編集 NTT東日本編集部

新型コロナウイルス感染拡大や働き方改革の影響で、テレワークを始める企業が増えています。テレワークには自宅と社内ネットワークとの通信が必要です。通信にはインターネットを利用しますが、安全性に問題が残ります。

外部から社内ネットワークにアクセスする場合、安全性を高めるためにインターネットVPNが利用されます。そして、インターネットVPNにはVPNパススルーが欠かせません。

そこで、今回の記事ではVPNパススルーの必要性とプロトコルについて解説します。ITが苦手な方にも分かりやすい内容となっているので、ぜひ最後までお読みください。

１．VPN パススルーとは？必要性を解説

VPNパススルーとは、VPN接続でデータを送信するために必要な機能です。この章では、パススルーの役割と必要性を説明します。

1-1. VPNパススルーとは

VPNパススルーはインターネットVPNの過程で、外部へデータを送信するための機能です。VPNでは「カプセル化」によって安全な接続を確立します。インターネットでは、データを「パケット」と呼ばれる単位に分割して、情報を送受信します。「カプセル化」と 、データを安全に送信できる形にすることです。

カプセル化されたデータは本来のデータとは異なる形態になるため、内部ネットワークから外部へ送り出せません。そこで、VPNパススルー機能を通じて外部へデータを送信します。

なお、VPNのプロトコル（構築手順）ごとにカプセル化の方法は違うため、パススルー機能も異なります。そのため、利用するプロトコルに適したパススルーが必要です。VPN機器を導入する前に、どのパススルーが利用可能かを確認しましょう。

1-2. VPNパススルーの必要性

外部ネットワークと内部ネットワークの間には、NATと呼ばれる機構が置かれます。NATはIPアドレスに関わるため、インターネットの利用には欠かせません。

しかし、VPNのために変換されたデータはNATを通過できない場合があります。そのため、データがNATを透過する補助を行うパススルー機能が必要です。

２．VPNパススルー を経由した通信のプロセス

VPNパススルーは、データを外部ネットワークに送り出すための機能です。この章ではインターネットを経由した通信の過程で、パススルーが果たす役割を説明します。

2-1. IPアドレスを変換

IPアドレスとは、ネットワーク上での住所です。LAN（インターネットではない狭いエリアのネットワーク）やインターネットのなかで、各通信端末に割り当てられます。

LAN内では、接続している各端末にIPアドレスを割り振って端末を識別します。そこで割り振られるのが、プライベートIPアドレスです。一方、全世界に開かれたインターネット内で端末を識別するためのIPアドレスは「グローバルIPアドレス」と呼ばれます。

LANの出口となるルーターは、インターネットなどの外部ネットワーク内と接続します。そのため、それぞれのルーターにグローバルIPアドレスが割り当てられます。

LAN内の端末からインターネットへアクセスする際は、端末のプライベートIPアドレスをルーターに割り当てられたグローバルIPアドレスに変換する必要があります。このIPアドレスの変換を担うのがNAT/NAPTです。

NATはLAN内にある1つの端末のプライベートIPアドレスを、1つのグローバルIPアドレスに変換する技術です。一方、NAPTは複数のプライベートIPアドレスを1つのグローバルIPアドレスに変換します。

2-2. VPNパススルーでデータを通過させる

インターネットへデータを送信するためには、NATでIPアドレスを変換する必要があります。しかし、VPN用に変換されたデータはNATを通過できません。そこで、VPNパススルーを通して、カプセル化されたデータにNATを通過させます。

データ通信の規格の「OSI参照モデル」のうち、ネットワーク層まで暗号化するVPNではパススルーが必要です。具体的なVPNの方式には、IPsecやPPTPが挙げられます。一方、データリンク層まで暗号化するVPNではパススルー機能が必要ありません。

３．VPNマルチパススルーとは

VPNマルチパススルーは、パススルーを拡張した機能です。通常のVPNでは2拠点間を接続しますが、VPNコネクションは1つです。VPNマルチパススルーを用いることで、複数のVPNコネクションに参加し、それぞれに対しデータを送信できるようになります。

通常のVPNパススルーとの違いは、参加するVPNコネクションの数です。一般家庭では複数拠点とVPNを構築する例は少ないため、家庭用ルーターには搭載されていません。一方多くの支社を抱える企業では、マルチパススルーがなければ支社間のネットワークを構築できません。

４．VPNパススルーの設定方法を紹介

VPNパススルーはほとんどのルーターに装備されていますが、稀に工場出荷時にオフになっている場合があります。ここではルーター全般に共通する設定方法を紹介していますが、実際のVPNパススルーの設定方法はルーターによって異なるので注意しましょう。

パススルーの設定は、VPN対応のルーターの管理画面から行えます。まず、設定からセキュリティを開き、パススルーに関する画面を開きましょう。設定画面ではPPTPパススルーやIPsecパススルーなどプロトコルに応じたパススルーを選択できるので、自身の環境に応じたものを選択しましょう。プロトコルを選択し「完了」ボタンを押せば設定は終了です。

５．VPNパススルーのプロトコルごとに異なる5つの接続方式

VPNのプロトコルごとに 。この章では、代表的な5つのVPNプロトコルについて解説します。

5-1. PPTP

PPTPはPoint-to-Point Tunneling Protocolの略で、インターネット上の機器を「カプセル化」によって構築されるトンネル（通信経路）で接続するために用いるプロトコルです。2つの通信機器を結び付けるプロトコルのPPPと、GREによるカプセル化の手順を組み合わせたトンネリングの手法として開発されました。PPPは、IPv4として知られるPPPoEでも用いられます。

PPTP自体には暗号化の手順がないため、別途暗号化を施す必要があります。PPTPと一緒に使われる暗号化のプロトコルはRC4です。しかし、RC4の暗号化の強度は低く、安全性が低いです。そのため、RC4を併用する必要があるPPTPが使われる場面は少なくなっています。

5-2. SSTP

SSTPは、暗号化のプロトコルのSSL/TLSを用いるVPNの方式です。Microsoftが開発したプロトコルで、主にWindowsのコンピューターで利用されます。

オープンソースでないため他のOSとの互換性が低く、安定した通信が難しいプロトコルです。また、他のプロトコルに比べると通信速度が遅いというデメリットも抱えています。

• WindowsはMicrosoft Corporationの米国およびその他の国における商標または登録商標です。Windowsの正式名称はMicrosoft(R) Windows(R) Operating Systemです。

5-3. L2TP/IPsec

L2TP/IPsecはPPTPの課題だった暗号化の脆弱性を補ったプロトコルです。L2TPはトンネリングに使うプロトコルですが、L2TP自体には暗号化の手順がありません。そこで、IPsecを併用して暗号化を行い、VPNの安全性を高めています。

L2TP/IPsecは暗号化の強度が高く、多くの場面で用いられるプロトコルです。また、Windowsに標準で実装されているため、インターネットを経由したテレワークやモバイル端末の接続で活躍しています。

5-4. IKEv2

IKEv2はInternet Key Exchange Version2の略で、トンネリングの方法の1つです。IKEv2はVPN接続している端末を追従する機能が高く、Wi-Fi通信とモバイル通信が切り替えられてもスムーズに接続を維持できます。IKEv2はトンネリングの手法なので、暗号化にはIPssecが併用されます。

5-5. OpenVPN

OpenVPNは、オープンソースで開発されているVPNプロトコルです。オープンソースの開発では、一般にソースコードを公開し、有志によって開発が進められます。大人数の目に触れるため、プロトコルの内容は精査されており、安全性が高いのが特徴です。

しかし、サードパーティ製のアプリケーションが必要になる場合があり、機器によっては導入が難しいのがデメリットです。

６．VPNパススルーを経由しない閉域網の接続なら「フレッツ・VPNワイド」「フレッツ・VPNプライオ」

インターネットVPNではNATを経由するためVPNパススルーが必要ですが、閉域網のVPNならパススルーは不要です。NTT東日本が提供する「フレッツ・VPNワイド」「フレッツ・VPNプライオ」では、広範囲を接続する閉域網VPNを利用できます。

オプションでNTT西日本がカバーする範囲の拠点ともVPN接続可能です。また、モバイル接続サービスを提供しており、テレワークに利用できます。

「フレッツ・VPNプライオ」にはIPv6通信や、帯域優先機能が付属します。高速で安定的な通信を求める方におすすめです。

「フレッツ・VPNプライオ」の詳細はこちら

「フレッツ・VPNワイド」はリーズナブルにVPN環境を構築可能です。パブリッククラウドへの接続やモバイル接続サービスを利用し、テレワーク環境を実現します。

「フレッツ・VPNワイド」の詳細はこちら

７．「ギガらくVPN」ならVPNをお手軽に導入できます

VPNの導入を検討中の方にはNTT東日本の「ギガらくVPN」がおすすめです。「ギガらくVPN」では通信プロトコルにL2PT/IPsecを利用するため、安全な通信を行えます。

また、ギガらくVPNでは面倒な設定をヘルプデスクに委託し 導入を進められます。ITに不得手な方でも、安心してVPNを構築可能なサービスです。さらに、同じくNTT東日本が提供する「ギガらくWi-Fi」と一緒に導入すれば、通信状況を1つの画面で一元的に管理できます。

「ギガらくVPN」では動的グローバルIPアドレスを用いるため、拠点ごとに固定IPアドレスの取得が不要です。導入に専門的な知識が不要で、さまざまな方が利用できます。

テレワークのためにVPNの導入を計画している方は、NTT東日本へお気軽にご相談ください。

「ギガらくVPN」の詳細はこちら

「ギガらくWi-Fi」の詳細はこちら

８．まとめ

VPNパススルーは、カプセル化したデータをインターネットに送信するために利用します。VPNのプロトコルは複数あるため、プロトコルに対応したパススルーの設定が必要です。また、VPNパススルーを拡張して、複数のVPNとの接続に対応したのがVPNマルチパススルーです。

パススルー機能は工場出荷時にオンになっていますが、稀にオフになっている場合があります。VPN接続できない場合には、パススルーがオフになっていないか確認しましょう。

また、VPNパススルーはプロトコルごとに異なります。iOS10以降PPTPがサポートされていないように、通信機器やルーターによって利用可能なプロトコルが決められています。自身の環境に適したプロトコルを選び、プロトコルに対応したVPNパススルーを搭載しているか確認する必要があるでしょう。

関連サービス

資料ダウンロード

関連するコラム

• コラムをもっと読む