閉域網とは何か？VPN・専用線との違い・使い分けを徹底解説｜IoTBiz

閉域網とは何か？VPN・専用線との違い・使い分けを徹底解説

VPN

2025-10-20

6min

No.348%20SEO%E3%82%B5%E3%83%A0%E3%83%8D%E3%82%A4%E3%83%AB.png

企業ネットワークは「安全・安定・拡張性・コスト」のバランス設計が重要です。とくに拠点間通信やIoT用途では、インターネットを経由しない“閉域”の経路設計と、暗号化トンネルで守る“VPN”の役割を正しく理解し、クラウド直収やモバイル閉域などの最新選択肢と組み合わせることが求められます。本記事では、閉域網の基本からVPN、専用線や広域イーサネットとの違い、ユースケース別の使い分け、費用・セキュリティ・運用までを整理します。

閉域網の基礎閉域網の定義と仕組み閉域網で実現できること（到達範囲／経路制御／SLA）VPNの基礎 IPsec/SSLの違いと使いどころリモートアクセスVPNと拠点間VPNの用途の違い閉域網・VPN・専用線・広域イーサネットの違いを確認役割の違い【表】セキュリティ比較：閉域網／VPN／専用線／広域イーサネット【表】方式別比較：閉域網／VPN／専用線／広域イーサネット VPNの方式とアーキテクチャ IPsec/SSLの構成パターン（拠点間／クライアント）アプライアンス／クラウドVPN／SASEの選択肢費用とライフサイクル（初期・月額・運用）閉域網の費用要素：回線帯域・冗長・CPE・運用SLA VPNの費用要素：ライセンス・ユーザー数・スループット【表】TCO観点での比較（規模別の目安）セグメンテーション／ファイアウォール／監査ログ脆弱性対応・証明書ローテーション・運用体制導入事例医療DX：病院間連携のための「医療専用閉域ネットワーク」SASE導入：図研エルミックで“セキュリティ強化×ネットワーク効率化”グローバルSASE：味の素、クラウド時代の基盤に刷新

閉域網の基礎

まずは、閉域網の基本的な特徴や使い方を紹介します。

閉域網の定義と仕組み

閉域網とは、通信事業者のバックボーン内など“インターネットから論理的に分離された経路”で拠点やクラウド等を接続する仕組みです。IP-VPN（L3）、広域イーサネット（L2）、モバイル専用APN（LTE/5G閉域）などの方式があり、ルーティングやVLAN等で論理的に隔離された到達性を提供します。外部から直接到達できないため攻撃面を小さく保ちやすく、運用・監視も事業者SLAの範囲で一元化しやすいことが特徴です。

閉域網で実現できること（到達範囲／経路制御／SLA）

閉域網は「インターネットを通さない専用経路」を事業者網の中に作る仕組みです。何ができるようになるのかを、説明→現場例の順でサクッと押さえましょう。
・到達範囲がコントロールできる
　インターネットを介さずに、本社・支社・データセンター・クラウド（専用ゲートウェイ経由）を同じ“閉じた道”で束ねられます。
　現場例：本社—DC—クラウド（Direct Connect/PrivateLink 等）を一体の閉域にし、社外からの直接到達を遮断。監視カメラや製造IoTの映像も閉域で集約。
・経路制御が思いどおりに設計できる
　L3（IP-VPN）なら拠点ごとのルーティングや優先度（ポリシー）を決められ、L2（広域イーサ）ならVLAN/VXLANでセグメントを柔軟に切り分けられます。
　現場例：工場の「製造IoT」と「事務NW」を別セグメントに分離し、IoT→クラウド解析のみ許可。品質検査ラインは遅延重視で優先転送（QoS）を設定。
・SLAで“品質と責任”を担保できる
閉域網の契約の際は事業者とSLA（サービスレベルアグリーメント）契約を結ぶことが一般的です。SLAで帯域・遅延・可用性を担保する契約を行うことで、障害対応や回線増速の窓口が一本化されます。
　現場例：二重化した回線で99.9%以上の可用性を契約、障害時は事業者が一次切り分け→復旧。増設や帯域変更も申請だけで実施可能。

VPNの基礎

企業ネットワークで言うVPN（Virtual Private Network）は、「インターネット等の共有網の上に“仮想的な専用線”を作る仕組み」です。ポイントとなる技術は次の3つです。
・トンネリング：送受信パケットを“カプセル化”して、第三者から中身や行き先を見えにくくします。
・暗号化：トンネル内のデータを暗号化し、盗聴・改ざんを防ぎます。
・認証：接続元（人・端末・拠点）が正当であることを確認します（ID/パスワード、証明書、MFA、端末健全性チェックなど）。

IPsec/SSLの違いと使いどころ

IPsec はネットワーク層（L3）で動作し、サブネット同士をまとめて暗号化します。装置と装置のあいだに常設トンネルを張る発想なので、本社―支社や拠点―クラウドのように、ネットワーク同士をまるごと安全に結びたい場面に向いています。アプリ側はトンネルの存在を意識する必要がなく、経路はルーティングで制御します。
一方、SSL（TLS）はトランスポート／アプリ層でセッションを暗号化します。接続の主役はユーザーや端末で、必要なときにゲートウェイ（あるいはアプリ）へ都度セッションを開始します。特定ユーザーに特定アプリだけを許可する、といった細かな認可と相性が良く、在宅や出張など可変的なアクセスを扱いやすいのが特徴です。
NAT やファイアウォール越えの扱いにも違いがあります。IPsec は NAT-T などの配慮が必要になることがあるのに対して、SSL は一般的な 443/TCP を利用できるため、企業ネットワークでも通しやすい傾向があります。
まとめると、IPsec は「ネットワークを包む」暗号化、SSL（TLS）は「ユーザーやアプリのセッションを守る」暗号化です。拠点間を常時つなぎたいなら IPsec、ユーザー単位で一時的に入れて細かく権限を絞りたいなら SSL（TLS）——この基準で選ぶと違いが見えやすくなります。

リモートアクセスVPNと拠点間VPNの用途の違い

リモートアクセスVPNは、社員や委託先のPC・スマホといった個々の端末が、そのとき必要な社内リソースに入るための仕組みです。利用者は自分のIDでサインインし、ワンタイムコードなどの多要素認証を通過してから、業務アプリやファイルへ到達します。端末の状態（OS更新やセキュリティ対策の有無）も事前にチェックできるため、「本人」と「端末」の両方を確認してからアクセスを許可できます。通信の流し方は二通りあり、すべての通信をVPNに通す“フルトンネル”は最も安全ですが帯域の負荷が増えます。業務に関係する通信だけをVPNに通す“スプリットトンネル”は体感速度に優れますが、どの通信を許可するかを丁寧に設計し、監査ログを残すことが前提になります。用途としては、在宅勤務や出張先からの利用、協力会社に必要最小限のアクセス権を与える場面が典型です。
拠点間VPNは、接続の主語がネットワークです。拠点—本社／DC／クラウドのサブネット同士を常時つなぐ“通路”を作ります。制御はルーティング中心で、設計の焦点は止めないこと（冗長化・経路収束・スループット確保）にあります。経路品質の安定性が重要になるため、必要に応じて閉域網や専用線と組み合わせて品質を底上げします。
まとめると、リモートアクセスVPNは「人がその都度入るための入口」、拠点間VPNは「拠点同士を常時つないでおくための通路」。前者は“誰が・どのアプリに入れるか”を細かく制御するのが主眼で、後者は“止めない・流し続ける”ための冗長化と経路設計が要点になります。

閉域網・VPN・専用線・広域イーサネットの違いを確認

役割の違い

専用線は遅延が最も小さく帯域も安定し、可用性やSLAの面で頭ひとつ抜けています。そのぶん費用と導入リードタイムは大きく、ミッションクリティカル用途に向きます。
広域イーサネットはL2の自由度が高く、低遅延でセグメント設計を柔軟にしたい環境に適しています。
IP-VPNはL3のマネージド性が強みで、多拠点展開や運用のしやすさといった“総合力のバランス”に優れます。
インターネットVPNは公共網を使うため遅延や帯域のばらつきはありますが、初期導入が速くコスト面で有利です。
クラウド接続では、専用線や閉域ゲートウェイで直収する方法が最も安定し、インターネットVPNはSASEの拠点（PoP）を経由することで品質の平準化が図れます。
用途と求める品質に応じて、専用線／広域イーサ／IP-VPN／インターネットVPNを組み合わせるのが基本的な考え方です。

【表】セキュリティ比較：閉域網／VPN／専用線／広域イーサネット

それぞれのセキュリティの特徴やメリット・デメリットを表形式で紹介します。

技術	セキュリティの考え方	外部露出	データ秘匿性（経路上）	身元確認・認可	強み（想定脅威に対して）	注意点／弱み	併用の定石
専用線	物理/論理ともに事業者網内で分離された専用経路	最小（原則インターネット非公開）	暗号は任意（未暗号でも経路は非公開）。機微データはアプリ/TLSで二重化推奨	ネットワーク到達権の設計中心（契約先のみ）	外部からのスキャン/攻撃面を極小化。MITMの機会が非常に少ない	内部脅威/設定ミスには無力。費用・リードタイム大	アプリ層暗号（TLS）、機密はVPN/IPsecで追加暗号
広域イーサ（L2閉域）	L2ドメインを事業者網内で論理分離（VLAN/VPLS等）	非常に小さい（インターネット非公開）	暗号は任意。L2なので盗聴耐性は設計/運用に依存	L2セグメントの設計・フィルタで到達を制御	低遅延で閉域。L3/L7は自前で厳格化可能	L2の誤拡張/ループ等に敏感。内部横移動に注意	TLS常用、要件によりIPsecで区間暗号
閉域（IP-VPN/L3）	VRF等でL3経路を論理分離（MPLS L3VPN 等）	小さい（インターネット非公開）	暗号は任意。経路は閉域でも機微はTLS/IPsec推奨	プレフィックス/ルーティングで到達制御	多拠点でも攻撃面を縮小。SLAで安定運用	内部侵入・踏み台化のリスクは残る	TLS常用、重要区間はIPsecで二重化
VPN（IPsec/SSL）	暗号・認証で通信の中身を保護（経路を問わず適用）	終端は公開され得る（ポート/ゲートウェイ）	強い（アルゴリズムと鍵運用に依存）。盗聴/改ざん防止	MFA/証明書/端末健全性などアイデンティティ中心	公共網でも高い秘匿性。ユーザー/アプリ粒度の制御	資格情報盗難・設定不備・鍵失効漏れに脆弱	閉域/専用線に重ねて機密通信を保護（“道＋中身”）

【表】方式別比較：閉域網／VPN／専用線／広域イーサネット

方式	主な用途	強み	注意点
専用線	基幹DC間、クラウド直収の要	最小遅延・高帯域・高SLA	費用高、導入リード長、拠点拡張に時間
広域イーサ（L2閉域）	自由度高いセグメント設計	低遅延、柔軟、マルチベンダ機器活用	L3/L7は自社設計、運用難度は構成次第
IP-VPN（L3閉域）	多拠点の標準接続	運用容易、SLA、帯域調整がしやすい	L2要件には不向き、ベンダ依存に留意
インターネットVPN	小規模拠点、暫定接続、在宅	低コスト、立ち上がり早い	回線品質は公共網依存、設計で平準化が必要
LTE/5G閉域（専用APN）	工場/倉庫/移動体のIoT	現場から閉域収容、NAT回避や双方向制御が容易	電波設計・端末管理・APN費用を考慮

h2　ユースケース別の使い分け
h3　全国多拠点の基幹ネットワーク：閉域網を主軸に
基幹はIP-VPNまたは広域イーサで閉域化し、必要箇所に専用線（DC/クラウド直収）を併設。小規模拠点はVPNで補完して段階移行すると、コストと品質のバランスが取れます。
h3　在宅・出張・協力会社：VPNで安全なリモート経路
SSL（TLS）VPNやSASEで、ユーザー/端末の健全性・最小権限・監査ログを徹底。閉域リソースへ入る前にIDで強固に絞り込みます。
h3　工場・倉庫のIoT：専用APN等のモバイル閉域＋クラウド連携
センサー・カメラ・AGV等はLTE/5Gの専用APNで閉域収容。クラウド分析は閉域ゲートウェイで直収し、現地の帯域・遅延・電波を設計します。
h3　SaaS／クラウド直収：閉域接続オプション＋ゼロトラ併用
Direct Connect/PrivateLink等の閉域接続と、ゼロトラ/ID連携・CASBでのアプリ制御を併用。社外SaaSでも“経路は閉じて、アクセスは厳密に”が原則です。
h2　閉域網の種類と選定ポイント
h3　IP-VPN（L3）：標準性と拡張性
多拠点・段階拡張に強く、SLA・監視が整備されやすい。経路は事業者網で分離され、帯域の増減も比較的容易です。
h3　広域イーサネット（L2）：低遅延・柔軟な設計
VLAN/VXLAN等を活用してセグメント自由度が高い方式。レイテンシに敏感なアプリや自社でL3を細かく設計したいケースに適します。
h3　LTE/5G閉域（専用APN）：モバイル×IoTに最適
現場のデバイスをキャリア網内でプライベートIP収容。IMEIロックやSIMポリシーでデバイス単位の制御が可能です。
h3　クラウド直収（専用線/ゲートウェイ）：リージョン設計の勘所
リージョン/ゾーン冗長、BGP経路設計、帯域・課金モデルを含めた全体TCOで比較検討します。

VPNの方式とアーキテクチャ

IPsec/SSLの構成パターン（拠点間／クライアント）

IPsec（アイピーセック）はネットワーク層で“拠点⇔拠点”の常設トンネルを張る方式です。本社—支社、拠点—データセンター／クラウドのようにネットワークどうしを安定的に結びます。
SSL（TLS）はトランスポート／アプリ層で“端末⇔社内（またはアプリ）”の都度セッションを貼る方式です。社員や協力会社のPC・スマホから、必要なときだけ業務アプリやファイルに入る用途に向きます。
実装の考え方はシンプルで、常時つなぐ通路はIPsec、利用者が入る入口はSSL（TLS）。この二つを使い分ければ十分です。

アプライアンス／クラウドVPN／SASEの選択肢

アプライアンスは自社機器で完結するため細かな制御ができますが、スケールや保守は自社の責任範囲が広がります。
クラウドVPNはサービス事業者の基盤を使って拠点やクラウドと素早くつながり、帯域や拠点数の増減に柔軟です。
SASE（サッシー）はSWG・CASB・ZTNA などネットワーク／セキュリティ機能をクラウドで一体提供し、ユーザーや拠点を近い拠点（PoP）へ収容して運用を一元化できます。

費用とライフサイクル（初期・月額・運用）

閉域網の費用要素：回線帯域・冗長・CPE・運用SLA

コストは主に「帯域」「拠点数」「冗長構成（回線／CPEの二重化）」「運用SLA」で決まります。高い可用性を求めるほど、回線の二重化・監視・保守要員が増え、TCO（総保有コスト）に効いてきます。

VPNの費用要素：ライセンス・ユーザー数・スループット

同時接続ユーザー数と暗号処理のスループットが装置／サービス費用を左右します。クラウド型やSASE は“ユーザー課金＋機能バンドル”が基本で、ピーク同時接続と将来増分を見込んで選定するのがコツです。

【表】TCO観点での比較（規模別の目安）

規模/用途	推奨アーキテクチャ	初期費（目安）	月額費（目安）	運用負荷	ポイント
小規模（〜10拠点）	IP-VPN＋一部インターネットVPN	低〜中	中	低〜中	段階拡張を想定、暫定はVPNで吸収
中規模（〜50拠点）	IP-VPN主軸＋クラウド直収	中	中〜高	中	帯域設計と冗長化、監視一元化
大規模（50拠点〜）	広域イーサ/専用線併用＋IP-VPN	中〜高	高	中	基幹は専用線、周辺は閉域＋SASE
IoT/現場	LTE/5G閉域（専用APN）	低〜中	中	中	電波/筐体/監視の現場設計が肝

※金額はサービス・構成により変動が大きいため、“相対的な傾向”としてお使いください。
h2　セキュリティ設計：閉域で分離、VPNで暗号化
h3　ゼロトラストとの併用（ネットワーク×ID×端末健全性）
経路は閉域で“外から入れない”設計にしつつ、入る瞬間にはID・MFA・端末健全性でチェックし、入った後は最小権限で必要なアプリだけに到達させます。ネットワーク・ID・端末の三点で評価するのが基本です。

セグメンテーション／ファイアウォール／監査ログ

ネットワークは業務・IoT・来訪・運用の単位で分割し、東西/南北トラフィックを適切にフィルタします。誰がいつ何にアクセスしたかをログで一元的に残し、後から追跡・検証できる状態を維持します。

脆弱性対応・証明書ローテーション・運用体制

定期パッチや設定変更の手順化、証明書・鍵の自動更新、インシデント訓練、ベンダ連携の窓口整理を“仕組み”として回します。技術対策と同じくらい運用ルールの明文化が効果を左右します。

導入事例

医療DX：病院間連携のための「医療専用閉域ネットワーク」

福井発のビットブレインが、病院間でカルテ等の最重要医療情報を安全に共有する**医療専用の閉域ネットワーク（WCI）を開発。参考記事では「安全かつ高速に大容量の医療情報を機密性を確保してセキュアに通信」と説明されています。地域連携・遠隔読影など“インターネットに出したくない”医療データのやり取りに適した構成です。
【ビットブレイン】多対多接続を可能とした医療専用閉域ネットワークの実証実験の募集開始｜IoTBiz

SASE導入：図研エルミックで“セキュリティ強化×ネットワーク効率化”

網屋のフルマネージドSASE「Verona」の導入事例。クラウド時代のゼロトラスト対応として、回線品質のばらつき吸収とアクセス制御の一体運用を狙っています。
【導入事例公開】フルマネージドSASE「Verona」でセキュリティ強化とネットワーク効率化を実現（図研エルミック株式会社様）

グローバルSASE：味の素、クラウド時代の基盤に刷新

味の素がパロアルトネットワークスのPrisma Access（SASE）を採用。「ゼロトラストの考え方に基づくセキュリティモデル」でネットワークを刷新したとし、クラウド利用拡大で低下していたレスポンス/可用性の課題を解消する方針を示しています。リモート・海外拠点・SaaSへの一貫した保護が焦点です。
味の素(株)、パロアルトネットワークスのSASEソリューションでオンプレミスとクラウド双方のセキュリティ高度化へ