いっしー@Webエンジニア
Webツールプログラミング言語プログラミング学習ITニュースIT用語辞典ポートフォリオ
Webエンジニア向けプログラミング解説動画をYouTubeで配信中!
▶ チャンネル登録はこちら

IPsec(アイピーセック)とは | 意味や読み方など丁寧でわかりやすい用語解説

IPsec(アイピーセック)の意味や読み方など、初心者にもわかりやすいように丁寧に解説しています。

作成日: 更新日:

読み方

日本語表記

アイピーセック (アイピーセック)

英語表記

IPsec (アイピーセック)

用語解説

IPsec(Internet Protocol Security Architecture)は、IPネットワーク上で安全な通信を実現するための一連のプロトコル群の総称である。インターネットのような信頼性の低いネットワークを経由してデータを送受信する際に、通信内容の盗聴、改ざん、送信者のなりすましといった脅威から情報を保護することを目的とする。現代のネットワークセキュリティ、特にVPN(Virtual Private Network)を構築する上で不可欠な技術として広く利用されている。

IPsecの最大の特徴は、TCP/IPモデルのネットワーク層(IP層)で動作する点にある。これにより、その上位層であるトランスポート層のプロトコル(TCPやUDP)や、さらにその上のアプリケーション層のプロトコル(HTTPやSMTPなど)の種類に関わらず、すべてのIPパケットを透過的に保護することができる。つまり、個々のアプリケーションにセキュリティ機能を組み込む必要がなく、OSやネットワーク機器のレベルで一括して通信の安全性を確保できるという利点を持つ。

IPsecが提供する主要なセキュリティ機能は、機密性、完全性、認証の3つである。機密性は暗号化によって実現され、通信内容を第三者が解読できないように保護する。完全性は、通信途中でデータが改ざんされていないことを保証する機能である。認証は、通信相手が本当に名乗っている本人であることを確認する機能であり、なりすましを防ぐ。

これらの機能を実現するために、IPsecは主に3つのプロトコルを組み合わせて使用する。一つ目はAH(Authentication Header)である。AHは、IPパケットの完全性と送信元認証を提供する。つまり、データが改ざんされていないことと、そのデータが確かに意図した送信元から送られてきたことを保証する。ただし、AHは暗号化の機能を持たないため、通信内容自体は平文のままであり、盗聴されると内容は漏洩してしまう。二つ目はESP(Encapsulating Security Payload)である。ESPは、データの暗号化に加えて、AHと同様に完全性と送信元認証の機能も提供する。ペイロードと呼ばれるIPパケットのデータ部分を暗号化することで、通信の機密性を確保する。現在では、ESPだけで暗号化と認証の両方を提供できるため、ESPが単独で利用されることが主流となっている。

三つ目の重要なプロトコルがIKE(Internet Key Exchange)である。IPsecで暗号化や認証を行うためには、通信を行う両者で共通の鍵やアルゴリズムを共有する必要がある。この一連のセキュリティ設定の組み合わせをSA(Security Association)と呼ぶ。IKEは、このSAを確立するために必要な鍵交換や、使用する暗号化方式・認証方式のネゴシエーション(交渉)を自動的に行うプロトコルである。IKEがなければ、管理者が手動で膨大な数の鍵を設定・管理する必要があり、非常に非効率かつセキュリティ上のリスクも高まるため、IKEはIPsecの運用において極めて重要な役割を担っている。

IPsecには、トランスポートモードとトンネルモードという2つの主要な動作モードが存在する。トランスポートモードは、元のIPパケットのペイロード部分のみを保護する方式である。元のIPヘッダはそのまま利用されるため、通信を行っているホスト(コンピュータ)間の通信を直接保護する場合に適している。例えば、特定のクライアントとサーバー間の通信を保護する際に用いられる。

一方、トンネルモードは、元のIPパケット全体(ヘッダとペイロード)を丸ごと暗号化し、その上に新しいIPヘッダを付加してカプセル化する方式である。このモードは、主にネットワーク間の通信を保護するために利用され、VPNの構築で中心的な役割を果たす。例えば、本社と支社のネットワークをインターネット経由で接続するサイト間VPNでは、各拠点に設置されたVPNゲートウェイ(ルーターなど)間でトンネルモードのIPsec通信が行われる。これにより、元のパケットの送信元・宛先IPアドレスが外部から隠蔽され、より高いセキュリティを実現できる。社内LANから出たパケットはゲートウェイでカプセル化され、相手先のゲートウェイでカプセル化が解除されて目的のLANに届けられるため、各LAN内の端末はIPsecを意識することなく安全な拠点間通信が可能となる。

以上のように、IPsecはAHやESPといったプロトコルを用いてデータの完全性や機密性を確保し、IKEによって鍵交換を自動化する。そして、トランスポートモードとトンネルモードを使い分けることで、個々のコンピュータ間の通信から大規模なネットワーク間の通信まで、様々なシーンで柔軟かつ強力なセキュリティを提供する。これらの仕組みにより、IPsecは今日のインターネットにおける安全な通信の基盤を支える重要な技術となっている。

関連コンテンツ

関連IT用語

関連ITニュース