VPN接続の概略図 Virtual private network (バーチャルプライベートネットワーク、略称:VPN )、仮想プライベートネットワーク は、大規模ネットワーク のスケールメリットと管理設備を利用するために、パブリックネットワーク内に構成されるプライベートネットワーク である[ 1] インターネット (本来は公衆網である)に跨って、プライベートネットワーク を拡張する技術、およびそのネットワークでもある。仮想専用線 [ 2] [ 3] イントラネット などの私的ネットワークが、本来公的なネットワークであるインターネットに跨って、まるで各プライベートネットワーク間が専用線 で接続されているかのような、機能的、セキュリティ的(盗聴 ・改ざん ・なりすまし の防止)、管理上のポリシーの恩恵などが、管理者や利用者に対し実現される。
VPNは2つの拠点間に、仮想的に「直接的な接続」を構築することで実現できる。専用線ではなくインターネットを経由しながら機密性を保つため、IPベースの通信の上に、専用の接続方法や暗号化 を乗せている。VPNは以下のIP-VPNとインターネットVPNの2つに大別される。
IP-VPN は、広がりの小さい多数の加入者で帯域共用する閉域網を利用し、そのような接続を実現する技術、もしくは電気通信事業者 のサービス。PPVPN(Provider Provisioned Virtual Private Networks)と呼ぶこともある。
インターネットVPN は、IP-VPN網とは違い、誰でもアクセスできるインターネット網で仮想専用線通信をする技術である。さらにインターネットVPNは、「サイト間VPN」と「リモートアクセスVPN(クライアントVPNともいう)」に大別される。
VPNは、インターネットや多人数が利用する閉域網を介して、暗号化やトラフィック制御技術により、プライベートネットワーク間が、あたかも専用線接続されているかのような[ 注 1]
VPNは必ずしも暗号化を目的としていない。VPNで利用されるプロトコル には、SSH /TLS (SSL)/IPsec /PPTP /L2TP /L2F /MPLS などの種類があり、利用するプロトコルやオプションによって提供される機能は異なる。
またもともとは、グローバルなインターネットを介するものであったが、近年の電気通信インフラの形態の傾向などから、IP網 (特にIPv6 網のことが多い)ではあるが、通信キャリア の閉域網内から外に出ないで実現されているVPNも運用されるようになってきている。
またトンネリングの形態として、IPパケットを融通する、いわゆる「レイヤ3」で実現する方法と、イーサネット のフレーム 等を融通する、いわゆる「レイヤ2」で実現する方法がある。またそれぞれで、接続の両端点となっている両拠点のそれぞれのノードが「同一のノードに見える」のか、別のノードになるのか、といった違いがある。
レイヤ3かレイヤ2かの違いは、それぞれで可能なことと不可能なことがあり、運用上の要件などから、どちらを採用するか決定する。
IPsecやPPTP、SoftEther などを利用することで、インターネットを介した複数の拠点間で暗号 化データをカプセリング・トンネリング し通信を行い、通信データの改竄・窃用[ 注 2]
LAN型VPN - 複数の拠点のLAN(ローカルエリアネットワーク)を、インターネットを介して仮想的に接続し、あたかも1つのLANのように扱えるようにする方法。サイト間VPN、site-to-site VPNともいう。リモートアクセスVPN - 個々のノートPCやスマートフォンなどにインストールしたVPNクライアントソフト(VPNサービスプロバイダ)を利用し、拠点のLANに接続する。リモートワーク ・テレワークや、システム管理者や保守スタッフの保守作業に用いられる。インターネットVPNで使われる主な接続方法は、通信のルールを定めたプロトコルによって分類され、代表的なものにIPsec -VPNTLS/SSL -VPN
IPsec -VPNIPsec 」を利用したVPN。認証機能を提供するAHや、暗号化と認証の両方を提供するESPといったプロトコルを使い分け、IKE によって暗号鍵 の交換を自動で行うことで安全な通信路を確立する。通信モードの一つであるトンネルモードでは、元のIPヘッダーを含めたパケット全体を暗号化し、新たなIPヘッダーを付与してカプセル化するため、主に拠点間接続で利用される。後述のTLS/SSL-VPNと違って、ファイアウォール の設定が必要な場合が多い。TLS/SSL -VPNTLS/SSL 」を利用したVPN。専用クライアントソフトが不要な場合が多く、標準ポート(443/tcp)を使用するためファイアウォール を通過しやすく、特別な設定が不要という便利さを持つ。Webアプリケーションへのアクセスを中継するリバースプロキシ方式 のほか、より多様な通信を可能にするためデータリンク層(L2)のフレームを転送するL2フォワーディング方式などがある。一方、2024~2025年にSSL-VPNの脆弱性が多く見つかったこと、TLSなどのプロトコルスタックが複雑で不具合を誘発しやすいこと、これらの脆弱性によりランサムウェア 攻撃の標的にされやすいことなどを受け、フォーティネットはIPsec-VPNへの移行を推奨している[ 4] L2TP/IPsec :L2TP というプロトコルを、暗号化に強いIPsecと組み合わせて安全性を高めたもの方式。PAP やCHAP による接続時の利用者認証を行う。多くのOSでサポートされており。リモートアクセスVPNによく使用される。OpenVPN : オープンソースで開発されているVPNプロトコル。安全性が高く、柔軟な設定が可能ですが、利用するには専用のソフトウェアが必要。PPTP : 古くからあるプロトコルで、多くのOSで標準サポートされているが、現在ではセキュリティの脆弱性が指摘されており、利用は推奨されていない。通信回線のコストを抑えることが可能。インターネット接続さえあればVPNを終端できる装置やソフトウェアを導入することで、インターネットサービスプロバイダ (ISP)など電気通信事業者から提供される閉域網を介さず、自前でVPN網を構築することも可能である。 リモート型VPNの場合、出先からでもダイヤルアップ接続 や公衆無線LAN など何らかの形でインターネットへのアクセスが可能であれば、拠点のLANへアクセスすることが可能となる。 クライアント のアクセス数の増減で機器のパフォーマンスが求められるため、利用スケールにあわせた機器の選択が重要である。実効通信速度や安定性は、利用しているインターネット網に依存するため場合によっては不安定となる。 暗号化を施しているとは言え、グローバルなインターネット経由である為、SSLなどの暗号の強度を除いて通信の安全性を担保するものがない。 エントリーVPNは、拠点から通信事業者のネットワークに接続するまでの「アクセス回線」に、光回線(フレッツなど)のような安価なブロードバンド回線を利用し、その先の事業者ネットワーク内では、インターネットとは完全に切り離された閉域網を使って拠点間を接続する(IP-VPNなどと同じ)。ほかの専用の閉域網によるVPNとは違い、アクセス回線はインターネット回線を使うのが特徴である。
主に中小企業 やSOHO 向けに提供されるもので、手軽に導入できるよう、必要な機器のレンタルや設定サポートがパッケージ化されているのが特徴である。多くの場合、機能や同時に接続できる拠点数、通信帯域などが制限されている代わりに、低コストで利用できる。
通信事業者が提供する閉域IP網 を利用したVPN。ISP の閉域網(=外部公開されていない通信網)を利用することでの安全性は確保される。
IP-VPN網中のルータをプロバイダルーター(PR) 、通信事業者側に設置されるルータをプロバイダエッジルータ(PER) 、利用者側に設置されるルータをカスタマエッジルータ(CER) と呼ばれる。網内ではMPLS
通信事業者の閉域網内で通信が完結するため、通信速度や信頼性といった品質が保証される利点がある。VPNに関しての機器の導入・管理をユーザ側で行う必要が無いため、導入や運用保守が容易な点も、IP-VPNの特徴の一つである。利用する際は、BGP 対応のルータ が推奨されるが、インターフェースさえ合わせればユーザの好みでルータを選択できる。一方、費用が比較的高額になるという欠点を持つ。また、IP以外のプロトコルの伝送が原則行えないといった特徴もある。
広域イーサネット はイーサネット (レイヤ2)通信が提供されており、利用するプロトコルがIP(レイヤ3)に依存しないため、LANと同じ感覚で利用可能である。拠点間接続VPNともいわれる。
これと比較して、レイヤ3パケットのトンネリング通信のみをサポートするVPN技術(IPsecやGRE等)を用いたVPNの場合は、あらかじめ利用するサービスやプロトコルを考慮しながらネットワークの構築が行われ、構築後のサービスやプロトコルの変更では、VPN機器の変更が必要となる。
レイヤ2(イーサネット)パケットのトンネリング通信やブリッジ接続 などをサポートしているVPN技術を用いることにより、前述した広域イーサネットのメリットと同等のことを実現でき、インターネットVPNを用いて安価に構築することができる。代表例としてトンネルモードで運用するIPsec -VPN[ 5]
特に、仮想LANカード と仮想ハブ および既存の物理的なLANをVPNプロトコルで接続し、その上でブリッジ接続 する手法により、広域イーサネットと同様に、既存のスイッチングハブ やレイヤ3スイッチ が使用されているLAN同士をVPN接続することができる。遠隔地の拠点間でVoIP やテレビ会議システム などを利用する場合も、同一のイーサネットセグメント上にある機器とみなすことができるので、より容易・確実に利用可能となるメリットがある。
さらに、LANに対してイーサネットのレイヤでリモートアクセスすることが可能になる。
専用通信回線は導入コスト及びランニングコストが高価であるが、接続性及び帯域がSLA によって保証されており、安定性を考えると専用線を選択する企業も多い。専用線ではアクセス回線に合わせ、ルータのインターフェースを選択するだけで対向間の接続が可能であるが、インターネットVPNの場合は、VPN対応のルータ及び専用機、専用クライアントソフトが必要である。
管理や運用保守に関してはVPNが不利であるが、回線コスト(ランニングコスト)や自由度でVPNが圧倒的に勝っているため、現在専用線からの移行(リプレース)が多く行われている。
トランスポートモードではデータ の暗号化を、クライアントが直接行う。すべての通信でデータは暗号化されているが、IPヘッダ の暗号化は行われない。
すべてのクライアントにVPNソフトウェアをインストールする必要があるが、モバイル端末からのアクセスなどには利用しやすい。
トンネルモードでは、暗号化処理を専用のゲートウェイ (VPNゲートウェイ)で行う。クライアントは、暗号化されていないデータに受信クライアントあてのIPヘッダを付与し、VPNゲートウェイへ送信する。VPNゲートウェイ間の通信では、データ及び受信クライアントあてのIPヘッダはカプセル化され、受信側VPNゲートウェイへのIPヘッダを付与して通信するため、拠点間通信でのIPヘッダの安全性を確保することができる。
拠点間通信でのみ利用可能となり、また、ローカルネットワーク内の通信は暗号化されない。
トンネリング・プロトコルはPPP トポロジー に使用される。このトポロジーは一般にVPNと考えられてはいない。なぜなら、VPNはネットワークノードの任意なそして変化する集合をサポートすることが期待されているからである。ほとんどのルーターの実装がソフトウェアで定義されたトンネル・インターフェイスをサポートするので、顧客によって構築されたVPNは多くの場合単なるトンネルの集合によって構成され、従来のルーティングプロトコル はこれらのトンネルを通って走ることとなる。PPVPN はしかしながら複数のVPNの共存をサポートする必要がある。これらのVPNは同じサービスプロバイダ によって運用されるが、お互いから隔離されている。
IETF が分類するVPNは様々なものがあるが、中にはVLAN のように、例えばIEEE 802 委員会、すなわちワークグループ802.1(アーキテクチャ)といった他の機構の標準化責任のものもある。当初は、Telecommunication Service Provider(TSP)が提供しているWANリンクが単一企業内のネットワークノード同士を相互に接続していた。LANの出現と同時に、企業が認めた連絡線を用いたネットワークノード同士が相互接続できるようになった。初期のWANは専用線 やフレームリレー といったレイヤー2多重化サービス、ARPANET 、インターネット などのIPベースの第3層ネットワーク[ 6] NIPRNet 、SIPRNet 、JWICS 他)を利用しているうちに一般的な相互接続メディアとなった。VPNはIPネットワーク 上で定義され始めた。ノード間を相互接続するためには、管理の技術よりむしろ関係に基づいて様々なVPNを真っ先に見分けることが有用であった。いったん関係が定義されれば、違った技術がセキュリティやサービスの質といった要求に応じて用いられることがあった。
この関係に基づく接続において、長らく主流であったのが、VPN等で構築された境界の内側にあれば管理権限が及ぶ信頼された領域とみなす「境界型防御」である。しかし、ITインフラのクラウド化・分散化により、物理的な接続位置やネットワークの内側という立場だけでは、もはや正当な管理権限を保証し得ない状況が生じている。それゆえ、接続経路という既成の関係性に依存せず、リソースへのアクセスごとにその都度厳格に権限を検証するゼロトラスト・セキュリティモデル への移行が進んでいる。
以下はノーログポリシーを掲げ強固なセキュリティを提供するが、サービス継続には利用者の道徳 的な利用が求められる。
VPNの規格のうちの一つのIPsec は、ハッキングするツールがNSA によって開発されている[ 10]
^ Stallings, William (2016). Foundations of modern networking : SDN, NFV, QoE, IoT, and Cloud ISBN 978-0-13-417547-8 . OCLC 927715441 . https://www.worldcat.org/oclc/927715441 ^ 小項目事典,知恵蔵mini,ASCII.jpデジタル用語辞典,日本大百科全書(ニッポニカ),IT用語がわかる辞典,パソコンで困ったときに開く本,デジタル大辞泉,情報セキュリティ用語辞典, ブリタニカ国際大百科事典. “VPNとは ”. コトバンク . 2021年12月18日閲覧。 ^ Inc, Nikkei (2025年10月7日). “VPN(仮想私設通信網)とは 最新ニュース ”. 日本経済新聞 . 2025年10月8日閲覧。 ^ 日経クロステック(xTECH) (2025年10月27日). “フォーティネットSSL-VPNからの移行の選択肢は3つ、接続性やコストに注意 | 日経クロステック(xTECH) ”. xtech.nikkei.com . 2026年2月16日閲覧。 ^ Trend, I. T.. “IPsec-VPNとは?SSL-VPNとの違いもわかりやすく徹底解説 ”. ITトレンド . 2025年10月8日閲覧。 ^ IPベースVPN、RFC 2764 ^ “Mozilla VPN: Protect Your Entire Device ”. Mozilla Foundation . 2020年7月24日時点のオリジナル よりアーカイブ。2020年7月26日閲覧。 ^ “ProtonVPN: Secure and Free VPN service for protecting your privacy ” (英語). ProtonVPN . 2020年5月16日閲覧。 “No-log policyProtonVPN is a no logs VPN service. We do not track or record your internet activity, and therefore, we are unable to disclose this information to third parties.” ^ “VPN - riseup.net ” (英語). riseup.net . 2020年5月20日閲覧。 ^ “NSA IPSec IKE Vulnerability BENIGNCERTAIN analysis and example - osi.security ”. 2025年8月27日閲覧。 
