公衆無線LANではVPNを使ったほうが安全？知っておきたいVPNの仕組み

自宅と会社をつなぐVPN(Virtual Private Network)

　すっかり一般化したテレワークの普及もあって、身近でVPNを利用する機会が増えてきた。その一方で、VPNの用途は広がりを見せつつあり、一部ではいわゆる「ジオブロック」を回避する手法としても利用される機会が増えてきた。ここでは、VPNの基本的な知識や利用方法、そして注意すべき点などについて解説する。

VPNとは何か?

　VPNとは「Virtual Private Network」の頭文字を取った通信技術で、直訳すると仮想専用回線ということになる。

　通信技術としては古くから存在し、企業などの離れた場所にある拠点間をインターネット経由で安全に接続する方式として利用されてきた(インターネットVPN)。

　具体的には、通信経路を確立するトンネリングと、その経路で送信するデータを別のプロトコルで包み込むカプセル化という2つの技術を利用する。

　冒頭の図を見てほしい。カプセル化されたデータが暗号化されるかどうかは利用するプロトコルによって異なるが、このようにしてインターネットという公衆のネットワーク上に、特定の地点を結ぶ仮想的な通信経路を設け、安全にデータを送受信できるようにしたものがVPNとなる。

一般ユーザー視点でのVPNの用途

　かつてVPNは、一般ユーザーが頻繁に利用するものではなかったが、ここ数年でテレワークが普及したことで、誰にとっても身近な存在になってきた。読者の中にも、在宅ワークなどで会社のリソースを利用するためにVPNを常用しているケースも少なくないだろう。

　一般ユーザーにとってのVPNは、拠点間を結ぶものというよりは、自宅から会社のネットワークに接続するためのリモートアクセスというイメージの方が強いだろう。

　しかし、最近では用途が広がりつつあり、盗聴防止やジオブロック回避など、別の用途に活用されるケースも増えてきている。

VPNは自宅から社内ネットワークにつなぐことに使われるほか、盗聴防止やジオブロックにも有効

　VPNによる盗聴防止は、主に公衆無線LANの利用で推奨される用途だ。

　フリーWi-Fiなど、一部の公衆無線LANでは通信が暗号化されない方式で提供される場合がある。そのままつなぐと、通信内容が第三者に盗聴される危険があるのだ。

　実際にはブラウザやアプリ側で暗号化されるケースが多いので、即座に盗聴されるわけではないが、盗聴の可能性を下げるために、フリーWi-Fiに接続後、VPN接続で通信を暗号化するケースがある。

　セキュリティ対策ベンダーや通信事業者が提供するVPNサービスは、主にこの用途を目的としたものとなる。

　一方、ジオブロック回避は、最近特に増えている利用方法だ。

　利用者の接続元の国によって提供内容が変化するサービス(たとえば映像配信やオンラインゲーム)を利用する際に、接続元の情報(IPアドレス)を別の国のものに置き換えることで、別の国からの接続だとサービス側に判断させ、目的のサービスを受けられるようにするものとなる。

　もちろん、サービスによっては利用規約に違反する場合があるため、本稿では利用を推奨するものではないが、ユーザー層によっては、「VPN＝リモートアクセス」というよりは、「VPN＝ジオブロック回避」という認識の方が高くなってきている状況だ。

たとえば海外から日本の動画配信サービスに接続しようとすると接続が拒否される場合がある

VPNのプロトコル

　VPNは、サービスも多彩だが、利用可能なプロトコルも複数存在する。

　厳密には、トンネリング用のプロトコル(たとえばL2TP)とカプセル化するためのプロトコル(IPsec)を別に理解する必要があったり、レイヤーを意識する必要があったりする。

　しかし、実際にユーザーとしてVPNを利用する場合は、そこまで仕組みを考慮する必要はなく、いくつかの種類が存在することを知っていれば問題ない。

　たとえば、Windows 11の標準のVPNクライアントでは、VPNの種類として「IKEv2」「SSTP」「L2TP/IPsec」「PPTP」が選択でき、iPhone標準のVPNクライアントでは、「IKEv2」「IPsec」「L2TP(L2TP/IPsec用)」が選択できる。

Windows 11で利用可能なVPNプロトコル

iPhoneで利用可能なVPNプロトコル

　主なプロトコルを以下に紹介する。

どのプロトコルを選ぶべきか?

　基本的に、これらのプロトコルに関しては、VPNを設計する際、つまり自宅やオフィスにVPN装置を設置して接続を受け付ける際には考慮する必要があるが、利用者として意識すべきなのは「サーバー側と同じプロトコルを選択すること」となる。

　VPN事業者によっては、複数のプロコルがサポートされており、接続時に選択できる場合があるが、この場合は、つなぐだけなら、どれを選んでも構わない。

筑波大学の実験プロジェクト「VPN Gate」。複数のプロトコルでの接続がサポートされており、ユーザーが選択できる

　もちろん、プロトコルとしての速度の違いはあるが(WireGuard Benchmarking参照)、VPN事業者の場合、そのプロトコルがどの程度のスペックのサーバーで提供されているか、混雑状況はどうなのかといった要因も大きいため、一概にプロトコルの違いのみで快適性を判断することはできない。

VPNの利用方法

　これまでにも少し触れてきたが、あらためて整理すると、VPNを利用する方法は大きく分けて2つある。

VPNを利用するには、自分でサーバーを構築するか、事業者のサービスを使う

自分でVPNサーバーを構築する方法

　自宅で利用しているWi-FiルーターやNASがVPNサーバー機能を搭載しているのであれば、これらを有効にすることでVPNを利用できる。

　リモートアクセスで自宅のリソースにアクセスしたり、フリーWi-Fiの盗聴防止に利用したりするには効果的だが、ジオブロック回避には使えない。

　また、設定に手間がかかるうえ、回線環境によっては利用できないケースもある(NASなどはベンダーが提供する中間サーバーを利用することで特定回線でも使える場合もある)。

　VPN機能を搭載するWi-Fiルーターとしては、例として以下のようなものがある。

• ASUS TUF-AX4200
  
• TP-Link Archer AX23
  
• バッファロー WXR-5700AX7B

TP-LinkのWi-FiルーターのVPNサーバー設定画面

　なお、自分で運用する場合は、悪用されないように注意が必要だ。4月に発表された警視庁による注意喚起で、家庭用Wi-FiルーターのVPN機能が悪用される例が紹介されている。

　悪用のきっかけは脆弱性なので、VPN機能そのものが危険というわけではないが、第三者がアクセス可能な不正なアカウントをVPNサーバーに登録されてしまうと、継続的に悪用される危険性がある。

VPN事業者を利用する方法

　インターネット上でサービスを提供しているVPN事業者を利用する方法を紹介しよう。

　VPN専業の事業者、通信事業者、セキュリティベンダー、CDN(Contents Delivery Network)事業者など、さまざまな事業者がサービスを提供している。

　主に盗聴防止またはジオブロック回避用だが、一部、自宅やオフィスなどのリモートアクセスにも利用できる。事業者によってサービス方式が異なるため、中にはジオブロック回避には利用できないケースもある。利用時はサービス内容をよく確認することが必要だ。

無料のVPNサービス

• Cloudflare warp
  
• 筑波大学 VPN Gate
  
• NTT東日本-IPAシン・テレワークシステム(リモートアクセス用)

　クライアントからの接続方法は、サービス次第となる。VPN事業者のサービスの場合は、アプリを利用して接続できるのが一般的だ。

　一方、ルーターなどのVPNサーバー機能を利用する場合は、Windowsやスマートフォンの標準のVPNクライアント機能を利用する。

　Windowsの場合、方式によっては詳細設定が必要になる場合もあるので、こちらもメーカーのサポートページなどを参照して設定するのが確実だ。

CloudflareのVPN接続サービス(画面はZero-Trust)を利用した接続。アプリでスイッチをオンにするだけですぐにつながる

Windows 11では［設定］の［ネットワークとインターネット］の［VPN］から接続を追加できる。接続先やプロトコル、ユーザー名、パスワードなどを指定して接続する

Windowsの場合、方式によっては詳細設定でプロトコルの許可が必要なケースもある。詳細は接続機器のサポート情報をなどを参照すること

VPN接続サービス利用時の注意点

　なお、VPN事業者を利用する場合は、暗号化される範囲に注意が必要で、さらに通信が必ず事業者を経由することも意識する必要がある。

VPNを使っても暗号化されない経路が出てくる可能性がある

　上図のように、VPN事業者を利用する場合、VPNで暗号化されるのは端末とVPN事業者までの経路とみとなる。VPN事業者以降の経路が暗号化されるかどうかは、利用するアプリケーション側次第だ。

　たとえば、HTTPの通信(もはやほとんどないが……)は暗号化されなくなってしまうが、HTTPSであれば暗号化される。

　しかしながら、HTTPS(だけ)なら、そもそも暗号化されているので、本当にVPNで暗号化する必要があるかどうか?という疑問がある。

　また、通信が必ずVPN事業者を経由する点にも注意が必要だ。

　VPN事業者は契約者のプライバシーを保護することを明言しているケースが多く、個人が特定できないようにログを記録したり、通信内容を保存したりしないことを謳っているケースが多いが、こうした規約が事業者によってどこまで順守されるかは不透明となる。

　たとえば、その事業者のサービスが犯罪に使われれば、捜査協力の過程で第三者の記録も含んだログが提出される可能性はある。

　このため、VPN事業者を利用するのであれば、その事業者を信頼できるかどうかが最大のポイントとなる。

　ちなみに、筑波大学の学術実験プロジェクトであるVPN Gateは、サーバーがユーザーのボランティアによって運営されている。このため、信頼できるかどうかという判断そのものも難しい。

　また、ログを保管し、捜査機関および司法機関に対する解析協力することを明記している。利用時によく確認するといいだろう。

手軽だがリスクがあることも意識して使うべき

　以上、VPNについて概要を紹介したが、利用する際は、サービスごとの特性やリスクを十分に意識する必要がある。安易に利用すると、逆に不正アクセスや情報漏洩などにつながる危険もあるので、慎重に検討したいところだ。

　特にVPN事業者は、現状さまざまなベンダーが参入した混沌とした状況になっている。サービス内容の実体が見えない事業者もあり、利用には注意が必要となる。どの事業者であっても、リスクはゼロにできないため、ある程度のリスクは覚悟して使うべきだろう。