こんにちは。スプラッシュトップ編集部です。
多くの企業でテレワークの実施が広まるなか、情報システムの担当者はVPNやネットワークについての専門知識を求められる場面が増えてきたのではないでしょうか。
この記事では、VPNによく使われるプロトコルであるIPsecの情報を中心に、混同されることが多いIPsec-VPNとSSL-VPNの違いについても解説します。
IPsecとは
IPsec(アイピーセック)とはSecurity Architecture for Internet Protocolを略した言葉で、プロトコルスイート(プロトコルのグループ)の一種です。プロトコルとは、通信規約のことであり、簡単にいうとデータをやり取りする際の決まりや手順のことです。
IPsecはIPパケット(ネットワーク上のデータの固まり)の暗号化や改ざんを検知することができます。
また、IPsecを使った通信では、SA(Security Association)と呼ばれるトンネル(仮想の通信路)が構築されるため、比較的安全にデータのやりとりが行えます。
IPsecはVPNの通信プロトコルとして利用されることが多く、IPsecを用いたVPNはIPsec-VPNと呼ばれています。
IPsecで利用されるプロトコル
IPsecは前述の通り、いくつかのプロトコルによって構成されています。ここでは、そのなかでも代表的な3つのプロトコル、AH、ESP、IKEを紹介します。
AH(Authentication Header)
AHは認証ヘッダとも呼ばれます。パケット(データのまとまり)の認証を行い、改ざんされていないかの検知に使われるプロトコルです。
ESP(Encapsulated Security Payload)
ESPはデータの暗号化に使われるプロトコルです。加えて、AHと同様に認証機能も持ちます。
IKE(Internet Key Exchange)
IKEは通信相手の認証に使われるプロトコルです。IPsec-VPNでは、鍵交換でよく利用されます。
IPsecの3つの機能
ここでは、IPsecの認証、暗号化、トンネリング、という3つの機能を紹介します。
認証
送信元やパケットの認証を行い、信頼できる送信元から送付された正しいデータであることを保証する機能です。
暗号化
パケットのIPヘッダやペイロードを暗号化する機能です。
IPヘッダとは、IPパケットの先頭にある制御情報などを記載した部分のことで、ペイロードとは、実際に送信されるデータそのものを指します。
トンネリング
仮想のトンネルを拠点間で構築し、外部からの盗聴を防ぐ機能です。
IPsecでは、このトンネリングに加えて、トンネルを通るパケットを別のプロトコルで包み保護するカプセリングも行っています。
IPsecの2種類のモード
IPsecでは暗号化する対象の違いによって2種類のモードがあります。それぞれ詳しく解説します。
IPsecトンネルモード
IPsecトンネルモードではIPヘッダとペイロードをあわせたIPパケットごと暗号化し、新たなIPヘッダを付け加えます。
新しいIPヘッダはトンネルの両端にある専用ルーターで復号化され、正しい受信者にデータが届く仕組みです。元のIPヘッダを隠せるため、離れた場所同士の通信で主に利用されます。
IPsecトランスポートモード
IPsecトランスポートモードはペイロードのみを暗号化します。IPヘッダは暗号化されないため、エンドポイント同士が暗号化および復号化を行います。エンドポイントとは、ネットワークに接続された端末のことです。
IPsec-VPNとSSL-VPNの違い
IPsec-VPNは前述の通り、IPsecを用いたVPNの1つです。同じVPNのなかにSSL-VPNがありますが、SSLもデータを暗号化するために利用されるプロトコルのため、IPsec-VPNと混同されがちです。
ここでは、プロトコ階層、開発目的、利用可能なアプリケーションの3つの観点から、両者の違いを説明します。
プロトコル階層の違い
プロトコル階層とは、コンピュータネットワークに必要な通信機能を下記の7つの階層に分けて定義したものです。
7層 アプリケーション層
6層 プレゼンテーション層
5層 セッション層
4層 トランスポート層
3層 ネットワーク層
2層 データリング層
1層 物理層
IPsec-VPNはネットワーク層で実装されます。ネットワーク層にはインターネットでの通信を主な役割としたプロトコルが分類されます。
SSL-VPNはセッション層で実装される技術です。セッション層には通信手段や接続の手順を主な役割としたプロトコルが分類されます。
開発目的の違い
IPsec-VPNとSSL-VPNは開発目的が違い、それぞれ向いている利用環境が異なります。
IPsec-VPNは拠点同士をつなぐために開発されており、本社と支社といった特定の拠点間の通信に向いています。
SSL-VPNはWebブラウザからサーバーにSSL通信をするために開発されており、不特定の外部から社内ネットワークにアクセスすることに向いています。
利用できるアプリケーションの違い
IPsec-VPNは、実装に専用ソフトのインストールや複雑な設定が必要となりますが、導入してしまえばすべてのアプリケーションが利用できます。
SSL-VPNは、専用ソフトのインストールの必要がなく、簡単に設定できる反面、基本的にはWebブラウザに対応しているアプリケーションしか利用できません。
まとめ
IPsecは通信データの暗号化や改ざんを検知するプロトコルスイートで、AH、ESP、IKEといったプロトコルによって構成されています。
その機能の特徴からVPNで用いられることが多く、IPsecを利用したVPNはIPsec-VPNと呼ばれ、主に拠点間通信で活用されている技術です。
よく混同されるSSL-VPNは、不特定の外部から社内にアクセスする場合などに採用される技術であり、向いている利用場面が異なるということを覚えておきましょう。