VPN スプリットトンネリング
VPN スプリットトンネリング とは何ですか?
VPN スプリットトンネリング選択した通信(企業のサブネットなど)のみを暗号化トンネル経由とし、それ以外の通信は直接インターネットへ出す VPN の設定。
スプリットトンネリングは VPN クライアント(OpenVPN、WireGuard、IKEv2、Cisco AnyConnect、Windows Always On VPN、ZTNA エージェントなど)で設定し、特定の宛先(通常は内部 IP 範囲、DNS サフィックス、アプリケーション)だけを暗号化トンネルで運び、それ以外はローカルのインターネット回線へ流します。利点は、VPN コンセントレータの負荷軽減、SaaS への低遅延、クラウドサービスでの二重 NAT 回避です。一方で欠点も大きく、端末は同時に信頼ネットワークと公衆インターネットに接続しているため、セキュリティ境界が弱まり、DLP やインスペクションが難しくなり、ローカルリゾルバ経由で DNS が漏れる可能性もあります。現代の設計では、管理端末をフルトンネルにし、ZTNA をアプリ単位で適用し、社内リゾルバへの安全な DNS と全端末への EDR 配備で補完します。
● 例
- 01
WireGuard クライアントが 10.0.0.0/8 のみ社内トンネル経由とし、Zoom のトラフィックは直接インターネットへ送る。
- 02
Microsoft 365 のスプリットトンネルガイドが、最適化された Exchange、SharePoint、Teams のエンドポイントを社内 VPN から除外する。
● よくある質問
VPN スプリットトンネリング とは何ですか?
選択した通信(企業のサブネットなど)のみを暗号化トンネル経由とし、それ以外の通信は直接インターネットへ出す VPN の設定。 サイバーセキュリティの ネットワークセキュリティ カテゴリに属します。
VPN スプリットトンネリング とはどういう意味ですか?
選択した通信(企業のサブネットなど)のみを暗号化トンネル経由とし、それ以外の通信は直接インターネットへ出す VPN の設定。
VPN スプリットトンネリング はどのように機能しますか?
スプリットトンネリングは VPN クライアント(OpenVPN、WireGuard、IKEv2、Cisco AnyConnect、Windows Always On VPN、ZTNA エージェントなど)で設定し、特定の宛先(通常は内部 IP 範囲、DNS サフィックス、アプリケーション)だけを暗号化トンネルで運び、それ以外はローカルのインターネット回線へ流します。利点は、VPN コンセントレータの負荷軽減、SaaS への低遅延、クラウドサービスでの二重 NAT 回避です。一方で欠点も大きく、端末は同時に信頼ネットワークと公衆インターネットに接続しているため、セキュリティ境界が弱まり、DLP やインスペクションが難しくなり、ローカルリゾルバ経由で DNS が漏れる可能性もあります。現代の設計では、管理端末をフルトンネルにし、ZTNA をアプリ単位で適用し、社内リゾルバへの安全な DNS と全端末への EDR 配備で補完します。
VPN スプリットトンネリング からどのように防御しますか?
VPN スプリットトンネリング に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
VPN スプリットトンネリング の別名は何ですか?
一般的な別名: Split Tunnel, 選択的 VPN ルーティング。
● 関連用語
- network-security№ 1213
VPN キルスイッチ
VPN トンネルが切断された瞬間にホストのすべての通信を自動遮断し、暗号化されていない経路への意図しないリークを防ぐ仕組み。
- network-security№ 042
Always-On VPN
ネットワークが利用可能になり次第 VPN トンネルを自動確立し、トンネル外通信を拒否する端末レベルのポリシー。Windows、Apple、Android のプロファイルで強制される。
- privacy№ 339
DNS リーク
DNS クエリが VPN や Tor のトンネルを迂回し、ユーザーの ISP や既定リゾルバへ平文で送信されてしまうプライバシー上の不具合。
- network-security№ 556
IPsec
IP パケットを認証・暗号化することでネットワーク層に安全な通信を提供する、IETF 定義のプロトコル群。
- network-security№ 1244
WireGuard
最新の暗号プリミティブを固定的に採用し、Linux カーネルの一部として動作するシンプルでモダンな VPN プロトコル。