【初心者でも理解しやすい】プログラマーがVPNについて解説
テレワークになったけど、社内情報や大事なデータの通信は大丈夫かな。情報流出のニュースを見るとちょっと心配ですよね。
最近では、https通信が普及してきて暗号化されてきていますが、まだhttp通信のサイトもあります。
スマートフォンのアプリにおいては、中身がブラックボックスなのでどんな通信をしているか利用者は把握できません。
VPNを利用すると通信自体を暗号化してくれるので、今までより安全な通信をすることができます。
次のリストに一つでも当てはまる方は、VPN利用を検討していただいたほうがいいかもです。
- 会社PCを持ち帰ってテレワークをしている
- カフェやホテルのフリーWi-fiを使う
- よくオンラインショッピングをする
- 海外版の動画サービスをみたい
- 中国に仕事や観光で滞在する機会が多い
- オンラインゲームで優位に立ちたい
VPNってよく聞くけど一体なに?プログラマー歴20年のプロがVPNの仕組みや利用用途を図解をまじえて解説します。
VPNってなに?
この辺は堅苦しい用語がでてくるので、さらっと見てほしいのですが。
VPNは、Virtual Private Network (仮想専用回線)の略で、プライベートネットワークを拡張する技術、そのプライベートネットワークのことです。
専用線をひくより、物がない仮想的な専用回線なので、設置が安価で済み、簡単にはじめられて、通信が保護されるのがよいところです。
VPN方式は
- インターネットVPN
- IP-VPN
- エントリーVPN
- 広域イーサネット
の4つあります。
VPN種類ってインターネットを使うタイプと閉鎖網を使うタイプがあるんですね。
インターネットVPN以外は、閉鎖網でVPNをはる方式で品質がよいが高価、拠点同士をVPNで結びたい企業向けの方式になります。
インターネットVPNはインターネット回線内にはるVPN方式で、安価で利用できるため個人でも簡単に利用することができます。
個人でも広く使われているVPNサービスをもとにインターネットVPNの仕組みについて解説していきます。
インターネットVPNの仕組み
インターネットVPNは、インターネット越しに、3つの技術「トンネリング」「暗号化」「認証」を使ってVPNはります。
VPNに接続するとVPNサーバーとの間に通信データを保護するトンネルが構築されます。あたかも接続元とVPNサーバーが直結したイメージです。
インターネットは不特定多数が利用するネットワークなので、トンネリングだけでは通信データがみえてしまうことがあります。
そこで、パケットを外部パケットで包んでカプセル化することで暗号化します。
VPNサーバーに到着すると外部パケットが復号化されます。
VPNセキュリティのためにいろいろな技術が使われているんですね。通信の保護ができないと意味がないですよね。
VPNサービスを図解すると
パソコンからVPNサーバーまでまるでトンネルで直結されるイメージで接続される、VPNサーバーからWebサイト、SNS、アプリのサーバーに接続され通信データが送受信されます。
Webサイト、SNS、アプリからアクセス元を見た場合、VPNサーバーから受信されたものとなります。
VPNサーバーまではVPNで接続して、Webサイト、SNS、アプリは、VPNサーバーが代理で接続するかたちになります。
トンネリング
通信データはパケット単位で通信されて、パケットを別のプロトコルで包んで送受信するため各パケットをカプセル化します。
カプセル化を簡単な例で説明すると
書類を「総務部」に届けてと郵便局に行っても、住所がわからないから届けられませんよね。
「○○市○○町 ○○会社」の封筒をつくり、書類と「総務部」に届けてと書いた紙を入れとけば届きますよね。
社内だけで通じるアドレスを封筒にいれ、郵便局でも通じる宛先に送る。
プライベートアドレスのパケットをグローバルアドレスのパケットで包むことがカプセル化です。
基本的にトンネリングされた通信は、ネットワーク上から見えなくなるため外部からアクセスができなくなります。
しかし、技術力が高い悪意の攻撃者の手にかかれば、トンネリングされた通信はみえてしまいます。
カプセル化されたパケットの通信データを暗号化します。
パケットは暗号化されているので、仮に悪意の攻撃者がVPNのトンネルに侵入して通信データを盗み取ることは困難です。
認証技術によって正しい相手に確実に通信データを届ける仕組みになっています。
普段Wi-fiをよく使っているけど
フリーWi-Fiは危険!?
駅、カフェやホテルのフリーWi-fiに一度は接続したことがあると思います。
実は、フリーWi-fiを利用する際は、常に電波が傍受される恐れがある事を念頭に置いておく必要があります。
SSL普及やWi-fiの暗号化方式の強化によって通信データが暗号化されて送受信するため、傍受されてもパスワードやクレジットカードなどの大事な情報を盗まれる恐れは少なくなってきました。
しかし、通信データを暗号化しないWi-fiも中にはありますし、HTTPサイトに接続した場合、通信データを盗み見される可能性があるからです。
また暗号化キー(パスワード)が掲示、告知されているフリーWi-fiでは、暗号化キーで暗号された通信データを復号できるので、他人に盗み見される危険性があります。
HTTPサイトは、http://から始まるサイトです。パスワードやクレジットカードなど大事な情報も暗号化されていない平文で送受信されるため、盗み見をされた場合、実害がでる可能性があります。
SSL(Secure Sockets Layer)は、暗号化し、送受信させる仕組みのことです。https://から始まるサイトは、SSLによって暗号化されて送受信されます
悪意のアクセスポイント
フリーWi-Fiでのもう一つの危険な事例は、
悪意の攻撃者がフリーWi-fiの名前(SSID)にとてもよく似たまたは同じ名前のニセWi-Fiをつくり、誤ってニセWi-fiに接続をしてしまい、通信データを盗み見されることです。
例えば
ニセのSSID: FREE-WIFI-AIU-CAFE
微妙に違う名前だと一見区別がつきませんよね。
ノートPCやスマホで自動的にWi-fiに接続設定をしているとニセWi-fiにいつの間にかつながっていたということもあります。
VPNはすべてのインターネット通信を暗号化するため安全でないWebサイトやアプリへ安心して接続ができます。
自宅Wi-Fiの危険
パスワード方式が脆弱なままだと簡単に暗号キー(パスワード)を推測されWi-fiが接続される可能性があります。
パスワード方式が、セキュリティの低い「WEP」だったり、なにかの拍子に「なし」に設定されていたりしたら接続は容易だからです。
接続された後、初期設定の管理画面のIDやパスワードは推測されやすいので、買ったままのIDやパスワードにしていると悪意のある攻撃者に自宅Wi-fiのルータがのっとられてしまう可能性もあります。
管理画面IDが「admin」「user」、パスワードが「0000」「1234」など初期設定のままにしていると簡単に管理画面に侵入ができてしまいます。
管理画面のID、パスワードは複雑なものに変えておきましょう。
悪意の攻撃者はインターネットをただで利用できるようになりますし、同じネットワークの通信データを盗み見できるようになります。
最悪、Wi-fi接続されてしまっても、VPNを利用しておけば、通信データを盗み見に対して防御することができます。
VPNのいろいろな用途
海外からのアクセス
中国では次のようなWebサイトやSNSに接続ができません。中国政府が「グレートファイアウォール」という検閲システムを立ち上げているからです。
- YouTube
- LINE
中国に滞在した際、日頃使っているWebサービスやアプリが使えないと困ります。
中国政府は、2017年にサイバーセキュリティ法を施行し、VPNに対しても規制強化をしました。中国政府認定のVPNサービス以外は排除する動きになっているようです。
Twitterで「中国 VPN」と検索すると国家行事や祝日など時期によって繋がりにくい状況になるようです。
今まで使用できていたVPNも使用できなくなるケースも珍しくないですが、有料の一部のVPNであれば、問題なく接続ができます。
中国に行く際は、複数のVPNサービスを用意しておくべきでしょう。
海外へのアクセス
Netflix、hulu、amazon primeやDesney+の動画サービスは権利の関係で、基本的に契約した国や地域でしか見れないようになっています。動画サービスは権利を保護するためVPNに対して規制をかけはじめています。
VPNサービスはたくさんあるので、規制をかけては、新しいVPNが登場し、また規制かけては、また・・・という具合でいたちごっこ状態です。
オンラインゲーム
海外の対戦相手とオンラインゲームをする場合はラグが勝敗を決定することもあります。
VPNを使って対戦相手と近い地域でゲームサーバー間の接続ルートが短くなると、待ち時間や全体的なラグを短縮できます。
DDoS攻撃者はユーザーのIPアドレスを知っている場合、そのユーザーの接続のみを停止させることができるため、VPN機能を有効にすると、ルーターでユーザーを保護できます。
VPN Gateって安全?
VPN Gateは筑波大学によるVPNの学術実験プロジェクトです。
VPN Gate 学術実験プロジェクトでは、世界中のボランティアがVPN サーバーを提供しています。
誰が運用しているかわからないところを経由するって不安じゃないですか。
VPNを使って悪いことをしないように、VPN Gate 学術実験プロジェクトでは、次の接続ログが最低 3 ヶ月間保管しています。
- 記録日時
- 接続先 VPN サーバーの ID、IP アドレス、ホスト名
- アクションの種類 (接続または切断)
- 接続元 VPN クライアントの生の IP アドレス、ホスト名
- VPN プロトコルの種類 (SSL-VPN, L2TP, OpenVPN, SSTP のいずれか)
- 接続元 VPN クライアントのソフトウェア名、バージョン番号および ID (利用可能な場合)
- VPN 接続の確立中に通信したパケット数、バイト数、通信エラーが発生した場合のデバッグ情報
- VPN Gate セッションを用いた通信先の HTTP/HTTPS ホスト名 (FQDN), IP アドレス、ホスト名およびポート番号
パスワードやクレジットカード情報など大事な情報はログに残りません。
ただし、暗号化されていないHTTPサイトに接続をしてパスワードやクレジットカードなどの情報を送信した場合は、大事な情報が流出する可能性があります。
ノーログVPN
ノーログVPNは、セキュリティ、プライバシー、匿名性観点から接続ログを一切保持しないポリシーを持つVPNサーバーです。
VPNを使用しない場合、インターネットへのトラフィックはすべてインターネットサービスプロバイダー(ISP)を経由します。
ISPには、いつからいつまでどこにアクセスしたか通信履歴が残ります。警察の捜査など法律に基づいて通信履歴や個人情報が開示され個人が特定されることもあります。
VPNを使うと、データは暗号化されたままISPを通過してVPNサーバー到達します。
ISPには通信履歴は残りませんが、VPNプロバイダーのポリシー次第では、VPNプロバイダーに通信履歴が残ります。
VPNプロバイダーの中には、通信履歴などのログを一切とらないと明言しているところもあります。
プロバイダーに対して、通信履歴の記録、保護に関する明確な法律がないパナマや英国領バージン諸島に拠点があるからです。
まとめ
テレワークでますます普及してきたVPNについて解説しました。
意外にもWi-fiには危険性があり、VPNを使ったほうが安全ということがわかりました。
社内情報やパスワードやクレジットカードなどの大事な情報を保護するためにもVPNを利用していきましょう。
最後までお読みいただき、ありがとうございました!
Photo by Technology vector created by vectorpouch – www.freepik.com