(最終更新月:2023年3月)
✔このような方へ向けて書かれた記事となります
「ipsecを設定する方法が知りたい」
「ipsecとvpnの違いは何か?」
「ipsecのセキュリティについて詳しく知りたい」
✔当記事を通じてお伝えすること
- IPsecとは何か。
- IPsecの利用方法
- IPsecのセキュリティ上のメリット
当記事では、ipsecについてはもちろん、初心者にもわかりやすくipsecの仕組みや設定方法について詳しく解説しています。ぜひ最後までご覧ください。
筆者プロフィール
【現職】プロダクトマネージャー
【副業】ブログ(月間20万PV)/YouTube/Web・アプリ制作
「プログラミング × ライティング × 営業」の経験を活かし、30後半からのIT系職へシフト。現在はプロダクトマネージャーとして、さまざまな関係者の間に入り奮闘してます。当サイトでは、実際に手を動かせるWebアプリの開発を通じて、プログラミングはもちろん、IT職に必要な情報を提供していきます。
【当ブログで紹介しているサイト】
✔人に見せても恥ずかしくないコードを書こう
「リーダブルコード」は、わかりやすく良いコードの定義を教えてくれる本です。
- 見るからにきれいなコードの書き方
- コードの分割方法
- 変数や関数の命名規則
エンジニアのスタンダートとすべき基準を一から解説しています。
何回も読むのに値する本なので、ぜひ手にとって読んでみてください。
IPsecについての基礎知識
IPsecについての基礎知識について解説していきます。
IPsecはネットワークセキュリティに欠かせない技術であり、基礎知識を理解することで、その重要性や実装方法を理解し、セキュアな通信を実現するための基盤を築くことができるからです。
- IPsecとは?
- IPsecが活用される場面について
- IPsecの仕組み
IPsecとは?
IPsecは、インターネット上での通信において、暗号化によりセキュリティを確保するためのプロトコルです。
IPsecを使用することで、通信内容を暗号化し、改ざんや盗聴から保護するだけでなく、認証機能も備えており、通信相手が正当であることを確認できます。
例えば、VPN接続での不正アクセスを防止するために、IPsecは使われています。
IPsecは、現在広く利用されているセキュリティプロトコルのひとつであり、インターネット上での通信においてセキュリティを確保するために欠かせない技術となっているのです。
IPsecが活用される場面について
IPsecが使われている場面例を挙げると以下の通り。
- 企業のVPN接続
- オンラインバンキング
- オンラインショッピング
セキュリティが重要な通信に広く活用されているのです。
例えばオンラインバンキングやオンラインショッピングでは、IPsecを用いてクレジットカード番号やパスワードなどの個人情報を保護しています。
IPsecは、インターネット上でのセキュリティを確保するために欠かせないプロトコルであり、今後もますます重要性が高まっていくことが予想されます。
IPsecの仕組み
IPsecは、IPヘッダーにセキュリティ情報を追加して、暗号化、認証、完全性保護などの機能を提供します。
- 暗号化アルゴリズムとして、AESや3DESなどを使用
- 認証アルゴリズムとして、HMAC-SHA1やHMAC-MD5などを使用
- 完全性保護には、ESPやAHなどのプロトコルを使用
AESやHMACなどは、それぞれ暗号化の手法のこと。IPsecでは、アルゴリズムに合う暗号化をおこなっています。
暗号化アルゴリズムを使用して、通信を保護しているのです。
IPsecで利用される技術・プロトコル10選
IPsecで利用される技術やプロトコルについて解説していきます。
IPsecのセキュリティ機能を理解すれば、ネットワークのセキュリティ向上に役立つことでしょう。
- Security Association (SA)とは?
- Authentication Header (AH)とは?
- Encapsulating Security Payload (ESP)とは?
- Internet Key Exchange (IKE)とは?
- Key Management Protocol (KMP)とは?
- Internet Security Association and Key Management Protocol (ISAKMP)とは?
- Dead Peer Detection (DPD)とは?
- Group Domain of Interpretation (GDOI)とは?
- Secure Real-time Transport Protocol (SRTP)とは?
- Datagram Transport Layer Security (DTLS)とは?
Security Association (SA)とは?
IPsecで利用されるプロトコルについて説明する前に、まずはIPsecの基本的な用語であるSecurity Association (SA)について理解しましょう。
SAとは、通信を行う2つのノード間で共有される暗号化や認証のための情報の集合体で、IPsecによる通信を確立するために使われるものです。
SAには、以下のようなセキュリティパラメータに含まれます。
- 暗号化アルゴリズム
- 鍵長
- 認証アルゴリズム
SAを交換することにより、通信に必要なセキュリティ情報が共有され、安全な通信が確保できるのです。
SAは、IPsecの中心的な概念であり、IPsecの実装において重要な役割を担っています。
Authentication Header (AH)とは?
Authentication Header (AH)は、IPパケットの送信元と宛先のアドレス情報を保護するためのセキュリティプロトコル。
IPパケットのヘッダーに追加された、送信元の認証情報を含んだハッシュ値を計算し、パケットの改ざんを防止します。
ただしパケットを暗号化するものではないため、ほかのプロトコルと組み合わせて使用することが多いです。
例えば、AHとESPを組み合わせることで、IPsecで完全なセキュリティを実現できます。
AHは、IPsecで最も基本的なセキュリティプロトコルの1つであり、IPsec VPNやファイアウォールなどのセキュリティアプリケーションで広く使用されているものです。
Encapsulating Security Payload (ESP)とは?
Encapsulating Security Payload (ESP)は、IPパケットのペイロードを暗号化・認証することで、通信の機密性と完全性を確保します。
ペイロードとは、データ通信における情報そのもののこと。
IPsecトンネルのエンドポイント間でのみ解読可能な形式でペイロードを保護し、中間者攻撃などから守るのです。
例えば、VPN接続において、ESPは、トンネル内のデータを暗号化し、VPNクライアントとVPNサーバー間での通信を保護します。
前述のAHと組み合わせて使われることがあるプロトコルです。
Internet Key Exchange (IKE)とは?
Internet Key Exchange (IKE)は、IPsecの通信路(セキュリティアソシエーション)を確立するために必要な鍵交換プロトコルです。
IPsecの暗号化アルゴリズムや鍵長、認証方式などを自動的に選択し、通信路の形成に必要なパラメータを交換します。
代表的なものとして、IKEv2というVPN接続を確立するためのプロトコルが挙げられます。
IKEv2は、モバイルデバイスに最適化された通信路を作るためのプロトコルで、VPN接続を確立するための代表的なプロトコルといえます。
Key Management Protocol (KMP)とは?
Key Management Protocol (KMP)は、IPsecで使用される鍵交換プロトコルの一種です。
なぜ必要かというとIPsecでは、暗号化や認証に使用する鍵を安全に交換する必要があるから。
KMPは、この鍵交換を行うためのプロトコルであり、IKE(Internet Key Exchange)プロトコルの一部として実装されているのです。
KMPによって、鍵交換の過程での情報漏洩や改ざんを防止できます。
Internet Security Association and Key Management Protocol (ISAKMP)とは?
ISAKMPは、暗号化キーの交換や認証プロセスを管理するプロトコル。
ISAKMPは、IKE(Internet Key Exchange)プロトコルの一部です。
例えばISAKMPは、IPsec VPNにおいて以下を定義します。
- それぞれのノードで使用される認証方式
- 暗号化のアルゴリズム
- 鍵の有効期限
ISAKMPは、IPsec VPNのセキュリティを確保するために不可欠なプロトコルといえます。
Dead Peer Detection (DPD)とは?
Dead Peer Detection (DPD)は、IPsec VPN接続において、相手側のVPNゲートウェイがダウンした場合に自動的に接続を切断する機能です。
接続が切れたことに気づかずに通信を続けることを防止し、セキュリティを確保するためのものになります。
IKEv1やIKEv2などのプロトコルでサポートされ、Cisco ASAやJuniper SRXなどのVPNゲートウェイで、DPDを有効化できます。
DPDは、VPN接続の信頼性を高めるために重要な機能であり、セキュリティ上のリスクを軽減するために必要な機能です。
Group Domain of Interpretation (GDOI)とは?
Group Domain of Interpretation (GDOI)は、暗号化キーの配布と管理のためのプロトコルです。
GDOIは、グループメンバー間で共有される暗号化キーを自動的に生成し、配布することで、グループメンバー間での暗号通信を容易にします。
例えば企業内の従業員がリモートからアクセスする場合、GDOIを使用して暗号化通信を確立できるのです。
GDOIは、組織の中でIPsecを利用する際に使われるプロトコルの一種です。
Secure Real-time Transport Protocol (SRTP)とは?
Secure Real-time Transport Protocol (SRTP)は、リアルタイムの音声やビデオ通信において、データの機密性や完全性を保証するためのプロトコル。
AES暗号化やHMAC認証などのセキュリティ機能を提供し、通信の安全性を確保します。
例えばVoIP通信において、SRTPにより、通信内容が第三者に盗聴されたり、改ざんされたりすることを防げるのです。
VoIP(Voice over Internet Protocol)通信とは、インターネットを介して音声通信を行う技術のことです。
SRTPは、IPsecで利用されるプロトコルの中でも、リアルタイム通信に特化したプロトコルとして、広く利用されています。
Datagram Transport Layer Security (DTLS)とは?
Datagram Transport Layer Security (DTLS)は、UDP上で動作するTLSプロトコルのバージョンで、IPsec VPNにおいてUDPトンネリングを使用する場合に利用されものです。
DTLSの特徴は以下のとおり。
- TCPよりも高速で、リアルタイム通信に適している
- UDPトンネリングで、TCPのような再送制御ができないため、パケットの欠落や順序の入れ替わりに対処する
IPsec VPNにおいて、DTLSは主にSSL VPNとして知られるVPNタイプで使用されます。
DTLSは、IPsec VPNのセキュリティとパフォーマンスを向上させるために必要不可欠です。
IPsecの接続種類
IPsecの接続種類について解説していきます。
IPsecの接続種類について理解すれば、ニーズに合う接続方法を選択でき、より効果的なセキュリティ対策が実現できるでしょう。
- トランスポートモード
- トンネルモード
- トンネルポートモードとトンネルモードの違い
トランスポートモード
トランスポートモードは、IPパケットのペイロード部分だけを暗号化し、IPヘッダーを暗号化せずに送信するモードのことです。
このモードでは、IPヘッダーの情報が変更されないため、送信元と宛先のIPアドレスが変わりません。
IPsecの認証ヘッダー(AH)や暗号化ペイロード(ESP)を使用して、データの整合性と機密性を確保するためのものです。
トンネルモード
トンネルモードは、IPパケット全体を暗号化し、送信元と宛先のネットワーク間で安全な通信を実現する接続方法のこと。
送信元と宛先のネットワークのアドレスを隠せるので、セキュリティ上のリスクを軽減でき、VPN接続によく使われます。
例えば企業内の従業員が自宅からVPN接続をおこなう際、トンネルモードであれば、従業員の自宅のIPアドレスを隠せるのです。
トンネルモードは、企業ネットワークへの攻撃リスクを低減できる接続モードと言えるでしょう。
トンネルポートモードとトンネルモードの違い
IPsecのトンネルポートモードとトンネルモードの違いは以下のとおり。
- トンネルポートモード:IPsecがトンネルを作成し、通信を暗号化し送信
- トンネルモード:IPsecがホストのIPアドレスごと暗号化し、通信を送信
トンネルポートモードでは、Iして送信。
つまり、トンネルポートモードはネットワーク間の通信を暗号化するために使用され、トンネルモードは単一のホストとネットワークの間の通信を暗号化するために使用されます。
どちらの接続種類でも、IPsecを使用して通信を暗号化することで、セキュリティを確保します。
モバイル通信におけるIPsec接続技術
モバイル通信におけるIPsec接続技術について解説していきます。
モバイル通信では、公共のWi-Fiやモバイルネットワークを使用することが多く、セキュリティ上のリスクが高いのです。
IPsec接続技術を使用することで、通信内容を暗号化し、セキュリティを確保する必要があります。
- IKEv2(Internet Key Exchange version 2)とは?
- SSL VPN(Secure Sockets Layer Virtual Private Network)とは?
- L2TP(Layer 2 Tunneling Protocol)とは?
- OpenVPNとは?
IKEv2(Internet Key Exchange version 2)とは?
IKEv2は、IPsec接続技術において使用されるプロトコルのひとつ。
IPsec接続のための鍵交換プロトコルで、セキュリティアソシエーション(SA)確立に使用されます。
高速で信頼性が高く、モバイルデバイスに最適化されているのも特徴。
モバイルデバイスが切断された場合にも、自動的に再接続を試みることができます。
IKEv2は、モバイル通信におけるIPsec接続技術の中でも、最も優れたプロトコルのひとつとされています。
SSL VPN(Secure Sockets Layer Virtual Private Network)
SSL VPN(Secure Sockets Layer Virtual Private Network)は、モバイル通信におけるIPsec接続技術の代替手段として注目されています。
Webブラウザを介して暗号化されたトンネルを作成し、リモートアクセスを提供できるからです。
IPsec接続技術と比較すると、SSL VPNはより柔軟で、異なるプラットフォームやデバイスでの使用が可能。
また、ユーザーがインターネット上で安全にアクセスできるようにするために、Webアプリケーションやクラウドサービスにも適しています。
SSL VPNは、モバイル通信におけるIPsec接続技術の代替手段として有用であるが、セキュリティが最優先事項である場合には、IPsec接続技術を選択することが望ましいといえるでしょう。
L2TP(Layer 2 Tunneling Protocol)
L2TPは、IPsec接続技術の一種で、トンネリング技術を利用して、インターネット通信を暗号化します。
PPTP(Point-to-Point Tunneling Protocol)と比較して、より高いセキュリティレベルを提供できるのです。
例えば、L2TPとIPsecとで組み合わせれば、暗号化されたトンネルを作成し、VPN接続を確立できます。
L2TPは、モバイル通信において安全な通信を実現するために非常に有用な技術といえるでしょう。
OpenVPNとは?
OpenVPNは、IPsecに代わるオープンソースのVPN接続技術で、モバイル通信においても高いセキュリティ性を提供します。
なぜならIPsecよりも柔軟性があり、さまざまなプラットフォームで動作できるから。
暗号化方式や認証方式を自由に選択できるため、より高いセキュリティ性を実現することもできます。
例えばOpenVPNは、AndroidやiOSなどのモバイルデバイスでも利用することができ、公共のWi-Fiなどの不安定なネットワーク環境でも安全な通信環境を作れます。
企業や個人のセキュリティ対策の目的で、OpenVPNの活用が増えてきているのです。
まとめ:IPsecは暗号化するプロトコル
当記事の内容をまとめます。
- IPsecとは、インターネット通信で、暗号化するためのプロトコル
- IPsecでは、さまざまなセキュリティに備えるために適したプロトコルを採用している
- IPsecは、セキュアな通信を確立する重要な役割を担っている
IPsecとは、通信を暗号化し、セキュリティ性を高めるためのプロトコルです。
我々がリモートワークをする際やサーバーへVPN接続をする際に、実は使われているものになります。
IPsecについて覚えておけば、ネットワークトラブルへの対策方法が思いつきやすくなるでしょう。