// シス担のミカタ
VPN

IPsec(Internet Protocol Security) あいぴーせく

VPN暗号化トンネリング認証IKEセキュリティプロトコル
IPsecについて教えて

簡単に言うとこんな感じ!

インターネットって、郵便みたいに「中身が丸見えの葉書」で情報をやりとりしてるんだ。IPsecはその葉書を「封筒に入れて鍵をかける」仕組みだよ。ネット上のデータを暗号化&改ざん防止してくれる、VPNの心臓部みたいな技術なんだ!

IPsecとは

IPsec(Internet Protocol Security) は、インターネット通信の基盤であるIPパケット(データの単位)を暗号化・認証するためのセキュリティプロトコル群だ。「プロトコル群」と呼ぶのは、IPsec単体ではなく複数のプロトコルと仕組みがセットになっているからだ。

インターネットはそのままでは「盗聴」「改ざん」「なりすまし」が比較的容易にできてしまう。IPsecはこれら3つの脅威を同時に防ぎ、安全な通信トンネルをIP層(ネットワーク層)で実現する。上位のアプリを問わず、OSレベルで暗号化できるのが特徴だ。

企業のVPN(仮想プライベートネットワーク)では、IPsecは最もよく使われるコア技術のひとつ。拠点間をつなぐサイト間VPNや、外出先から社内ネットワークに接続するリモートアクセスVPNなどで広く採用されている。

IPsecの仕組みと構成要素

IPsecは複数のコンポーネントが連携して動く。大きく「鍵交換」「認証」「暗号化」の3ステップで成り立っている。

コンポーネント役割概要
IKE(Internet Key Exchange)鍵交換通信前に暗号鍵を安全に交換する。現在はIKEv2が主流
AH(Authentication Header)認証・改ざん検知データが途中で書き換えられていないかを保証する。暗号化はしない
ESP(Encapsulating Security Payload)暗号化+認証データを丸ごと暗号化し、認証も行う。実務ではほぼESPが使われる
SA(Security Association)セキュリティ設定の管理使用するアルゴリズムや鍵などの通信設定をまとめた「契約書」

覚え方:「IKEとESPでセキュリティの”一気にいい感じ”」

  • IKE → 鍵を I nterchange(交換)
  • ESP → データを E ncapsulate(包んで)S ecure(安全に)P ackage(送る)
  • AHA uthentication H eader =「ヘッダーに証明書を貼る」イメージ

2つのモード:トンネルモードとトランスポートモード

モード対象主な用途
トンネルモードIPヘッダーごと丸ごと暗号化拠点間VPN・ゲートウェイ間通信
トランスポートモードペイロード(データ本体)のみ暗号化ホスト間の直接通信(端末同士)

実務ではトンネルモードが圧倒的多数。元のIPヘッダーも隠せるため、送信元・宛先も外部から見えなくなる。

歴史と背景

  • 1990年代前半 — インターネットが商業利用され始め、盗聴・なりすましの脅威が顕在化
  • 1995年 — IETFがIPsecの基礎仕様(RFC 1825〜1829)を策定。IPv6の標準機能として設計されたが、IPv4にも移植された
  • 1998年 — RFC 2401〜2412として改訂・整備。「IKEv1」も定義
  • 2005年 — IKEv2(RFC 4306)登場。IKEv1より設定がシンプルで堅牢になり、モバイル環境での接続安定性も向上
  • 2010年代〜 — クラウド普及・テレワーク増加でVPN需要が急増し、IPsecはインフラの必須技術として定着
  • 現在 — AWS・Azure・GCPなど主要クラウドのサイト間VPN接続でも標準的に採用

IPsecと関連VPN技術の比較

IPsecはVPN技術の中でも「ネットワーク層(IP層)」で動く点が特徴だ。他のVPN技術と比べると立ち位置がよく分かる。

VPN技術の動作レイヤー比較 アプリケーション層(Layer 7) SSL-VPN(TLS) → ブラウザからでも使える。リモートアクセス向け トランスポート層(Layer 4) WireGuard → 新世代。軽量・高速。Layer 3〜4で動作 ネットワーク層(Layer 3)★ここ IPsec → IP層で暗号化。拠点間VPN・リモートアクセス両方に対応 データリンク層(Layer 2) L2TP → レイヤ2をトンネリング。単体では暗号化なし→IPsecと組み合わせることが多い IPsecの使われ方(実務例) 拠点間VPN 本社↔支社を 常時トンネル接続 リモートアクセスVPN 外出先PCから 社内に安全接続 クラウドVPN オンプレ↔AWS/Azure サイト間接続

IPsec vs SSL-VPN:どちらを選ぶ?

比較項目IPsecSSL-VPN(TLS)
動作レイヤーネットワーク層(L3)アプリケーション層(L7)
導入の手間クライアント設定が必要ブラウザだけでOKなことも
通信範囲IP通信全般をカバー特定アプリ・ポートに限定可
主な用途拠点間VPN・フル機能VPNリモートアクセス向け
ファイアウォール通過ポート(UDP 500/4500)が塞がれることがある443番ポートなので通りやすい

💡 発注・選定のポイント: 「社員が外出先からメール以外も含めて社内システム全体を使いたい」→IPsec系VPN。「特定のWebシステムだけをブラウザから安全に使いたい」→SSL-VPNが向いている。

関連する規格・RFC

規格・RFC番号内容
RFC 4301IPsecアーキテクチャの現行基本仕様(2005年)
RFC 4302AH(Authentication Header)の仕様
RFC 4303ESP(Encapsulating Security Payload)の仕様
RFC 7296IKEv2(Internet Key Exchange version 2)の仕様
RFC 3948NAT越え(NAT-T)のためのESPカプセル化仕様

関連用語

  • VPN — 仮想プライベートネットワーク。IPsecはVPNを実現する主要技術のひとつ
  • IKE(Internet Key Exchange) — IPsecの鍵交換プロトコル。IKEv2が現在の主流
  • SSL-VPN — TLSを使ったVPN方式。IPsecと並ぶ主要なリモートアクセスVPN技術
  • トンネリング — データを別のプロトコルで包んで転送する技術。IPsecも利用する
  • 暗号化 — データを第三者が読めない形に変換する技術。IPsecの中核機能
  • WireGuard — 近年注目される軽量・高速な新世代VPNプロトコル