// シス担のミカタ
VPN

スプリットトンネリング すぷりっととんねりんぐ

VPNトンネリングルーティングトラフィック分割セキュリティポリシーリモートアクセス
スプリットトンネリングについて教えて

簡単に言うとこんな感じ!

VPNを使いながら、「会社のシステムへの通信だけVPN経由、YouTubeやGoogleは直接インターネットへ」と通信を仕分けする仕組みだよ!全部VPN経由だと混雑するから、必要なものだけトンネルを通す賢いやり方なんだ。

スプリットトンネリングとは

スプリットトンネリング(Split Tunneling)とは、VPN接続時に「VPN経由で送る通信」と「直接インターネットへ送る通信」を宛先に応じて振り分ける技術です。「スプリット(split)=分割」という名前のとおり、通信を目的別に分けることが核心です。

通常のVPN接続(フルトンネルとも呼ばれる)では、すべての通信がいったん会社のVPNゲートウェイを経由します。社内システムへのアクセスだけでなく、動画配信サービスや検索エンジンへの通信まで会社経由になるため、VPN回線が混雑したり、遅延が増えたりする問題がありました。スプリットトンネリングはこの課題を解決するために生まれた手法です。

一方で、インターネットへの通信がVPNを素通りするため、会社のファイアウォールやウイルス対策の外側でやりとりが発生するという側面もあります。利便性とセキュリティのトレードオフを理解した上で、ポリシーとして採用するかどうかを判断する必要があります。

通信の仕分けの仕組み

スプリットトンネリングでは、VPNクライアント(PC側のソフト)がパケットの宛先IPアドレスを見て、どちらの経路で送るかを判断します。

通信の種類経路
社内システム・業務SaaSVPNトンネル経由社内ファイルサーバー、社内Webシステム
一般インターネット直接インターネットYouTube、Google、Zoom
クラウドサービス(要設定)どちらも可能Microsoft 365、Salesforceなど

フルトンネル vs スプリットトンネリング

【フルトンネル(通常のVPN)】
  PC ──── すべての通信 ────▶ VPNゲートウェイ ──▶ 社内 or インターネット
                                  ↑ ここが混雑する

【スプリットトンネリング】
  PC ──── 社内向け通信 ─────▶ VPNトンネル ──▶ 社内システム
     └─── その他の通信 ─────▶ 直接インターネット

設定方式の種類

スプリットトンネリングには、どの通信をVPN経由にするかの設定方式が主に2つあります。

方式内容特徴
インクルードルート方式VPN経由にする宛先を明示的に指定するセキュアだが設定が増える
エクスクルードルート方式VPNを通さない宛先を除外リストで指定する設定が少ないが漏れリスクあり

歴史と背景

  • 1990年代後半〜2000年代初頭 — 企業が社員にVPNを配布し始めた時代。当初はブロードバンドが普及しておらず、すべての通信をVPN経由にすることが標準だった
  • 2010年代 — クラウドサービスの普及とともに、VPN経由のトラフィックが急増。社内のVPN装置がボトルネックになる問題が顕在化し、スプリットトンネリングが注目される
  • 2020年COVID-19によるリモートワーク急拡大で、VPNへのアクセスが一気に増加。多くの企業でVPN回線が逼迫し、スプリットトンネリングの導入が加速した
  • 2020年代〜現在 — Microsoft 365やZoomなど主要SaaSが「VPNバイパス(除外)を推奨」と明示するようになり、スプリットトンネリングの活用が業界標準的な考え方として定着しつつある

フルトンネルとの比較・構成イメージ

フルトンネル vs スプリットトンネリング フルトンネル PC VPN GW (混雑!) 社内システム インターネット (YouTube等) すべての通信がVPN経由 → 回線が混雑しやすい スプリットトンネリング PC VPN GW 社内システム インターネット (YouTube等) 社内向け → VPN その他 → 直接 必要な通信だけVPN経由 → 回線の効率がよい

セキュリティ上の注意点

スプリットトンネリングは利便性が高い反面、インターネット直接通信が会社のセキュリティ機器をバイパスするという点を理解しておく必要があります。

観点フルトンネルスプリットトンネリング
VPN回線の負荷高い(全トラフィックが集中)低い(業務通信のみ)
ユーザー体験(速度)遅くなりやすい速い
セキュリティ監視範囲すべての通信を監視できる社内向け通信のみ
マルウェア感染リスク低(会社のフィルタが機能)やや高い(直接通信は会社側でブロック不可)
導入・設定の手間シンプル宛先の管理が必要

実務上のポイント: Microsoft・Cisco・Zoomなどの主要ベンダーは、自社サービス向けの通信をVPNから除外(スプリット)するよう推奨しています。完全なスプリットトンネリングではなく、「信頼できるSaaSのみVPN除外」という中間的な運用が現実的です。

関連する規格・RFC

規格・RFC番号内容
RFC 2764IPトンネリングの一般的なフレームワーク(VPNの基礎)
RFC 3931L2TPv3(レイヤー2トンネリングプロトコル)
RFC 4364BGP/MPLS IP VPN(企業向けVPNの標準)

関連用語

  • VPN — 仮想プライベートネットワーク。インターネット上に暗号化された専用線を作る技術
  • フルトンネル — すべての通信をVPN経由で送る方式。スプリットトンネ