Part2の概要編では,通信相手が本物かどうかを確かめる認証処理,データの暗号化,社内LANのパケットをカプセルで包んでインターネットに転送するカプセル化というVPNの3つの処理について,その仕組みを紹介していこう。

 ここからは,VPNの森の中へ入っていく。ただ,やみくもに探検しても,道に迷うだけなので,案内役を務める地図を用意しよう。

 そもそも,ほかのユーザーも使っているインターネットで自分だけが特別に使えるVPNトンネルを掘るというのは,いったいどういうことなのか。陥りやすいのは,「VPNは暗号化技術でできている」と誤解してしまうこと。送受信データを暗号化すれば,外からは中身がわからなくなることから連想するためだが,それはVPNの本質ではない。暗号化技術だけで,トンネルを作ることができるわけではない。

社内便をカプセルに入れる

 インターネットVPNでトンネルを掘ることができるのは,カプセル化と呼ぶ技術を使うからである。カプセル化とは,パケットの周りに覆いをかぶせてくるんでしまうこと。

 カプセル化の考え方を実感するために,大阪支社から東京本社へ社内便を届ける様子に例えてみよう。大阪のAさんが,東京のBさんに営業データを社内便で送るとする(図1)。

図1●インターネットVPNのキモは社内LANのパケットをカプセルで包んでインターネットへ転送することだ<br>社内便と対比させてみるとわかりやすい。社内あての手紙を郵便を使って送るには,途中で郵便用の封筒の中に詰めてやる必要がある。インターネットVPNでも,社内LANのパケットをインターネットのパケットの中に入れる。
図1●インターネットVPNのキモは社内LANのパケットをカプセルで包んでインターネットへ転送することだ
社内便と対比させてみるとわかりやすい。社内あての手紙を郵便を使って送るには,途中で郵便用の封筒の中に詰めてやる必要がある。インターネットVPNでも,社内LANのパケットをインターネットのパケットの中に入れる。
[画像のクリックで拡大表示]

 Aさんは社内便用の封筒に営業データを入れ,「東京本社Bさん行き」と書いて社内便を出す。このあて先が大阪支社内であれば,社内便はそのまま届く。

 ところが,この社内便は東京本社行き。そこで,これを集配した大阪支社の総務部が,郵便用の封筒を用意してこの中に社内便を入れる。そして,東京本社の住所を書いて郵便ポストに入れれば,中身が何だろうと郵便局が東京本社に届けてくれる。

 これを受け取った東京の総務部が封筒を開けると,中から社内便の封筒が出てくる。あとは,ほかの社内便と同じように大阪からの社内便も扱えるので,これがBさんに届けられるというしかけだ。

 AさんとBさんは社内便の途中で郵便を介したことなど,いっさい意識する必要はない。総務部を介せば,あたかも大阪支社と東京本社が直接つながっているかのごとく社内便ネットワークができあがるのだ。

VPN装置がLANのパケットを包み込む

 インターネットVPNのしくみもこれと同じである。封筒の役割を果たすのがIPパケットである。Aさんのパソコンから送信されたパケットの先頭にはIPヘッダーがあり,そのあて先として「東京本社Bさん行き」というあて先を指定する。このあて先は,社内だけで通用すればよいので,プライベート・アドレスになる。

 ただ,プライベート・アドレスをあて先に指定してもインターネットでは通用しない。郵便局に相当するインターネットのルーターは,グローバル・アドレスに基づいてパケットを届けるからである。

 そこで,総務部が新たに封筒を用意して東京本社の住所を書き,社内便の封筒をそこに入れたのと同じように,グローバル・アドレスをあて先にしたパケットの中に社内LAN向けのパケットを入れる。この総務部が行った処理を行うのが,VPN装置である。

 こうすれば,郵便局に相当するインターネットのルーターは,東京本社の総務部まで届けてくれる。そして,東京本社の総務部に相当するVPN装置が,受信パケットの中身(プライベート・アドレスがあて先になったパケット)を取り出して,東京本社内のLANへ転送する。

 つまり,インターネットを介して,大阪支社と東京本社が一つのネットワークでつながっているように見え,大阪のAさんや東京のBさんは,途中でインターネットを使ったことなど気にしないで済む。

 ちょうど,大阪支社と東京本社のLAN同士がインターネット上に作ったトンネルでつながるイメージになる。VPNトンネルが仮想的といわれるのは,このような背景があるからだ。

認証と暗号でトンネルを強化

 とはいえ,インターネットを介して,社内のデータをやりとりするには不安が残る。インターネットには,他人のデータを盗み見したり,中身を書き換えたりするクラッカが暗躍しているからだ。単純なVPNトンネルなら,中を覗こうと思えば覗けるし,勝手にトンネルの中へ入り込むことさえできてしまう。

 そこでVPNは,カプセル化に加えて,こうしたクラッカから守る技術を併用するのが普通だ。具体的には,通信相手を確認する認証技術と,データの改ざんや中身を見られないようにする暗号技術である(図2)。

図2●単にカプセル化しただけでは安全面で不安が残る<br>カプセル化しただけだと,クラッカに中身を覗かれたり,にせのデータを送り込まれたりする。そこで,VPNでは通信する相手が本物かを確かめたり(認証),送受信データを暗号化する。
図2●単にカプセル化しただけでは安全面で不安が残る
カプセル化しただけだと,クラッカに中身を覗かれたり,にせのデータを送り込まれたりする。そこで,VPNでは通信する相手が本物かを確かめたり(認証),送受信データを暗号化する。
[画像のクリックで拡大表示]

 普通郵便だったVPNトンネルを,認証技術によって正しい相手に確実に届けることができる書留郵便並みにする。そして,暗号化によって,中身が覗かれることなく,改ざんもできない内容証明郵便になる。これで,仮想的なVPNトンネルのセキュリティを高められる。

 こうした認証,暗号化,カプセル化を行うのは,総務部に相当するVPN装置だ。VPN装置の仕事を整理すると,(1)通信相手のVPN装置が本物かを確認する認証工程,(2)データを暗号化する暗号化工程,(3)送信パケットをカプセル化してインターネットに送り出すカプセル化工程――となる。

 複雑に見えるVPNの森も地図に描いてみると,この3工程で成り立っているのだ。(図3

図3●VPNトンネルができるまで<br>VPN装置の仕事は,(1)通信相手が本物かを確かめる,(2)データを暗号化する,(3)カプセルで包んでインターネットに転送する,の三つである。
図3●VPNトンネルができるまで
VPN装置の仕事は,(1)通信相手が本物かを確かめる,(2)データを暗号化する,(3)カプセルで包んでインターネットに転送する,の三つである。
[画像のクリックで拡大表示]