いっしー@Webエンジニア
Webツールプログラミング言語プログラミング学習ITニュースIT用語辞典ポートフォリオ
Webエンジニア向けプログラミング解説動画をYouTubeで配信中!
▶ チャンネル登録はこちら

IPsec VPN(アイピーセックブイピーエヌ)とは | 意味や読み方など丁寧でわかりやすい用語解説

IPsec VPN(アイピーセックブイピーエヌ)の意味や読み方など、初心者にもわかりやすいように丁寧に解説しています。

作成日: 更新日:

読み方

日本語表記

アイピーセック ブイピーエヌ (アイピーセック ブイピーエヌ)

英語表記

IPsec VPN (アイピーセック ブイピーエヌ)

用語解説

IPsec VPNは、インターネットのような不特定多数が利用する公衆ネットワークを介して、あたかも専用線のように安全な通信経路を確保するための技術である。VPNはVirtual Private Networkの略で、日本語では仮想専用線と訳される。IPsecはInternet Protocol Securityの略称であり、VPNを実現するための代表的なプロトコルの一つである。この技術の最大の特徴は、通信データを暗号化し、送信元が本物であることを認証し、データが途中で改ざんされていないことを保証する機能を提供することにある。これにより、第三者による通信の盗聴やデータの改ざん、なりすましといった脅威から情報を保護する。IPsec VPNは、企業の拠点間を接続するサイト間VPNや、従業員が社外から社内ネットワークに安全にアクセスするためのリモートアクセスVPNなど、ビジネスの現場で広く利用されている。通信の安全性をIP層、つまりネットワークの基本的な階層で確保するため、その上で動作するアプリケーションの種類を問わず、透過的にセキュリティを適用できるという強力な利点を持つ。

IPsecは単一のプロトコルではなく、複数のプロトコルを組み合わせたプロトコルスイート(プロトコルの集合体)である。OSI参照モデルにおけるネットワーク層で動作し、IPパケット単位でセキュリティ機能を提供する。これにより、Web閲覧、メール送受信、ファイル転送など、上位のアプリケーション層で行われるあらゆる通信を包括的に保護することが可能となる。IPsecの主要な構成要素には、AH、ESP、IKEの三つがある。AHはAuthentication Headerの略で、IPパケットの送信元が正しいことを証明する認証機能と、データが改ざんされていないことを保証する完全性を提供する。しかし、AHはデータの暗号化機能を持たない。一方、ESPはEncapsulating Security Payloadの略で、AHが持つ認証と完全性の機能に加えて、IPパケットのデータ部分を暗号化する機能も提供する。これにより、通信内容を秘匿することができるため、現在のIPsec VPNでは主にESPが利用される。そして、これらのセキュリティ機能を実現するために不可欠なのが、IKEである。IKEはInternet Key Exchangeの略で、通信相手との間で暗号化や認証に用いる鍵情報やアルゴリズムなどを安全に交換し、合意を形成するためのプロトコルである。この合意形成によって確立される一連のセキュリティ設定はSA(Security Association)と呼ばれ、IKEはSAを動的に生成・管理する役割を担う。

IPsecには、トランスポートモードとトンネルモードという二つの主要な動作モードが存在する。トランスポートモードは、元のIPパケットのヘッダは変更せず、データ部分であるペイロードのみを暗号化または認証する方式である。主に、LAN内部の特定のホスト間、例えばクライアントPCとサーバー間といった通信の保護に用いられる。一方、トンネルモードは、VPNで最も一般的に利用される方式である。このモードでは、元のIPパケット全体を暗号化し、それを新たなIPパケットのデータ部分としてカプセル化する。そして、新しいIPヘッダを付与して通信を行う。これにより、元の送信元IPアドレスや宛先IPアドレスといった情報も隠蔽されるため、より高いセキュリティを実現できる。インターネットを介して拠点間ネットワークを接続するサイト間VPNや、個人の端末から社内ネットワークへ接続するリモートアクセスVPNでは、このトンネルモードが標準的に採用される。

IPsec VPNの具体的な利用形態として、サイト間VPNとリモートアクセスVPNが挙げられる。サイト間VPNは、本社と支社など、地理的に離れた複数の拠点のLAN同士を、インターネットを経由して安全に接続する目的で利用される。各拠点にIPsecに対応したルーターやファイアウォールといったVPNゲートウェイを設置し、ゲートウェイ間で常に暗号化されたトンネルを確立しておくことで、双方のLANに属するユーザーは、互いのネットワークリソースを安全かつ意識することなく利用できる。リモートアクセスVPNは、在宅勤務や出張中の従業員が、自身のPCやスマートフォンから社内ネットワークに安全に接続するために利用される。利用者の端末には専用のVPNクライアントソフトウェアをインストールし、必要に応じて会社のVPNゲートウェイとの間に暗号化トンネルを確立する。これにより、あたかも社内にいるかのように、社内サーバーやファイル共有などのリソースへ安全にアクセスすることが可能となる。このようにIPsec VPNは、その堅牢なセキュリティ機能と汎用性の高さから、現代のネットワーク環境において不可欠な技術となっている。

関連コンテンツ

関連IT用語