// シス担のミカタ
VPN

Always On VPN おーるうぇいずおんぶいぴーえぬ

VPNリモートアクセスWindows 10DirectAccessゼロトラスト自動接続
Always On VPNについて教えて

簡単に言うとこんな感じ!

会社のPCが起動した瞬間に、自動でVPNに繋がり続ける仕組みだよ!ユーザーが「VPN接続!」ってボタンを押す必要がなくて、ログイン前からずっと社内ネットワークに繋がった状態をキープしてくれるんだ。まるで「社内にいるのと同じ状態」が自動で維持される感じ!

Always On VPNとは

Always On VPN(AO-VPN) とは、PCを起動してからユーザーがログインするより前の段階から、自動的にVPN接続を確立し、切断されることなく維持し続ける仕組みです。MicrosoftがWindows 10/11向けに提供している機能で、従来型の「必要なときだけ手動で繋ぐVPN」とは根本的に異なるアプローチをとっています。

従来のVPNでは「接続忘れ」「認証の手間」「接続が切れたまま気づかない」といった問題がつきものでしたが、Always On VPNはこれらをすべて解決します。ユーザーは何も操作しなくていい——それがこの仕組みの最大のポイントです。社員が自宅や出張先でPCを開いたら、気づいたときにはすでに社内システムにアクセスできる状態になっています。

また、Always On VPNはゼロトラストセキュリティの考え方とも相性がよく、単なる「繋ぐだけ」の仕組みではなく、デバイスの健全性チェックや条件付きアクセスと組み合わせることで、セキュリティを高めながら利便性も確保できる、現代のリモートワーク環境に適した技術です。

Always On VPNの仕組みと構造

Always On VPNには2種類のトンネルがあり、それぞれ異なるタイミングで接続されます。この二段階構造がポイントです。

トンネルの種類接続タイミング用途
デバイストンネルPCの電源を入れた直後(ログイン前)グループポリシーの適用、証明書の更新、ドメイン認証
ユーザートンネルユーザーがWindowsにログインした後業務アプリ・ファイルサーバー・イントラネットへのアクセス
PC電源ON


[デバイストンネル 接続]
  │ ← ログイン前でも社内と通信可能

Windowsログイン画面


ユーザーがログイン


[ユーザートンネル 接続]
  │ ← 業務システムへフルアクセス

通常の業務開始

覚え方のコツ

「Always On = 常時オン」——名前をそのまま覚えるのが一番です。「VPNのスイッチが常にオンになっている状態」をイメージするだけでOKです。

対応プロトコルと認証方式

Always On VPNはさまざまな接続プロトコルをサポートしており、セキュリティ要件に合わせて選べます。

プロトコル特徴
IKEv2最も推奨。モバイル回線切り替えにも強い(MOBIKE対応)
SSTPHTTPSポート(443)を使うため、ファイアウォールに引っかかりにくい
L2TP/IPsec互換性は高いが設定がやや複雑

歴史と背景

  • 2003年ごろ〜 — Microsoftが企業向けリモートアクセスとして DirectAccess を開発・提供開始。「常時接続VPN」の先駆けだったが、IPv6必須・複雑な構成など導入障壁が高かった
  • 2015年 — Windows 10リリースとともに、DirectAccessの後継として Always On VPN が登場。IPv6不要・より柔軟な構成が可能になった
  • 2017年〜 — Microsoftが公式にDirectAccessからAlways On VPNへの移行を推奨し始める
  • 2020年〜 — コロナ禍によるリモートワーク急拡大で、手動VPNの「繋ぎ忘れ」問題が顕在化し、Always On VPNへの注目度が急上昇
  • 2022年〜 — ゼロトラストセキュリティの普及とともに、Microsoft Intuneによるクラウド管理との組み合わせが標準的な導入パターンになる

DirectAccessとの比較・関連技術の整理

Always On VPNは「DirectAccessの後継」と説明されることが多いですが、両者には明確な違いがあります。

DirectAccess vs Always On VPN DirectAccess IPv6 が必須 Active Directory ドメイン参加が必須 Windows Enterprise エディションのみ オンプレミス管理が前提 現在は非推奨(レガシー扱い) Always On VPN IPv4 / IPv6 どちらも対応 Azure AD 参加デバイスにも対応 Pro / Enterprise エディション対応 Intune によるクラウド管理も可能 Microsoftの現行推奨ソリューション 後継

関連技術との位置づけ

技術常時接続ユーザー操作管理ツール
従来型VPN(手動)毎回必要各種
Always On VPN不要Intune / SCCM
DirectAccess不要オンプレ SCCM
Microsoft 365 + Entra ID(条件付きアクセス)✅(クラウド経由)不要Intune

関連する規格・RFC

規格・RFC番号内容
RFC 7296IKEv2(Internet Key Exchange v2)プロトコルの仕様
RFC 4555MOBIKE(IKEv2 Mobility and Multihoming)—回線切り替え時の接続維持
RFC 5246 / 8446TLS 1.2 / 1.3(SSTPトンネルの暗号化基盤)

関連用語

  • VPN — 仮想プライベートネットワーク。インターネット上に安全な専用通信路を作る技術
  • DirectAccess — Always On VPNの前身。常時接続VPNの先駆けだが現在は非推奨
  • IKEv2 — Always On VPNで最もよく使われるVPNプロトコル
  • ゼロトラスト — 「社内ネットワークも信用しない」を前提にしたセキュリティモデル
  • Microsoft Intune — Always On VPNのポリシーをクラウドから配布・管理するMDMツール
  • Split Tunneling — VPN経由の通信と直接インターネット通信を使い分ける技術