// シス担のミカタ
VPN・リモートアクセス

IPsec VPN あいぴーせっくぶいぴーえん

IPsecVPNトンネリング暗号化IKEリモートアクセス
IPsec VPNについて教えて

簡単に言うとこんな感じ!

インターネットという「公道」の上に、誰にも中身を見られない「鍵付きの専用トンネル」を掘って通信する仕組みだよ。会社の拠点同士をつないだり、外出先から社内ネットワークに安全にアクセスするのに使われてるんだ!

IPsec VPNとは

IPsec VPNとは、IPsec(Internet Protocol Security) というセキュリティプロトコルを使って構築するVPN(仮想プライベートネットワーク)のことです。インターネット上を流れるデータを暗号化認証することで、物理的に専用回線がなくても「安全な専用通信路」を実現します。

VPNとはひとことで言えば「インターネット上に仮想の専用線を引く技術」ですが、その中でもIPsecはネットワーク層(IPレベル)で動作するため、アプリケーションを選ばずあらゆる通信をまとめて保護できるのが強みです。SSL-VPNなどと並んでエンタープライズ(企業向け)の現場で最もよく使われるVPN方式の一つです。

企業の本社と支社をつなぐ拠点間VPN(サイト間VPNや、在宅勤務・出張時に社員が社内ネットワークへアクセスするリモートアクセスVPNなど、幅広い用途で活用されています。クラウドサービスへの閉域接続にも利用されており、ゼロトラスト時代の今もなお重要な基盤技術です。

IPsecの仕組みと構成要素

IPsecは複数のプロトコルと仕組みを組み合わせて動作します。主な構成要素を整理すると以下のようになります。

構成要素役割
IKE(Internet Key Exchange)通信前に鍵や暗号方式を「事前に取り決める」ネゴシエーション(交渉)プロトコル
AH(Authentication Header)データが改ざんされていないことを確認する「認証」機能(暗号化はしない)
ESP(Encapsulating Security Payload)データの暗号化+認証を行うメインのプロトコル。実務ではほぼESPが使われる
SA(Security Association)通信の暗号方式・鍵などを管理する「取り決めの束」。送受信で別々に存在する

2つのモード:トンネルモードとトランスポートモード

IPsecには通信のカプセル化(包み方)に2つのモードがあります。

モード特徴主な用途
トンネルモードIPパケット全体を丸ごと暗号化して新しいIPヘッダで包む拠点間VPN・リモートアクセスVPN
トランスポートモードペイロード(データ部分)のみを暗号化し、元のIPヘッダはそのまま端末同士の直接通信(ホスト間)

実務で使われるのはほぼトンネルモードです。送信元・宛先のIPアドレスまで隠せるため、より強固なプライバシー保護が得られます。

IKEのフェーズ:鍵交換の流れ

[フェーズ1] IKE SA の確立
  └─ 通信相手の認証(事前共有鍵 or 証明書)
  └─ IKEメッセージ自体を保護するための鍵を生成

[フェーズ2] IPsec SA の確立
  └─ 実際のデータ通信を暗号化するための鍵・方式を決定
  └─ AH または ESP の設定を合意

→ 準備完了!暗号化トンネルでデータ通信開始

IKEv2(バージョン2)では処理が効率化され、モバイル端末でも接続が安定しやすくなっています。

歴史と背景

  • 1990年代前半:インターネットの商用化が進む中、IP通信のセキュリティ欠如が問題視されるようになる
  • 1995年:IETFがIPsecの最初の仕様を策定。当初はIPv6への組み込みを想定していたが、IPv4でも利用できるよう設計
  • 1998年:RFC 2401〜2412としてIPsec関連仕様が正式公開。IKEv1が標準化される
  • 2000年代:ブロードバンド普及とともに拠点間VPNの主流技術として定着。専用ルーターへの実装が一般化
  • 2005年:IKEv2が RFC 4306 として標準化。モバイル対応・再接続の堅牢性が向上
  • 2010年代:クラウドサービスとの接続(AWS VPN、Azure VPN Gatewayなど)にも採用され、ハイブリッドクラウドの基盤技術に
  • 2020年代:ゼロトラスト移行が進む中でもサイト間接続の定番として継続利用。NIST SP 800-77などでセキュリティ要件が定義される

SSL-VPNとの比較

IPsec VPNとよく比較されるのがSSL-VPNTLSを使ったVPN)です。それぞれ特性が異なり、用途によって使い分けます。

IPsec VPN と SSL-VPN の比較 IPsec VPN 動作レイヤー:ネットワーク層(L3) 対象:すべてのIPトラフィック クライアント:専用ソフト or ルーター 主な用途:拠点間・リモートアクセス ファイアウォール越え:やや不得意 SSL-VPN 動作レイヤー:アプリケーション層(L7) 対象:Webブラウザ or 指定アプリ クライアント:ブラウザのみでも可 主な用途:リモートアクセス中心 ファイアウォール越え:得意(HTTPS利用)

発注・選定上のポイントをまとめると:

  • 拠点間(オフィス同士)をつなぎたい → IPsec VPNが定番。ルーターに設定して常時接続できる
  • 在宅勤務・出張者のリモートアクセス → SSL-VPNの方が導入しやすいケースも多い(ブラウザだけで使える)
  • クラウド(AWS / Azure)との接続 → 両方対応しているが、IPsec VPNが広くサポートされている
  • セキュリティを最大化したい → IPsecはパケット全体を暗号化するため、より広範な保護が可能

関連する規格・RFC

規格・RFC番号内容
RFC 4301IPsecアーキテクチャの基本仕様(Security Architecture for IP)
RFC 4302AH(Authentication Header)プロトコルの仕様
RFC 4303ESP(Encapsulating Security Payload)プロトコルの仕様
RFC 7296IKEv2(Internet Key Exchange version 2)の仕様
RFC 8221IPsecで使用する暗号アルゴリズムの推奨・非推奨リスト

関連用語