仮想プライベート ネットワークを探索する

  • 4 分

VPN は、インターネットなどのパブリック ネットワークを介して、プライベート ネットワークのコンポーネント間のポイントツーポイント接続を提供します。 トンネリング プロトコルを使用すると、VPN クライアントは VPN サーバーのリッスンしている仮想ポートへの接続を確立して維持できます。 ポイントツーポイント リンクをエミュレートするために、データはカプセル化またはラップされ、ヘッダーがプレフィックスとして付けられます。 このヘッダーは、データがパブリック ネットワークを通過してそのエンドポイントに到達できるようにするルーティング情報を提供します。

VPN 内のさまざまなオブジェクトの関係を示す図。

プライベート リンクをエミュレートするために、機密性を確保するためにデータが暗号化されます。 パブリック ネットワークでインターセプトされたパケットは、暗号化キーなしで解読できます。 次の 2 種類の VPN 接続が存在します。

  • リモート アクセス。 リモート アクセス VPN 接続を使用すると、自宅、顧客サイト、またはパブリック ワイヤレス アクセス ポイントから作業しているユーザーは、organizationのプライベート ネットワークに存在するサーバーにアクセスできます。 これを行うには、インターネットなどのパブリック ネットワークが提供するインフラストラクチャを使用します。 ユーザーの観点から見ると、VPN は、コンピューター、VPN クライアント、およびorganizationのサーバー間のポイントツーポイント接続です。 共有ネットワークまたはパブリック ネットワークの正確なインフラストラクチャは関係ありません。これは、データが専用のプライベート リンク経由で送信されるかのように論理的に表示されるためです。
  • サイト間。 サイト間 VPN 接続 (ルーター間 VPN 接続とも呼ばれます) を使用すると、organizationは、セキュリティで保護された通信を維持しながら、別のオフィス間、またはパブリック ネットワーク経由で他の組織との間で接続をルーティングできます。

VPN 接続のプロパティ

Windows の VPN 接続では、次のものを使用できます。

  • ポイントツーポイント トンネリング プロトコル (PPTP)
  • IPsec を使用したレイヤー 2 トンネリング プロトコル (L2TP/IPsec)
  • Secure Socket Tunneling Protocol (SSTP)
  • Internet Key Exchange バージョン 2 (IKEv2)

注:

IKEv2 VPN は、クライアントが 1 つのワイヤレス ホットスポットから別のワイヤレス ホットスポットに移動するか、ワイヤレスから有線接続に切り替えたときに、VPN クライアントに回復性を提供します。 この機能は、VPN 再接続の要件です。

トンネリング プロトコルに関係なく、すべての VPN 接続は、いくつかの一般的な特性を共有します。

  • カプセル化。 VPN テクノロジでは、プライベート データはルーティング情報を含むヘッダーでカプセル化され、転送ネットワークを通過できます。
  • 認証。 認証により、2 人の通信側が通信相手を確実に把握できます。
  • データ暗号化。 データが共有または公共交通機関のネットワークを通過するときにデータの機密性を確保するために、送信者はデータを暗号化し、受信側が暗号化を解除します。 暗号化と暗号化解除のプロセスは、共通暗号化キーを使用する送信者と受信側の両方によって異なります。 トランジット ネットワーク内の VPN 接続に沿って送信されたインターセプトされたパケットは、共通の暗号化キーを持たないすべてのユーザーには理解できません。

条件付きアクセス フレームワーク

VPN をMicrosoft Entra条件付きアクセス フレームワークと統合することで、リモート アクセス接続のセキュリティを強化できます。 条件付きアクセス フレームワークは、Microsoft Intuneなどのモバイル デバイス管理 (MDM) ソリューションと組み合わせて、企業ネットワークや Microsoft Online へのアクセスを許可する前にデバイスのコンプライアンスを確認できる、Microsoft Entra ID ベースのポリシー エンジンです。

条件付きアクセス ポリシーは、ユーザー、デバイス、場所などのシグナルを分析して意思決定を自動化し、リソースに対して組織のアクセス ポリシーを適用します。 条件付きアクセス ポリシーを使用すると、アクセスをブロックしたり、多要素認証を要求したり、必要に応じてユーザーのセッションを制限したり、必要に応じてユーザーの邪魔にならないようなセキュリティ制御を管理する条件を構築できます。

条件付きアクセス ポリシーは、簡単に言えば、if-then ステートメントです。 (if) ユーザーがあるリソースへのアクセスを求める場合、(then) あるアクションを完了する必要があります。 例: 給与管理者は、会社の給与計算アプリケーションにアクセスする必要があり、それにアクセスするには多要素認証を完了する必要があります。

ポリシー決定を行うときに条件付きアクセスが考慮できる一般的なシグナルには、次のシグナルが含まれます。

  • ユーザーまたはグループのメンバーシップ。 ポリシーは、管理者がアクセスをきめ細かく制御できるように、特定のユーザーとグループを対象にすることができます。
  • IP の場所に関する情報。 組織は、ポリシーの決定を行うときに使用できる信頼できる IP アドレス範囲を作成できます。 管理者は、国や地域全体の IP 範囲を指定して、トラフィックをブロックまたは許可できます。
  • デバイス。 特定のプラットフォームのデバイスを持つユーザー、または特定の状態でマークされたユーザーは、条件付きアクセス ポリシーを適用するときに使用できます。
  • アプリケーション。 特定のアプリケーションにアクセスしようとしているユーザーは、さまざまな条件付きアクセス ポリシーをトリガーできます。
  • リアルタイムで計算されたリスク検出。 Microsoft Entra ID 保護との統合を通知すると、条件付きアクセス ポリシーで危険なサインイン動作を識別できます。 その後、ポリシーを使用して、ユーザーにパスワードの変更や多要素認証によるリスク レベルの低減を強制したり、管理者が手動による操作を行うまでアクセスをブロックしたりできます。
  • Microsoft Defender for Cloud Apps ユーザー アプリケーションのアクセスとセッションをリアルタイムで監視および制御し、クラウド環境内で実行されるアクティビティへのアクセスとアクティビティに対する可視性と制御を高めます。

多くの組織では、次のような条件付きアクセス ポリシーが役立つ一般的なアクセスの懸念があります。

  • 管理ロールを持つユーザーに多要素認証を要求する。
  • Azure 管理タスクに多要素認証を要求する。
  • レガシ認証プロトコルを使用しようとしているユーザーのサインインをブロックする。
  • 多要素認証の登録に信頼できる場所Microsoft Entra要求する。
  • 特定の場所からのアクセスをブロックまたは許可する。
  • 危険なサインイン動作をブロックする。
  • 特定のアプリケーションにorganizationマネージド デバイスを要求する。

Windows 情報保護

もう 1 つのセキュリティ関連機能は、VPN クライアントと Windows Information Protectionの統合です。 Windows Information Protection は、さまざまなテクノロジ (BitLocker ドライブ暗号化、AppLocker、Microsoft Azure Rights Management など) を使用して、企業データを漏洩や不正使用から保護する機能です。 保護されたアプリを指定し、目的の保護レベルをデータに適用するために使用するポリシーを作成して展開するには、Microsoft Intune、Microsoft Endpoint Configuration Manager、または別のサードパーティ MDM ソリューションに依存しています。

新しい VPNv2 構成サービス プロバイダーを使用すると、MDM ソリューションを使用してマネージド デバイス上の VPN プロファイルを構成できます。 Microsoft Intuneの場合は、VPN プラグインの組み込みサポートを含む定義済みのポリシー テンプレートにアクセスできます。

VPN プロファイルを使用して構成できる追加のリモート アクセスの使いやすさの向上は、次のとおりです。

  • Always On。 この機能は、ユーザーのサインインまたはネットワークの変更後に自動接続をトリガーします。

  • アプリによってトリガーされる VPN。 この機能は、ユニバーサル Windows プラットフォーム パッケージ ファミリ名またはファイル パスに基づいて、指定したアプリケーションの起動後に自動接続をトリガーします。

    注:

    この機能は、ワークグループ コンピューターとドメイン参加済みコンピューターの両方で使用できます。Windows 8.1とは異なり、ワークグループ コンピューターのみに制限されています。

  • トラフィック フィルター。 この機能を使用すると、企業ネットワークに到達できるネットワーク トラフィックの種類を制御できます。 これを実現するには、アプリベースまたはトラフィックベースのルールを定義します。 アプリベースのルールでは、許可されるアプリケーションの一覧を指定します。 トラフィック ベースのルールの定義は、送信元と宛先の IP アドレス、送信元と宛先のポート、およびネットワーク プロトコルを考慮した 5 タプル ポリシーで構成されます。

  • LockDown VPN。 この機能により、接続に影響を与える多数の VPN デバイス設定が適用されます。 たとえば、ユーザーが VPN プロファイルを変更したり、アクティブな VPN 接続を切断したりできないようにすることができます。 VPN 接続が利用できない場合は、強制トンネリングを実装し、送信トラフィックをブロックすることもできます。