VPN スプリットトンネリング - 全通信を VPN に通す必要はない

VPN を使うと、すべてのインターネット通信が VPN サーバーを経由します。セキュリティの観点では理想的ですが、速度の低下や、ローカルネットワーク上のプリンターや NAS にアクセスできなくなるといった不便が生じます。

スプリットトンネリングは、この問題を解決する技術です。VPN を通す通信と通さない通信を選別し、セキュリティと利便性を両立させます。ただし、設定を誤ると「守っているつもりで守れていない」状態に陥るリスクもあります。

スプリットトンネリングの仕組み

通常の VPN 接続 (フルトンネル) では、デバイスのすべての通信がまず VPN サーバーに送られ、そこからインターネットに出ていきます。スプリットトンネリングでは、ルーティングテーブルを操作して、特定の通信だけを VPN トンネルに流し、残りは通常のインターネット接続を使います。

技術的には、VPN クライアントがデバイスのルーティングテーブルに 2 つの経路を設定します。VPN を通す宛先 (例: 社内ネットワークの IP 範囲 10.0.0.0/8) は VPN インターフェースへ、それ以外はデフォルトゲートウェイ (通常のルーター) へルーティングされます。

2 つの方式

  • インクルードスプリット (Include Split): 指定した通信だけを VPN に通す。それ以外は通常の接続を使う。「ホワイトリスト方式」とも呼ばれる
  • エクスクルードスプリット (Exclude Split): 指定した通信だけを VPN から除外する。それ以外は VPN を通す。「ブラックリスト方式」とも呼ばれる

セキュリティを重視するならエクスクルードスプリット (基本は VPN 経由、例外だけ除外) が推奨されます。利便性を重視するならインクルードスプリット (必要なものだけ VPN 経由) が適しています。

フルトンネルとスプリットトンネルの比較

項目 フルトンネル スプリットトンネル
通信経路 全通信が VPN 経由 選択した通信のみ VPN 経由
速度 全体的に低下 VPN 非経由の通信は高速を維持
セキュリティ 全通信が暗号化される VPN 非経由の通信は暗号化されない
ローカルアクセス 不可 (追加設定が必要) 可能
DNS リーク リスク低 リスク高 (設定次第)
VPN サーバー負荷 高い 低い (必要な通信のみ)

企業のリモートワーク環境では、フルトンネルを採用すると VPN サーバーに全社員の YouTube や SNS の通信まで集中し、帯域が逼迫します。スプリットトンネリングで社内システムへのアクセスだけを VPN 経由にすれば、VPN サーバーの負荷を 60〜80% 削減できるケースもあります。

セキュリティ上の注意点

スプリットトンネリングは利便性と引き換えにセキュリティリスクを生みます。以下の点を理解した上で使用してください。

DNS リークのリスク

VPN を通す通信の DNS クエリが、VPN トンネルの外側 (ISP の DNS サーバー) に漏れることがあります。これを DNS リークと呼びます。スプリットトンネリング環境では、VPN クライアントの DNS 設定が不適切だと、VPN 経由の通信先ドメインが ISP に筒抜けになります。

対策として、VPN クライアントの DNS を VPN プロバイダーの DNS サーバーに固定するか、DNS クエリだけは常に VPN トンネル経由にする設定を行います。

マルウェアの横移動

スプリットトンネリングでは、デバイスが VPN 経由の社内ネットワークと、VPN 非経由のインターネットの両方に同時接続します。デバイスがマルウェアに感染した場合、インターネット側から侵入したマルウェアが社内ネットワークに横移動 (ラテラルムーブメント) するリスクがあります。

IP アドレスの露出

VPN を通さない通信では、IP 確認さんで確認できる実際の IP アドレスがそのまま接続先に送信されます。プライバシー保護を目的に VPN を使っている場合、スプリットトンネリングで除外した通信からは本来の IP アドレスが漏れることを認識しておく必要があります。

使い分けの判断基準

スプリットトンネリングを使うべきかどうかは、利用目的によって異なります。

  • フルトンネルが適切な場面: 公衆 Wi-Fi での利用、プライバシー保護が最優先の場合、企業のセキュリティポリシーで義務付けられている場合
  • スプリットトンネルが適切な場面: リモートワークで社内システムと一般的な Web 閲覧を併用する場合、動画ストリーミングの速度を確保したい場合、ローカルネットワーク上のデバイス (プリンター、NAS) にアクセスしたい場合

VPN プロトコルの選択も速度に影響します。WireGuard のような高速プロトコルを使えば、フルトンネルでも速度低下を最小限に抑えられるため、スプリットトンネリングの必要性が下がる場合もあります。

VPN キルスイッチとの併用も検討してください。スプリットトンネリング環境でキルスイッチを有効にすると、VPN 接続が切れた際に VPN 経由に設定した通信だけがブロックされ、VPN 非経由の通信は影響を受けません。

まとめ - スプリットトンネリングは「理解して使う」技術

スプリットトンネリングは、VPN の速度低下と利便性の問題を解決する実用的な技術です。しかし、セキュリティの穴を自ら開ける行為でもあります。何を VPN に通し、何を除外するかの判断には、通信の機密性とリスクの理解が必要です。

判断に迷ったら、まずフルトンネルで運用し、速度やローカルアクセスに問題が出た場合にエクスクルードスプリットで最小限の除外を行うアプローチが安全です。

VPN の技術を深く理解したい方には、ネットワーク技術の専門書が参考になります。

この記事の関連用語

VPN 通信を暗号化するトンネル技術。スプリットトンネリングで経路を分割できる。 暗号化 VPN トンネル内の通信を保護する技術。トンネル外の通信は暗号化されない。 IP アドレス スプリットトンネリングでは、VPN 非経由の通信から実際の IP が露出する。