← サイバーセキュリティ 一覧

🎓 レベル：標準　|　重要度：B（推奨） 📎 前提：TLSと安全な通信

要点（BLUF）

• VPN は信頼できない回線（インターネット）の上に暗号化トンネルを張り、その中の通信を盗聴・改ざんから守る仕組み。
• 暗号の道具（暗号の基礎 目次）を使い、機密性・完全性・端点の真正性を確保する。代表は IPsec と TLS ベース。
• VPN は「通信路の暗号化」であって万能ではない。ゼロトラスト時代は「VPN で入れば中は自由」を避け、内部でも継続検証する。

概念：信頼できない道に専用トンネルを通す

インターネットは誰が覗いているか分からない公共の道です。そこを安全に通るために、両端で暗号化し、中身を読めない・書き換えられないトンネルを作るのが VPN です。トンネルの中では、あたかも専用線や同一ネットワークにいるかのように通信できます。

守るのは主に2つの場面です。

• リモートアクセス VPN：在宅端末から社内へ安全に接続する。
• サイト間 VPN：拠点同士を暗号トンネルで結ぶ。

仕組み：トンネリングと2つの方式

VPN は元のパケットを暗号化し、別のパケットに**包んで（カプセル化して）**送ります。受信側で取り出して復号します。これがトンネリングです。

暗号の中身は第2章そのものです。鍵交換で前方秘匿性のあるセッション鍵を作り（公開鍵暗号）、本文は AEAD で暗号化（対称鍵暗号とハッシュ）、端点は証明書で確認（デジタル署名と証明書（PKI））。TLS の仕組み（TLSと安全な通信）を通信路全体に広げたものと捉えると理解しやすい。

flowchart LR
    A["拠点A・在宅端末"] -->|"平文"| GA["VPN端点A"]
    GA -->|"暗号化トンネル（盗聴・改ざん不可）"| GB["VPN端点B"]
    GB -->|"平文"| B["拠点B・社内"]
    EVE["回線上の盗聴者"] -. "暗号文しか見えない" .-> GB

防御側の使い方／設定

• 強い暗号方式と前方秘匿性：古い・弱い方式を無効化し、最新の推奨設定に従う（要最新確認）。
• 端点の認証を厳格に：証明書ベースの相互認証＋MFA（認証の基礎（パスワード保存とMFA））。共有秘密だけに頼らない。
• スプリットトンネルの設計：全通信を VPN に通すか、一部だけか。可視性と性能のトレードオフを意識。
• VPN を「境界の唯一の鍵」にしない：VPN 接続後も内部で最小権限・継続検証（ゼロトラスト＝アクセス制御モデルとゼロトラスト）。
• 端点の脆弱性管理：VPN 装置自体の脆弱性は侵入口になりやすい。更新と監視を怠らない（要最新確認）。

なぜ安全か：暗号が公共回線を専用線に変える

VPN が効くのは、端から端まで暗号化されているため、途中の回線を誰が覗いても暗号文しか見えないからです。鍵交換の前方秘匿性により、将来鍵が漏れても過去の通信は守られます（TLSと安全な通信）。端点認証により、偽のトンネル相手（中間者）も排除できます。つまり「信頼できない道を、暗号で信頼できる専用トンネルに変える」のが本質です。

仕組みの直観

VPN は現金輸送車です。普通の公道（インターネット）を走りますが、中身は装甲（暗号）で守られ、外からは見えず奪えません。出発地と到着地でだけ扉が開きます。ただし「輸送車で本社の駐車場に入れたら、社内のどこでも入り放題」にしてはいけません。建物内でも各部屋で本人確認するのがゼロトラストの発想です。

⚠️ よくある誤解・設定ミス

• 「VPN に入れば中は信頼してよい」：境界型の思い込み。内部でも最小権限・継続検証を。
• 古い暗号方式・弱い事前共有鍵：解読・なりすましの足場。強い方式と証明書認証へ。
• VPN 装置の更新放置：装置自体の脆弱性が侵入口になる。パッチ適用を継続。
• 「VPN＝匿名化」と混同：VPN は通信路の暗号化であり、端点では誰かが復号して見ている。匿名性の保証ではない。
• 全社員に広い到達範囲を与える：VPN 越しでもセグメンテーション（ファイアウォールとセグメンテーション）で絞る。

対応 lab

VPN は実機・回線が前提のため lab は置きません。暗号トンネルの構成要素（鍵交換・AEAD・証明書）は第2章 security-study/labs/ の各デモで個別に確認できます。

関連

• 暗号トンネルの土台 → TLSと安全な通信
• 接続後の制御 → アクセス制御モデルとゼロトラスト・ファイアウォールとセグメンテーション
• 全体設計への組み込み → ネットワーク防御の設計