IPSec-VPNとは？ 他のVPN方式との違い

この記事では、IPSec-VPNとは何かについて、SSL-VPN、IP-VPN、L2TPとの比較を混じえて、わかりやすく解説しています。IPSecの機能と目的、プロトコル、通信モードと、メリット・デメリットについても解説しています。

IPSec-VPNのわかりやすい説明

IPSecの概要と機能、メリット・デメリットについて解説します。

IPSecとは

IPSecとは、セキュリティ機能を備えた通信の一種です。

複数のプロトコル（規格）の集合体で、様々な方式を組み替えて使用できることが特徴です。

主にVPNを構築するために使用されていますが、データセンター間通信などVPN以外でも利用されています。

IPSecは、OSI参照モデルのネットワーク層で機能します。

IPSecの機能

IPSecは、主に次の3つの機能を持ちます。

データの暗号化

データを暗号化することで、通信中にデータが盗聴されても、内容を解読できないようにします。

「DES」「3DES」「AES」などの暗号化アルゴリズムが使用されます。

データの完全性の保証

ハッシュ関数を用いて、データが通信中に改ざんされていないことを保証します。

「MD5」「SHA1」「SHA2」などの認証アルゴリズムが使用されます。

通信相手の認証

デジタル証明書や事前共有キーを用いて、通信相手の身元を確認します。

IPSecのプロトコル

IPSecでは、主に「AH」「ESP」「IKE」の3つのプロトコルが使用されます。

AH（Authentication Header）

IPパケットの「ヘッダー（宛先などの情報）」と「ペイロード（データ）」を認証し、完全性を保証しますが、暗号化は行なわれません。

ESP（Encapsulating Security Payload）

IPパケットのヘッダーとペイロードをまとめて暗号化し、認証し、完全性を保証します。

AHが使われる理由

これを見ると、ESPはAHの上位互換であり、AHを使う理由がないと思われれるかもしれません。

実際、多くの場合でESPが利用されており、AHが使われる場面は少数です。

それでもAHが使われる理由は、ESPに比べて高速であるということと、ネットワーク環境によってはIPヘッダーの認証が必要となるためです。

セキュリティ要件が厳しい場合は、AHとESPを組み合わせて使用することもあります。

IKE（Internet Key Exchange）

暗号化のための鍵を、安全に交換するための技術です。

「IKEv1」「IKEv2」などの方式があります。

IPSec通信モード

IPSecには「トランスポートモード」と「トンネルモード」という2つの通信モードがあります。

それぞれに「AH」「ESP」「AH+ESP」のパターンがあります。

トランスポートモード

主に、ホスト（PC等）とホストの間の通信に用いられます。

元のIPヘッダーは変更されません。

PC内に、IPSec対応アプリが必要となります。

トンネルモード

主に、セキュリティ・ゲートウェイ（ルーター等）とセキュリティ・ゲートウェイ間の通信に用いられます。

元のIPパケットをカプセル化し、新しいIPヘッダーが追加されます。

IPSec対応ルーター同士で処理が行なわれるため、その配下のPCは何もする必要がありません。

IPSecとポート番号

ポート番号は、OSI参照モデル第4層であるトランスポート層の概念です。

IPSecは、第3層のネットワーク層で機能するため、ポート番号はありません。代わりに、プロトコル番号というものはあります。

ただし、IPSecの鍵交換で使用されるIKEは、トランスポート層を使用するので、ポート番号があります。

IPSecのメリット

IPSecのメリットを解説します。

強力なセキュリティ

IPSecでは、強力な暗号化や認証のアルゴリズムを使用することで、データの機密性を確保しています。

ネットワークレベルの保護

IPSecは、ネットワーク層で動作するために、特定のアプリケーションに依存せず、包括的な保護を提供します。

大規模な運用が可能

企業の支社間接続や、リモートアクセスなど、大規模なネットワーク環境でも効果的に利用できます。

IPSecのデメリット

IPSecのデメリットを解説します。

設定が複雑

IPSecには、トランスポートモード、トンネルモードがあり、それぞれにAH、ESP、AH+ESPがあります。さらにそれらに、暗号化やハッシュの方式が選択できます。

その組み合わせは膨大となり、設定は複雑で、難解なものとなります。

運用コストが高い

IPSecを導入するには、高度な技術者を確保し、専用の機器やソフトを管理する必要があるため、コストが高くなります。

NATと相性が悪い

IPSecには様々な方式がありますが、中にはNATと相性が悪く、正常に通信できないものがあります。

NATを超えるために、さらに設定が複雑になります。

IPSec-VPNと他のVPNの違い

IPSec-VPNと他のVPNの仕組みや目的の違いを、SSL-VPN、IP-VPN、L2TPと比較して解説します。

ネットワークレイヤーの違い

ネットワークは階層構造を持っており、上位層はアプリケーションの制御、下位層は物理的な電気信号を取り扱います。

データを送信する時は上位から下位へ流れ、受信する時は下位から上位へ流れます。

どの層でVPNを構築するかによって、様々な方式があります。

下位層のVPN

下位層でVPNを構築すれば、その上位層がどうなっているかを気にする必要はなく、一元的なVPNを提供できます。

ただし下位に行くほど、物理的な通信設備が必要となり、導入も難しくなります。また、暗号化はされません。

上位層のVPN

上位層でVPNを構築すれば、特定のアプリや用途に絞ったVPNを提供できます。

特別な機器も必要なく、導入も比較的容易となります。

ただし保護対象が限定され、処理に負荷がかかります。

NAT超え問題

第3層のネットワーク層には、IPアドレスを変換するNATという仕組みがありますが、VPNがNATを挟んで通信できない問題が発生することがあります。

NAT超えできない問題は、VPNがどの層で動作するかによらず発生しますが、特にIPSec-VPNで問題となることが多いです。

SSL-VPNとの違い

SSL-VPNは、OSI参照モデルの第4層・トランスポート層で機能し、主にWebブラウザの通信を暗号化して保護します。

IPSec-VPNが、その端末全体の通信を保護するのに対し、SSL-VPNは特定のアプリに限定されます。

IPSec-VPNの導入には専用のハードやソフトが必要となり、NAT超えが難しい場合もあります。

SSL-VPNはブラウザベースで動作するため、専用ソフトが不要で、NAT超えも容易です。

IPSec-VPNは拠点間VPNに向いており、SSL-VPNはリモートアクセスVPNに向いています。

IP-VPNとの違い

IPSec-VPNとIP-VPNは、OSI参照モデルの第3層・ネットワーク層で機能することは同じですが、使用するネットワークが異なります。

IPSec-VPNは、インターネット上に、暗号と認証技術を用いてVPNを構築します。

IP-VPNは、ネットワーク会社が管理する通信設備内で、経路制御によってVPNを構築します。

IP-VPNは、高い信頼性が必要とされる企業の拠点間接続に使用されます。

L2TPとの違い

「L2TP（Layer 2 Tunneling Protocol）」は、その名の通り、OSI参照モデルの第2層・データリンク層にて、トンネリング機能を提供する技術です。

下位層で動作するため、IPネットワーク以外にも、ATM（通信規格の一種、現金自動預払機とは無関係）やフレームリレー（古い通信規格）など、幅広い用途に使用できます。

L2TPは暗号化機能がないため、IPSecと組み合わせて利用されることが多いです。

IPSec単体に比べて、L2TP/IPSecの方が設定が簡単で、NAT超えもしやすいという利点があります。

まとめ IPSec-VPNとは