号化することができます。すなわち、データの暗号化です。トンネリングによって経路が暗号化され、カプセル化によってデータも暗号化されます。

ただし、VPNの種類によってはトンネリングのみで、暗号化に対応していないものもあります。

こうした環境は、双方に設置されたVPNルータが提供します。ルータ同士がトンネルを確立し、送信元のルータでカプセル化と暗号化を行い、送信先のルータでカプセル化と暗号化を解除します。

このVPNルータには、原則として固定のグローバルIPアドレスを割り当てる必要があります。（グローバルアドレスについては、IPアドレスとは（2） を参照してください）

VPNの仕組み上、インターネット上で各拠点（ルータ）を識別する情報が必要になるからです。動的なアドレスではなく固定されたアドレスによって安定した通信が可能になり、またそのアドレス以外の通信を許可しないなどの設定が可能になります。固定アドレスは、たいていのプロバイダから取得することができます。

以上がトンネリングとカプセル化の概要です。

このように、VPNもSSL同様、非常に強固な暗号通信の仕組みであり、VPNを利用することで遠隔地にあるLANを接続して、比較的容易にWANを構築することができます。

では次に、VPNにどのような種類があるのか知っておきましょう。

インターネットVPN

これまでに学習した一般的なVPNです。

つまり、公共のネットワークであるインターネット回線を使ってプライベートな接続を構築する方法です。

VPNの黎明期は、通信プロトコルに関する基準がなく、専用ルータを双方の接続地点に設置して一致させなければならず、その運用にはある程度の知識が必要となり、それほど普及が進みませんでした。

そこで、インターネットの標準化団体や関連企業等によって、標準的なプロトコルや技術が開発されてきました。

そのため、インターネットVPNには様々なプロトコルや技術が使われています。インターネットVPNというのは大きな枠組みであり、種類としては以下のプロトコルを指す場合もあります。

IPsec（アイピーセック）

IPsecは「Internet Protocol Security」または「Security Architecture for IP」の略で、文字どおりセキュリティ機能を持たせたIPプロトコルです。

正確には複数のプロトコルを含むプロトコル群になりますが、少々専門的になるので、本項ではIPsecをプロトコルとみなします。

IPsecは、これまで学習してきたVPNの仕組みをそのまま実現するプロトコルで、トンネリングによって経路を確保し、IPパケットでカプセル化、さらにパケットを暗号化します。

IPsecを利用したVPNは「IPsec-VPN」と呼ばれ、もっともポピュラーなVPNのひとつです。

特徴としては、第3層のIPプロトコルと同じく、IPsecによって接続されたLAN同士は、それぞれが異なるセグメントのLANになります。（セグメントについて詳しくは、プロトコルとは を参照してください）

なぜなら、同じネットワークではなく、インターネット（IPネットワーク）への接続と同様、異なるネットワークとの接続になるからです。したがって、双方のネットワークで同じ体系のIPアドレスを割り当てることができません。

例えば、東京本社の体系が「192.168.1.1/24」だとすると、大阪支社は「192.168.2.1/24」のようにセグメントを分ける必要があります。仮に同じ体系でLANが構築されていた場合は、どちらかの体系を変更しなければなりません。

IPsecのセキュリティは非常に強固ですが、設定が煩雑で、それぞれのネットワークでセグメントを分け、ネットワーク内のデバイスをきちんと管理する必要があります。ネットワークに精通した担当者が必要になるケースがほとんどで、ネットワークの拡張もこうした理由から簡単とは言えません。そのため、管理が大変になるというデメリットがあります。

さらに、IPベースのプロトコルのため、NAT（プライベートアドレスをグローバスアドレスに変換する機能）との相性が悪く、併用する場合にはさらに設定が複雑になります。（NATについて詳しくは、IPアドレスとは（2） を参照してください）

また、IPsecには「トンネルモード」と「トランスポートモード」という2つのモードがあります。

トンネルモードは、これまでの学習のとおりです。両端のルータがカプセル化と暗号化、その解除を行います。そのため、例えばネットワークAのルータAとネットワークBのルータBがIPsecでVPNを構築している場合、データが暗号化されているのはルータAとルータBの間だけになります。

したがって、ネットワークAやネットワークBの中ではデータが平文に復号化されていることになります。ただし、LAN内の通信まで暗号化するのは一般的ではありません。逆に、こうした設定をルータにまかせることで、ネットワーク内のユーザーが暗号化を意識する必要がないというメリットがあります。

一方、トランスポートモードは、最終的な送信元や宛先となるパソコンなどのデバイス同士が暗号化と復号化を行うモードです。そのため、VPNルータはパケットの暗号化、復号化をせずにそのまま通過させ、宛先のデバイスに届けます。つまり、プライベートネットワーク内でもデータが暗号化されたまま伝送されます。

これまで学習したトンネルモードのVPNが、元パケットのヘッダ情報まで暗号化してカプセル化したのちに新しいヘッダ情報を付加するのに対し、トランスポートモードは、元パケットのヘッダ情報をそのまま使います。

中身のデータ部分だけを暗号化してヘッダ情報は流用するということです。そのため、通常のルーティングによってパケットが伝送されることになり、仮想トンネルを作成する必要がありません。

言わば、終始データが暗号化されているため、経路途中で盗み見されても脅威とみなさないS/MIMEと同じような仕組みになります。（S/MIMEについて詳しくは、電子メールの拡張規格 を参照してください）

ただし、元のヘッダ情報がそのまま露出してしまい、宛先となるネットワークの潜在的なリスクとなり得るため、LAN間接続やリモートアクセスにもトンネルモードが推奨されています。

トランスポートモードを利用するには、対応したルータや、エンドデバイスとなるパソコン等に専用のソフトウェアをインストールする必要があります。（Windowsは標準的にIPsecをサポートしています）

また、個々のデバイスごとに設定が必要になり、ネットワーク全体としてはトンネルモードより設定が複雑になります。

トランスポートモードを利用するケースとしては、金融関係など機密情報をやり取りする場合や、内部でも秘匿情報をやり取りする場合などに利用されています。

IPIP（IP over IP）

IPはもちろん「Internet Protocol」の略で、IPをIPでカプセル化したトンネリングプロトコルです。「IP over IP」や「IP in IP」などとも呼ばれています。

ただ単純にIPパケットをIPパケットでカプセル化するだけで、暗号化する機能はありません。そのため、VPNに利用されるケースは少ないですが、ネットワークを接続するためのプロトコルとして利用されています。

例えば、インターネットには接続せずに企業内部のネットワーク同士をつなぐ場合や、後述する閉域網と併用する場合などで利用されています。

PPTP（ピーピーティーピー）

PPTPは「Point-to-Point Tunneling Protocol」の略で、第2層のPPPプロトコルを第3層のIPネットワークで利用できるように拡張したトンネリングプロトコルです。

PPPは、IPアドレスとは（2） で学習のとおり、2地点間の通信を行うためのプロトコルです。ユーザー認証機能やエラー訂正などの機能を有しており、旧来のインターネット接続方法であるダイヤルアップ接続に利用されていたプロトコルです。

ダイヤルアップでインターネットに接続した経験がある方は少ないかもしれませんが、以前は、プロバイダにパソコンから電話をかけてインターネットに接続していました。そこでユーザー認証が行われ、通信料として電話料金が請求されていたのです。

従来の電話は通話相手と1対1でしか通話できません。そのため、PPPは送信元と相手先が1対1で接続されるような回線（電話の回線交換方式など）でしか利用できませんでした。つまり、1対1の想定しかありません。

インターネットが普及し、LANの構築が一般的になってくると、ネットワーク内の複数のユーザーがインターネットに接続することになり、PPPではそれぞれの認証ができませんでした。

そこで、通常LANから複数のデバイスがインターネットに接続する場合は、PPPをLANで利用できるようにした「PPPoE（ピーピーピーオーイー）」というプロトコルが利用されています。（PPPoEについて詳しくは、IPアドレスとは（2） を参照してください）

PPPoEは「PPP over Ethernet」の略で、PPPをLANの標準的なプロトコルであるイーサネットフレームでカプセル化することで、複数の認証を可能にしたプロトコルです。主にプロバイダとの間でインターネットアクセスの初期認証に使われます。

同様に、VPNでも認証が必要になりますが、IPには認証機能がありません。PPTPは、第3層のIPネットワークでPPPを利用できるようにしたVPN用のトンネリングプロトコルになります。

ただし、PPTPは古いプロトコルであり、脆弱性が指摘されていることから非推奨の技術となっています。

SSL-VPN（Open-VPN）

SSLの文字どおり、前項で学習したSSL/TLSの技術を利用したVPNになります。

ブラウザに標準的に搭載されているSSL技術を用いるため、専用のソフトウェアをインストールする必要がなく、設定が容易という特徴があります。

しかし逆に言えば、ブラウザに対応しているアプリケーションしか利用できないということです。基本的にブラウザで操作できることに限られるというデメリットがあります。

ただし、専用のソフトウェアをインストールすることで、ネットワークにフルアクセスが可能になる「SSLトンネル」と呼ばれるタイプもあります。この場合は、VPN機器にアクセスするとソフトウェアが自動的にダウンロードされ、トンネルが確立します。

機器によっては、アクセスできるアプリケーションを制限したり、ユーザーごとに権限を設定することができます。IPsecよりもきめ細かい設定が可能です。

用途としては、リモートワークなど外部からインターネットを介して社内ネットワークにアクセスする場合や、取引先などの第三者にアクセスしてもらうようなケースで利用されています。

IPsecに比べて利便性が高く設定が容易なことから、大規模なLAN間接続にはIPsec、リモートアクセスにはSSL-VPNが選ばれる傾向にあるようです。

また、SSL/TLSの暗号化技術を用いて開発された「OpenVPN」というソフトウェアが利用されるケースも増えています。

Openの文字どおりオープンソース（公開された）のソフトウェアで、誰でも自由に使えます。そのために多くのユーザーによって精査され、頻回に更新が行われており、高いセキュリティが確保されていると言えます。

このソフトウェアは、SSLトンネルを確立するソフトウェアのひとつです。非常に柔軟な設定が可能で、ブリッジモードを利用すると、LANのセグメントを同一にするL2通信を行うこともできます。NATによる制限も回避可能で、個人の使用から大規模な環境まで様々なケースに対応可能とされています。

このように、SSL-VPNにもいくつかの種類があり、OpenVPNを利用したSSL-VPNも一般的になっています。

L2TP（エルツーティーピー）

L2TPは「Layer 2 Tunneling Protocol」の略で、PPTPの技術が使われているプロトコルです。

L2の文字どおり、第2層のプロトコルをトンネリングします。PPTP同様に「PPP」をカプセル化して、IPネットワークで利用できるように拡張したトンネリングプロトコルです。

ただし、PPTPが非推奨となっていることから、パケットの暗号化にはIPsecを併用することが一般的になっています。この組み合せは「L2TP/IPsec」と呼ばれています。

併用するくらいならIPsecを単体で利用すればよいと思われますが、L2TP/IPsecが様々なOSやデバイスでサポートされていることから、LAN間接続にはIPsec単体、リモートアクセスにはL2TP/IPsecが利用される傾向にあります。（L2TP/IPsecがリモートアクセスのポピュラーなプロトコルというわけではありません）

また、第2層の通信が可能であり、LAN間接続に利用することで、接続したLANを同一セグメントにすることができます。そのため、同じ体系のIPアドレスを割り当てることが可能で、単純にLANを拡張するイメージで接続することができます。

しかし、実際にはL2通信を目的としてL2TPを利用するケースはあまりありません。なぜなら、イーサネットのデータ単位である「イーサネットフレーム」を直接カプセル化する仕様ではないからです。

実質的にL2通信を目的とする場合は、L2TPの後継バージョンである「L2TPv3」が利用されます。

L2TPv3の「v3」はバージョン3の意味です。「Layer 2 Tunneling Protocol version 3」の略称で、L2TPを拡張して、任意の第2層のプロトコルをカプセル化することができます。

以前のL2TPは「バージョン2」とされ、通常はL2TPだけの表記が多いですが、わかりやすく「L2TPv2」と「L2TPv3」とすると、L2TPv2はPPPをカプセル化するプロトコルであるのに対し、L2TPv3は、PPPの他にイーサネットフレームを含む第2層のプロトコルを数多くサポートしています。

そのため、L2TPv3によって多様なネットワークを接続することができ、大量のトンネルや接続数に対応できるため、大規模なネットワーク運用にも利用されています。例えば、プロバイダ間のネットワーク接続やプロバイダが顧客に提供するVPNサービスなどにも利用されています。

ただし、L2TPv3でも暗号化にはIPsecを利用するのが一般的です。同様に「L2TPv3/IPsec」と呼ばれますが、「L2TPv3 over IPsec」と呼ばれる場合もあります。

このようにL2TPは、v2とv3で大きく性能が異なり、用途も異なるケースがあります。L2TPという表記だけではどちらを指しているのかわからない場合があるので注意が必要です。

以上が、代表的なインターネットVPNのプロトコルになります。いろいろな種類があってややこしいですが、目的や環境に応じて適切なプロトコルを選択することが大切です。

IP-VPN（アイピーブイピーエヌ）

IP-VPNは「Internet Protocol Virtual Private Network」の略で、これも文字どおりIPによるVPNになります。

IPというとインターネットを思い浮かべますが、この場合のIPはインターネットとは分離された閉域IP網を意味します。

どういうことかと言うと、

インターネット回線ではなく通信事業者の閉域網を利用する

接続方法になります。

通信キャリアなどの大手事業者が保有する高速大容量の閉域IPネットワークに乗り入れて、仮想ではない実際の専用回線に近い方法で接続するVPN方式です。

ポイントはインターネットに接続しないということです。契約者のみが利用できる閉域網を利用して通信を行うため、安全性が格段に高くなります。

どうやってインターネットを介さずに閉域網に接続するのかというと、事業者が専用回線を引き込み、専用の装置を設置して接続するようになります。つまり、インターネットには物理的に接続しません。

光回線などの一般的なインフラを利用しないことから、他のネットワークと交わるリスクがなく、非常に安全性の高い通信を行うことが可能になります。

閉域網では、データがどのように伝送されるのかというと、これもIPの文字どおり、第3層のIPパケットによって伝送されます。

そのため、トンネリングと暗号化にはIPsecが利用されるケースが多いようです。

したがって、非常にセキュリティの高い専用線を利用しつつ、さらにIPsecも併用することで、言わばこれ以上ないセキュリティを確保していることになります。

ただし、すでに安全性が確立された経路で通信を行うため、暗号化せずにデータ伝送する仕組みもあります。そのため、IPsecとは異なる技術が利用されているケースもあります。

その代表的な仕組みが、

MPLS（エムピーエルエス）

です。

MPLSは「Multi Protocol Label Switching」の略で、パケットに「ラベル」と呼ばれる経路情報を付け、宛先を識別して配送する仕組みです。ユーザーごとに分割されたネットワークを作ることができ、暗号化に頼らないセキュリティの確保が可能になります。

ラベルによって宛先を判別するので、他のユーザーのデータが混在することなく、論理的に分割されたネットワークの構築が可能になるというわけです。

カプセル化と似ていますが、カプセル化が主に異なるネットワークへのトンネリングに利用される技術であるのに対し、ラベル（ラベリングという）は同じネットワーク内でのパケット転送に利用されます。

つまり、MPLSのラベリング機能によって、ラベルには転送経路がすでに記されていることになります。従来のヘッダ情報から最短経路を選択していくルーティングと異なり、ルータは経路の選択という処理から解放され、高速大容量の通信が可能になります。

ただし、MPLSはラベルによって他のユーザーと論理的に分離されますが、暗号化機能がありません。さらに強固にセキュリティを求める場合は、IPsecなどを併用してデータを暗号化する必要があります。併用する場合の仕組みは、IPsecなどで暗号化されたパケットがMPLSラベルによって転送されていくという流れになります。

IP-VPNを契約する際には、まず閉域網にどうやって接続するのか、どのような機器が必要か、そして通信の仕組みにはどのようなプロトコルが採用されているのか確認する必要があります。

IP-VPNメリットは、当然ながら非常にセキュリティが高く、かつ安定した通信が可能になることです。

例えば、銀行や医療関係のネットワークなど重大な個人情報を扱う業態や、大企業の基幹ネットワークなどにも利用されています。特にMPLSでは高速大容量の通信が可能なため、プロバイダのバックボーンに利用されることもあります。

デメリットとしては、インターネットVPNに比べて価格が高いことです。設置にかかる初期工事費用や機器の購入またはレンタル料に加え、月額の回線利用料として、数万円程度の費用が必要となります。

エントリーVPN

正式な名称というよりもサービス名と言えますが、IP-VPNの入門型（エントリー型）と考えるとわかりやすいでしょう。

基本的な仕組みはIP-VPNと同じです。

違いは、

閉域網までの接続に一般回線を利用する

ということです。

つまり、インターネット回線も利用するハイブリッドな接続方法になります。

IP-VPNでは、事業者が専用回線を引き込み、専用の装置を設置して閉域網に接続しましたが、エントリーVPNでは、光回線などの一般インフラを利用して接続します。

そのため、IP-VPNよりも安価に閉域網を利用できるというメリットがあります。

ただし、おわかりのとおり、インターネット回線を利用するため、安全性はIP-VPNに劣ります。インターネットVPNより安全性が高く、IP-VPNには劣るものの、信頼性の高い通信を比較的安価に実現することができます。

おおむね月額数千円程度の料金が一般的です。言わばVPNの「いいとこどり」のサービスです。

現在、IP-VPNよりもエントリーVPNが主流になっており、エントリーVPNを指してIP-VPNと呼ぶことのほうが多くなっています。両者の違いを理解し、契約する際には、実質的にどちらのVPNなのか確認することが必要です。

広域イーサネット

これもIP-VPNと同様に通信事業者の閉域網を利用するサービスです。

IP-VPNと同じで、インターネット回線や光回線などの一般的なインフラを利用しません。そのため、セキュリティが非常に強固で、高速大容量の通信を実現することができます。

両者の違いは、

利用できるプロトコルが異なる

ということです。

文字どおり「イーサネット」を利用するVPNで、LANの代表的な規格であるイーサネットでネットワークをつなぐ仕組みです。つまり、第2層のイーサネットフレームでデータ伝送されます。

ということは、IPネットワークと異なり、同じネットワーク同士の接続となり、同じセグメントのLANになります。単純に他の地点までLANを拡大するイメージで拠点間を接続することができます。

また、第2層の通信となるため、第3層以上のプロトコルに制限がなく、柔軟なネットワーク構成が可能です。

では、どうやって第2層の通信を可能にしているのかというと、サービス提供事業者が、

閉域IP網のほかに閉域イーサネット網も構築している

からです。

つまり、閉域網のネットワークそのものが異なるということです。 したがって、広域イーサネットも専用回線の引き込みや専用機器の設置が必要となり、閉域網の回線使用料も含めて費用は高額になります。

デメリットとしては、メリットと表裏一帯ですが、すべて同じセグメントのネットワークになるため、ネットワークが大きくなればなるほどシステム障害時の影響が大きくなるということです。

つまり、障害が遠隔地のネットワークにも波及してしまうということです。セグメントが異なるIPネットワークでの接続であれば障害の波及を免れる可能性があります。

以上が、VPNの種類になります。

このように、大枠の種類としては4つですが、使用されているプロトコルには多くの種類があります。それぞれ混同してしまわないようにしっかりと理解しておきましょう。

ただ、現在では、このようにVPNの種類が明確に分かれているとは言えず、エントリーVPNのように、サービスを組み合せて複合的なVPNを提供しているケースが増えています。

例えば、L2ネットワークとL3ネットワークを接続できたり、切り替えができたり、これらのネットワークを一元的に管理できるなど、総合的なネットワーク環境を提供するサービスもあります。

VPNは企業にとって活動の根幹となるネットワークを構成する重要な要素です。したがって、リモートワークを含め、主として企業向けのサービスであり、契約する企業に合わせてプロトコルや接続方法などをカスタマイズし、施設間接続やリモート接続などのトータル的なネットワーク環境を提供するサービスが多くなっています。

更新履歴

2009年8月22日

ページを公開。

2009年8月22日

ページをXHTML1.0とCSS2.1で、Web標準化。レイアウト変更。

2018年2月1日

ページをSSL化によりHTTPSに対応。

2024年5月13日

内容修正。

参考文献・ウェブサイト

当ページの作成にあたり、以下の文献およびウェブサイトを参考にさせていただきました。

文献

図解入門 インターネットのしくみ

第2回 インターネットVPNの基礎知識

https://atmarkit.itmedia.co.jp/ait/articles/0303/21/news004.html

VPNとは？～VPNの基本知識について分かりやすく解説～

https://amnimo.com/column/038/

IPsec-VPNとは？仕組みと他のVPNとの違いについて解説

https://oa-kanji.com/posts/ipsec-vpn

PPTP/L2F/L2TPとは

https://www.infraexpert.com/info/5.4adsl.htm

• 次ページ：「インターネットのセキュリティ（4） ～ セキュリティ対策 ～」へ進む
• 前ページ：「インターネットのセキュリティ（2） ～ SSLとは ～」へ戻る
• 基礎知識：「メニューページ」へ戻る
• ホームへ戻る

管理人のつぶやき

Twitterのフォローお願いします！