サイト間VPN さいとかんぶいぴーえぬ
簡単に言うとこんな感じ!
東京本社と大阪支社を「秘密のトンネル」でつなぐ仕組みだよ!インターネットを使いながら、外から覗かれない暗号化された専用ルートを作って、まるで同じ社内ネットワークにいるかのように通信できるんだ。
サイト間VPNとは
サイト間VPN(Site-to-Site VPN) とは、地理的に離れた複数のネットワーク拠点(サイト)どうしを、インターネット経由で安全に接続するための技術です。本社・支社・データセンターなど、組織内の異なるネットワークを一つの仮想的なプライベートネットワークとして扱えるようにする ことが目的です。
通常のインターネット通信はデータが丸見えになるリスクがありますが、サイト間VPNでは 暗号化されたトンネル をルーター同士の間に張ることで、第三者に内容を傍受されることなく通信できます。各拠点のユーザーは特別な操作なしに、自動的にこのトンネルを通じて通信できます。
「リモートアクセスVPN」がスマートフォンやPCなど 個人端末から接続する のに対し、サイト間VPNは 拠点(ネットワーク)同士をまるごとつなぐ 点が大きな違いです。社員が何人いても、拠点側のルーターが代表して接続を管理します。
仕組みと構造
サイト間VPNは、各拠点の VPNゲートウェイ(ルーター・ファイアウォール) が主役です。ゲートウェイ同士がインターネット上に暗号化トンネルを確立し、その中をデータが行き来します。
| 要素 | 役割 |
|---|---|
| VPNゲートウェイ | 各拠点のルーターやファイアウォール。トンネルの入口・出口 |
| トンネル | ゲートウェイ間に張られた暗号化された仮想通路 |
| 暗号化プロトコル | IPsec / SSL-TLSなどでデータを保護 |
| 認証 | 事前共有鍵(PSK)や証明書でゲートウェイが互いに確認 |
| ルーティング | トンネル内に静的ルートまたはBGP等で経路を設定 |
通信の流れ(イメージ)
[東京本社PC] → [東京VPNゲートウェイ]
↓ 暗号化してカプセル化
═══════════════════════ インターネット
↓ 復号して転送
[大阪VPNゲートウェイ] → [大阪支社サーバー]よく使われるプロトコル
| プロトコル | 特徴 |
|---|---|
| IPsec | 最も標準的。IKEv2で高速・安定。企業向けに広く採用 |
| SSL/TLS | ファイアウォールを越えやすい。OpenVPNなどで使用 |
| GRE over IPsec | ルーティングプロトコルをトンネル内で使いたい場合 |
| WireGuard | 新しく軽量・高速。クラウド環境での採用が増加中 |
歴史と背景
- 1990年代後半 — 専用線(MPLS回線など)が高コストなため、インターネットを安価な代替として使う需要が高まる
- 1998年 — IPsec(RFC 2401)が標準化。VPNの共通基盤が整備される
- 2000年代 — ブロードバンド普及とともに、中小企業でも拠点間VPNが現実的な選択肢に
- 2010年代 — UTM(統合脅威管理)やルーターにVPN機能が標準搭載され、導入ハードルが大幅低下
- 2020年代 — クラウドVPN(AWS Site-to-Site VPN、Azure VPN Gatewayなど)が台頭。オンプレミス拠点とクラウドをつなぐ用途でも主流に
リモートアクセスVPNとの比較
サイト間VPNとよく混同されるのが「リモートアクセスVPN」です。目的も対象も異なります。
クラウド時代のサイト間VPN
AWSやAzure、Google Cloudでは、クラウド上のVPC(仮想ネットワーク)とオンプレミス拠点をサイト間VPNで接続するサービスが提供されています。専用線(Direct Connect / ExpressRoute)より安価に始められるため、クラウド移行の第一歩 としてよく利用されます。
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 4301 | IPsecアーキテクチャの定義(Security Architecture for IP) |
| RFC 7296 | IKEv2(鍵交換プロトコル)の定義 |
| RFC 2784 | GRE(Generic Routing Encapsulation)の定義 |
| RFC 4364 | BGP/MPLS IP VPNの定義(キャリアVPN向け) |