VPNと拠点間接続
WANの接続方式
本社と支店など、離れた拠点のネットワークを接続する方法にはいくつかの選択肢があります。コスト、セキュリティ、帯域幅のバランスを考慮して選定する必要があります。
| 接続方式 | セキュリティ | コスト | 帯域 | 特徴 |
|---|---|---|---|---|
| 専用線 | ◎(物理的に独立) | 高い | 保証帯域 | 最高のセキュリティと品質 |
| IP-VPN(閉域網) | ○(キャリア網内で分離) | 中程度 | 保証型あり | 品質保証のある閉域VPN |
| 広域イーサネット | ○(キャリア網内で分離) | 中程度 | 保証型あり | L2レベルでの拠点間接続 |
| インターネットVPN | △(暗号化で保護) | 安い | ベストエフォート | インターネット回線を利用 |
ひとり情シスの視点:中小企業ではインターネットVPNが最も多く採用されます。既存のインターネット回線を使うため追加の回線費用がかからず、FortiGateやYamaha RTXなどの対応ルーターがあればすぐに構築できます。通信品質が必要な場合はIP-VPN(閉域網)を検討しましょう。
IPsec VPN
IPsec(Internet Protocol Security)は、IP通信を暗号化・認証するためのプロトコル群で、拠点間VPNの標準技術です。
IPsec VPNの構成要素
| 要素 | 説明 |
|---|---|
| IKE(Internet Key Exchange) | 暗号鍵の交換を安全に行うプロトコル |
| ESP(Encapsulating Security Payload) | データの暗号化と完全性検証を行う |
| AH(Authentication Header) | データの認証(暗号化なし、ESPが主流) |
| SA(Security Association) | VPN通信に使用するパラメータの合意 |
トンネルモードとトランスポートモード
- トンネルモード:IPヘッダごと暗号化し新しいIPヘッダを付加。拠点間VPNで使用
- トランスポートモード:ペイロードのみ暗号化。ホスト間通信で使用
📋 具体例
FortiGateでのIPsec VPN設定の主要パラメータ:
・フェーズ1(IKE):暗号化方式(AES-256)、認証方式(SHA-256)、DH Group(14以上)、事前共有鍵
・フェーズ2(IPsec):暗号化方式(AES-256)、認証方式(SHA-256)、PFS(Perfect Forward Secrecy)
Yamaha RTX1300での拠点間VPN設定例:
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike pre-shared-key 1 text YourSharedKey
ipsec ike remote address 1 203.0.113.1
tunnel enable 1
ip route 192.168.2.0/24 gateway tunnel 1
SSL-VPN(リモートアクセスVPN)
SSL-VPNは、SSL/TLS暗号化を利用して外部からのリモートアクセスを実現する技術です。テレワーク対応として急速に普及しました。
| 項目 | IPsec VPN | SSL-VPN |
|---|---|---|
| 主な用途 | 拠点間接続 | リモートアクセス |
| 暗号化レイヤー | L3(ネットワーク層) | L4-L7(トランスポート〜アプリ層) |
| クライアントソフト | 通常必要 | Webブラウザのみで可能な場合あり |
| NAT越え | NATトラバーサル必要 | HTTPS(443番)で容易 |
| ファイアウォール通過 | ESP/UDPの許可が必要 | 443番のみで通過しやすい |
⚠️ 注意
VPN機器のファームウェアは必ず最新版に保ってください。2020年以降、FortiGateやPulse Secure(現Ivanti)のVPN機器の脆弱性を突いたランサムウェア攻撃が多発しています。VPN機器は外部に公開されているため、攻撃対象になりやすく、パッチ適用の優先度は最高です。
リモートアクセスVPNの認証強化
VPN接続には多要素認証(MFA)の導入が不可欠です。パスワードだけの認証ではブルートフォース攻撃や漏洩パスワードでの不正アクセスのリスクが高まります。
- ワンタイムパスワード(OTP):FortiTokenやGoogle Authenticatorと連携
- 証明書認証:クライアント証明書をインストールした端末のみ接続許可
- SAML連携:Azure AD等のIdPと連携した認証
SD-WAN概要
SD-WAN(Software-Defined WAN)は、複数のWAN回線(インターネット、LTE、IP-VPN等)をソフトウェアで一元管理し、アプリケーションに応じて最適な回線を自動選択する技術です。
- 回線の使い分け:Microsoft 365はインターネット直接接続、基幹系はIP-VPN経由
- 障害時の自動切替:メイン回線がダウンしたらバックアップ回線へ自動フェイルオーバー
- 集中管理:全拠点の設定をクラウド上のコントローラーから一括管理
- コスト最適化:高価な閉域網を安価なインターネットVPNで代替
ポイント:SD-WANは拠点が3つ以上ある場合に効果を発揮します。FortiGate、Cisco Meraki、Yamaha vRXなどが中小企業向けSD-WANソリューションを提供しています。ただし2拠点程度であれば従来のIPsec VPNで十分なため、過剰投資にならないよう注意しましょう。
✅ 完了済み