「VPN に接続してから社内システムを開いてください」── 在宅勤務の朝、言われるがままに押しているあのボタン。実際は何が起きているか説明できるでしょうか。こんな場面に心当たりがあれば、この先を読んでみましょう。
- 毎朝「VPN 接続」ボタンを押しているが、何をしているのかは知らない
- カフェの Wi-Fi を使うとき「VPN を使え」と言われたが、理由は聞きそびれた
- 動画の広告で見る「VPN アプリ」と会社の VPN が同じものなのか分からない
- VPN に繋ぐとなぜかネット全体が遅くなる気がする
VPN(Virtual Private Network)は、ひとことで言えば「物理的には引けない専用線を、ソフトウェアで仮想的に引く」仕組みです。ただ、この一文だけでは「なぜ暗号化の話とセットなのか」「種類が複数あるのはなぜか」「何ができて何ができないのか」が見えてきません。
この記事では、設定手順には一切立ち入らず、
- VPN が解決する 2 つの問題(§1)
- トンネリングとカプセル化 ── 封筒の中に封筒(§2)
- 暗号化と認証 ── 接続ボタンの後の数秒の正体(§3)
- VPN の種類 ── 同じ名前で呼ばれる 3 つの別物(§4)
- フルトンネルとスプリットトンネル(§5)
- VPN にできないこと(§6)
の順で、仕組みの理屈だけを最短距離で押さえていきます。
| 疑問 | 本記事の該当章 |
|---|---|
| そもそも何をする仕組み? | §1・§2 |
| 接続ボタンを押した後の数秒は何? | §3 |
| 会社の VPN と VPN アプリは同じもの? | §4 |
| VPN に繋ぐと遅くなるのはなぜ? | §5 |
| VPN を使えば安全・匿名? | §6 |
本記事は「PC のしくみシリーズ」(IPアドレス・DNS・ファイアウォール・会社のネットワークはなぜ遅い?)の用語深掘り回・第 1 弾です。単体でも読めますが、住所(IP)と防御(ファイアウォール)の回を先に読むと因果が一直線に繋がります。
1. VPN が解決する 2 つの問題
仕組みの話に入る前に、そもそも何に困って生まれた道具なのかから押さえましょう。VPN が解決するのは、性質の違う 2 つの問題です。
1-1. 問題 A: 途中の経路で盗み見られる
自宅やカフェから会社のシステムに繋ぐとき、データは自宅の回線・公衆 Wi-Fi・通信事業者の設備と、自分も会社も管理していない区間を延々と通っていきます。この区間のどこかに悪意があれば、通信は盗み見・改ざんの対象になります。とくに公衆 Wi-Fi は、ファイアウォール記事で見た通り「同じネットワークに見知らぬ機器が同居する」場所です。
1-2. 問題 B: 社内のサーバーには、外からそもそも届かない
もう 1 つはセキュリティ以前の問題です。社内のファイルサーバーや業務システムは、多くの場合プライベート IP アドレス(IP アドレス記事の「家の中の住所」)しか持っていません。社内の住所はNATという変換係の内側にあり、インターネット側からは宛先として指定できない ── つまり盗み見以前に、外からは物理的に届かないのです。さらにその手前にはファイアウォールが立っていて、外から来る通信は原則お断りです。
問題 A ── 途中の経路で盗み見られる
自宅 PC ──→ 公衆Wi-Fi ──→ 通信事業者 ──→ ・・・ ──→ 会社
└──── 自分も会社も管理していない区間 ────┘
どこかに悪意があれば、盗み見・改ざんの対象
問題 B ── 社内のサーバーには、外からそもそも届かない
自宅 PC ──→ インターネット ──→ ✕ ファイアウォール「外からの通信は原則お断り」
✕ NAT「社内の住所は外から宛先にできない」
└─ その奥に社内サーバー(192.168.x.x)
1-3. 1 つの道具で両方を解く
この 2 つを同時に解決するのが VPN です。通信全体を暗号化して問題 A を解き、会社のネットワークに「仮想的に配線」して問題 B を解く。次の章から、その実現方法を 1 つずつ見ていきます。
「HTTPS があるのになぜ VPN が要るの?」という疑問はもっともです。HTTPS が守るのは「ブラウザとそのサイトの間の 1 本の通信」だけ。VPN が守るのは「PC から出ていく全通信」で、どこに接続しようとしているかという宛先情報まで含めて包みます。守備範囲が一段広いのです。
2. トンネリングとカプセル化 ── 封筒の中に封筒
2-1. 普通の通信はハガキで届く
ネットワークを流れるデータ(パケット)は、たとえるならハガキです。宛先も差出人も、経路上の機器に見える状態で書かれています。経路の機器はそれを読んで次へ次へとリレーします。これはインターネットの正常な動作そのものですが、裏を返せば「経路上の誰でも宛先を読める」ということです。
2-2. カプセル化 ── ハガキごと封筒に入れる
VPN はここで発想を変えます。ハガキをそのまま流すのではなく、ハガキごと封筒に入れて、封筒に別の宛先を書くのです。これをカプセル化(パケットを別のパケットで包むこと)と呼びます。
カプセル化 ── 封筒の中に封筒
本来のハガキ: [宛先: 社内サーバー | 中身: 業務データ]
↓ 暗号化して封筒へ
封筒: [宛先: 会社の VPN 装置 | 中身: ●●●●●●●●(読めない)]
経路上から見えるもの:
「会社の VPN 装置宛の封筒が流れている」── それだけ
ポイントは 2 つあります。
- 封筒の中身(本来のハガキ)は暗号化されていて、鍵がなければ読めない
- 封筒の表書きには「会社の VPN 装置」という 1 つの宛先しか書かれていない。中のハガキがどの社内サーバー宛か、そもそも何のデータかは、経路上からは一切見えない
この「封筒が流れ続ける専用の通り道」を、見た目の比喩でトンネルと呼びます。トンネルという言葉から専用の物理回線を想像しがちですが、実際には封筒は普通のインターネット(公道)を流れています。公道を走っているのに中身が見えないから、結果として専用線のように使える ── これが Virtual Private(仮想的に私的)の意味です。
2-3. 会社側で開封 ──「社内にいるフリ」の正体
封筒が会社の VPN 装置に着くと、装置は鍵で封を開け、中のハガキを取り出して社内ネットワークにそのまま放流します。社内のサーバーから見ると、そのハガキは「社内から普通に届いた通信」にしか見えません。あなたの PC が自宅にあっても、通信だけは社内の住所から出発したことになる ── これが「社内に LAN ケーブルを挿しているフリ」の正体です。返事は逆の手順で封筒に包まれ、自宅まで戻ってきます。
トンネル=専用回線・速い回線という誤解。トンネルはあくまで「公道を封筒で走る」仕組みであり、回線そのものが速くなることはありません。むしろ封筒の分だけ荷物は増えます(§5)。
3. 暗号化と認証 ── 封筒の鍵と、入口の本人確認
3-1. 暗号化 ── 鍵がなければ開かない封筒
封筒の中身を守っているのが暗号化です。送る側と会社の VPN 装置だけが知っている鍵でデータを変換し、鍵を持たない第三者には意味のないノイズにしか見えなくします。途中の経路で封筒を抜き取られても、中身は読めません。世の中の VPN はこの暗号化の方式(IPsec、TLS ベース、WireGuard など)で分類されることが多いのですが、「鍵のかかった封筒で運ぶ」という構造はどれも共通です。
3-2. 認証 ── トンネルの入口に立つ門番
もう 1 つの柱が認証です。トンネルの入口は会社のネットワークへの入口そのものですから、「封筒を送ってきたのが本当に社員か」を最初に確認しなければ、暗号化がどれだけ強固でも意味がありません。ID とパスワードに加えて、機器に入れた証明書や、スマホでの多要素認証を組み合わせるのが現在の標準です。
「VPN 接続」ボタンを押してから数秒待たされるのは、この間に本人確認と、暗号化に使う鍵の交換が行われているからです。あの数秒は、トンネルの入口で門番と鍵屋が仕事をしている時間です。
VPN の認証が破られると、攻撃者は「社内に LAN ケーブルを挿した状態」を手に入れます。VPN のパスワード使い回しが特に危険とされるのはこのためです。強いパスワードの作り方はパスワード生成ツールも参考にしてください。
4. VPN の種類 ── 同じ名前で呼ばれる 3 つの別物
「VPN」という同じ名前で呼ばれているものは、トンネルの両端がどこかで大きく 3 つに分かれます。混乱の大半はここを区別すれば解けます。
4-1. リモートアクセス VPN ── 個人と会社を繋ぐ
ここまで説明してきた、個人の PC と会社のネットワークを繋ぐ形です。在宅勤務の「VPN 接続」ボタンはこれ。トンネルの片端はあなたの PC、もう片端は会社の VPN 装置です。
4-2. サイト間 VPN ── 拠点と拠点を繋ぐ
オフィスとオフィスの間に常設のトンネルを張る形です。東京オフィスと大阪オフィスのルーター同士がトンネルで結ばれ、2 つの拠点があたかも 1 つの社内ネットワークのように振る舞います。社員は何のボタンも押しません ── トンネルは拠点の出口に常に張られていて、利用者がその存在に気づかないのが正常という種類の VPN です。
4-3. 個人向け VPN サービス ── 個人と「VPN 業者」を繋ぐ
動画広告でおなじみの「VPN アプリ」はこれです。トンネルの片端はあなたの PC ですが、もう片端は会社ではなく VPN 業者のサーバーです。社内ネットワークに入るためのものではなく、目的は 2 つ ── ① 手元の区間(公衆 Wi-Fi など)を暗号化すること、② 接続元の見た目の住所を業者のサーバーの所在地に付け替えること、です。
| リモートアクセス VPN | サイト間 VPN | 個人向け VPN サービス | |
|---|---|---|---|
| トンネルの両端 | 個人 PC ↔ 会社 | 拠点 ↔ 拠点 | 個人 PC ↔ VPN 業者 |
| 主な目的 | 社外から社内システムへ | 拠点同士を 1 つの網に | 経路の暗号化・出口の変更 |
| 使う人の操作 | 接続ボタンを押す | なし(常設) | アプリをオンにする |
| 社内に入れるか | 入れる | (社員は意識しない) | 入れない |
個人向け VPN サービス=匿名化ツールという誤解。トンネルの出口である VPN 業者からは、あなたの通信の宛先がすべて見えています。盗み見されうる相手が「経路上の不特定多数」から「VPN 業者 1 社」に変わっただけ ── つまり匿名になったのではなく、信頼する相手を業者に移しただけです。業者選びがそのまま安全性になります。
5. フルトンネルとスプリットトンネル ── 何をトンネルに入れるか
5-1. 全部包むか、社内宛だけ包むか
リモートアクセス VPN には、設計上の大きな分かれ道があります。PC から出ていく通信のうち、どこまでをトンネルに入れるかです。
フルトンネル ── 全通信を封筒に入れる
自宅 PC ━━━ トンネル ━━━→ 会社 ──→ 社内システム
└──→ インターネット(Web も動画も会社から出る)
スプリットトンネル ── 社内宛だけ封筒に入れる
自宅 PC ━━━ トンネル ━━━→ 会社 ──→ 社内システム
└─────────────────→ インターネット(Web は自宅から直行)
- フルトンネル: 社内宛もネット宛も、全部を封筒に入れて会社経由で出す方式。会社側はすべての通信を自社の出口で検査・記録でき、管理は一元化されます。代わりに、ただの Web 閲覧まで会社を経由する遠回りになります
- スプリットトンネル: 社内システム宛の通信だけをトンネルに入れ、それ以外は自宅から直接出す方式。遠回りが消えて快適になる代わりに、会社の目が届かない通信が生まれます
5-2. どちらが「正しい」かではない
この選択に唯一の正解はありません。「何をどこまで守り、何を監査したいか」という会社のポリシーの問題だからです。情報管理の厳しい業種ほどフルトンネルに寄り、快適さと回線コストを重視するほどスプリットに寄ります。あなたの会社がどちらを選んでいるかで、在宅勤務の体感速度は大きく変わります ──「VPN に繋ぐとネット全体が遅くなる」と感じるなら、それはほぼ確実にフルトンネルの遠回りです。遅さの因果の詳細は会社のネットワークはなぜ遅い?の §4 で図解しています。
封筒に包む処理(カプセル化)と暗号化には、固定の手間賃がかかります。封筒の分だけ一度に運べる中身は少し減り、封入・開封には VPN 装置の処理能力を使います。「VPN は素の回線よりわずかに遅い」のは故障ではなく、構造上の必然です。
6. VPN にできないこと ── 過信しないための 4 項目
VPN は強力な道具ですが、「VPN に繋いでいれば安全」という過信は危険です。できないことを正面から並べます。
6-1. マルウェア感染は防がない
VPN は封筒の中身を運ぶだけで、中身が安全かどうかは関知しません。悪意あるファイルのダウンロードも、暗号化された封筒に包まれて、むしろ丁重に運ばれてきます。ウイルス対策はウイルス対策で、別途必要です。
6-2. 接続先での行動は隠せない
VPN が隠すのは「経路上」だけです。接続した先の Web サイトやサービスから見れば、ログインしたあなたの行動は当然すべて見えています。トンネルの出口から先は、普通のインターネットです。
6-3. 会社 VPN では、行動はむしろ見えやすくなる
リモートアクセス VPN(特にフルトンネル)では、あなたの全通信が会社の出口を通ります。つまり管理側から見れば、通信は隠れるどころかオフィス勤務時と同じように可視化・記録されるということです。これは監視という話ではなく、会社の資産と情報を守る仕組みがそう設計されているという話です。
6-4. VPN 装置そのものが攻撃の的になる
VPN の入口は、外に向かって開いている数少ない窓口です。ファイアウォール記事で見た「開いている窓口が攻撃面になる」という理屈はここでも成り立ち、実際に VPN 装置の脆弱性を突いた侵入は、企業への攻撃の定番経路になっています。VPN は防御の仕組みであると同時に、手入れを怠れば最大の弱点にもなる設備です。
まとめ ── 4 行エッセンス
- VPN は「途中で盗み見られる」「社内に外から届かない」という 2 つの問題を、暗号化と仮想的な配線で同時に解く道具
- 仕組みの核はカプセル化──「ハガキごと暗号化した封筒に入れ、会社宛として公道(インターネット)を運ぶ」。会社側で開封されるから「社内にいるフリ」ができる
- 「VPN」は両端がどこかで 3 つの別物(個人↔会社/拠点↔拠点/個人↔業者)。個人向け VPN サービスは匿名化ツールではなく、信頼の移転にすぎない
- フルトンネルかスプリットトンネルかは速度と管理のトレードオフ。そして VPN はマルウェアを防がず、装置自体が攻撃の的にもなる ── 万能の盾ではない
住所と NAT の仕組みは IP アドレスとは?、外から届く通信の防御は ファイアウォールが無いとどうなる?、VPN が絡む「遅さ」の正体は 会社のネットワークはなぜ遅い? で扱っています。本記事と合わせて、「外から会社に繋ぐ」の全体像が一枚に繋がるはずです。
FAQ
Q1. VPN を使えば匿名になりますか?
A. なりません。会社の VPN では、管理側にあなたの通信はオフィス勤務時と同様に見えています(§6-3)。個人向け VPN サービスでも、トンネルの出口である業者からは宛先がすべて見えており、接続先のサイトにログインすれば当然そのサイトには誰だか分かります。VPN が変えるのは「経路上の第三者から見えるか」だけで、匿名性の道具ではありません(§4 の落とし穴参照)。
Q2. HTTPS のサイトしか見ないなら、VPN は不要ですか?
A. 守る範囲が違います。HTTPS は「ブラウザと特定サイト間の 1 本の通信」の中身を守りますが、どのサイトに繋ごうとしているかという宛先情報や、HTTPS でないアプリの通信までは守りません。VPN は PC から出る全通信を宛先ごと包みます(§1 の Tip)。また、社内システムに入るという問題 B(§1-2)は HTTPS では解決できません。
Q3. 会社の VPN に繋いでいる間、私的な通信も会社に見えますか?
A. フルトンネル型なら、構造上はすべての通信が会社の出口を通るため、見ようと思えば見える状態です(§5・§6-3)。スプリットトンネル型なら社内宛以外は会社を通りません。どちらの設計か、また実際にどこまで記録されるかは会社のポリシー次第なので、気になる場合は規程を確認するのが確実です。構造として「業務 PC の通信は可視化されている前提」で振る舞うのが安全です。
Q4. 無料の VPN アプリは使っても大丈夫ですか?
A. 慎重になるべきです。§4 で見た通り、個人向け VPN サービスは「信頼の移転」であり、業者からは通信の宛先がすべて見えます。無料で運営できているということは、運営コストを何か別のもの ── 広告、通信データの分析・販売など ── で賄っている可能性を考える必要があります。守りたかったはずの情報を、自ら 1 社に差し出す結果になりかねません。
Q5. VPN 接続中にネットが遅くなるのはなぜですか?
A. 主因は 2 つです。① フルトンネル型の場合、ただの Web 閲覧まで「自宅 → 会社 → サイト → 会社 → 自宅」と物理的に遠回りする(§5)。② カプセル化と暗号化の固定コストに加え、在宅勤務者が集中すると VPN 装置の処理能力自体が詰まる。会社のネットワーク全体の「遅さの地図」はこちらの記事で症状から逆引きできます。
コメントを残す