社員が外出先からノートPCで社内LANにアクセスし、イントラネットの情報を入手したり社内メールサーバにアクセスする。このような状況が広がってきたのは、ここ数年のことだ。

　ちょっと前までは、社外でインターネットを利用するのは大変に厳しかった。だが今は、街中のカフェや駅、ファーストフード店など、至る所に公衆無線LANサービスが提供されているし、ウィルコムのPHSデータ通信サービス「AIR-EDGE」や、下り最大7.2Mbps（理論値）と高速なイー・モバイルの「EMモバイルブロードバンド」もある。

　ようやく、時代はユビキタスに近づいてきた、という感がある。外出先からインターネットを使って社内LANにアクセスしたい、というニーズが高まってくるのも、当然の成り行きと言える。このようなリモートアクセスのニーズに応えるのも、VPNの重要な役割である。この技術として古くから使われているのが「PPTP(Point to Point Tunnering Protocol)」と「L2TP」だ。


　PPTPは96年にMicrosoftが中心となり、ルーセントテクノロジー、3Comと共同開発されたレイヤ2のトンネリングプロトコルだ。このプロトコルは、当初はWindows NT SeverとWindowsクライアントとを、「仮想トンネル」を使って安全に接続するために開発され、「RFC 2647」として標準化された。

　PPTPで通信するには、PPTPサーバ（PPTP Network Server：PNSと呼ばれる）とPPTPクライアント（PPTP Access Concentrator：PACと呼ばれる）機能が必要だ。PNSはWindows NT Server 4.0以降、PACはWindows 98以降に標準搭載され、実質的にWindows標準のVPN方式と言える。また、安価なブロードバンドルータにもPNSが実装されているものが多い。

　PPTPの基本は、ダイアルアップ接続で使われる「PPP（Point to Point Protocol）」をGRE（Generic Routing Encapsulation）というプロトコルを用いてカプセル化することにある。その仕組みは、前回解説した「IPsec」と比べて遙かにシンプルだ。

図1 Windowsから手軽に接続
PPTPは証明書のインストールなどを必要とせず、 Windows Vista/XPから簡単に接続できるのが特徴だ

　まず、PPTPサーバに対してクライアントが通信を行おうとすると、PNSに対して制御用コネクションが張られ、そのコネクションの中でPPPフレームをやりとりするためのPPTPトンネルを作成する。

図2 PPTPのトンネル生成のしくみ
最初に制御用のコネクションを貼り、そのプロセスの中で PPTPトンネルを作成する。認証とデータの暗号化は、 トンネルが作成されてからPPPで行われる

　トンネルが生成されると、それを使ってPPPセッションが開始される。ここから先は、通常のPPP、あるいはPPPoE接続と同じだ。PPPによるユーザ認証を行い、認証後にクライアントに対してIPアドレスの割り当てやデータ圧縮、暗号化の手順を経てIP通信が可能になる。暗号化については、MS-CHAP/MS-CHAPv2とMPPE（Microsoft Point-To-Point Encryption）が使われるのが通例だ。

　このように、共有鍵や暗号鍵で厳密に相互認証を行い、データ改ざんなどのチェックも行うIPsecに比べると、極めてシンプルで、実装も簡単だ。だが、トンネリングに対する認証の仕組みがないのでDoS攻撃などの対象になる可能性がある上、PPP認証のプロセス以前のプロセスは暗号化されておらず、少なくとも、ミッションクリティカルな用途には向いていない。