IPsec (Security Architecture for Internet Protocol) は、IPパケットを暗号化しセキュリティを確保して通信を実現するためのプロトコルです。
主にインターネットVPNを実現するためのプロトコルとして用いられています。
このページではIPsecの技術的な仕組みを1から分かりやすく初心者向けに解説します。
ネットワークエンジニアを目指す方であれば知らないと恥ずかしい基本知識の1つ。是非最後までご覧ください。
IPsecとは?
IPsec (Security Architecture for Internet Protocol:あいぴーせっく) とは、通信内容を暗号化することにより盗聴を防ぎ、通信内容が改ざんされていないことを担保するためのプロトコル群です。
ざっくりいうと、①通信内容の盗聴、②通信内容の改ざんの2点を防ぐことがIPsecの目的です。
"Security Architecture for Internet Protocol " という名の通り、IPsecはセキュリティを強化するためのプロトコルの総称であり、大きく以下の3つのプロトコルから成立します。
| IPsecプロトコル | 説明 |
|---|---|
| AH (Authentication Header) | ・パケットが "改ざん" されていないことを確認する |
| ESP (Encapsulating Security Payload) | ・パケットが "改ざん" されていないことを確認するプロトコル ・通信内容を暗号化する |
| IKE (Internet Key Exchange) | ・IPsecで利用する秘密鍵の交換を行う (これがないと暗号化されたデータを復元できない) |
つまり、AH / ESP / IKE のプロトコルが目的の役割を果たすことによって、全体としてIPsecの目的であるセキュリティを確保した通信が可能になるという仕組みです。
IPsecと一言にいっても、上記3つのプロトコルがあるという点をまずは頭に入れておきましょう!
では具体的にどのようにして盗聴・改ざんの防止を行っているのか?次の章からはIPsecの具体的な仕組みをご説明していきます。
IPsecの仕組み
IPsecは、SA (Security Association) というコネクションを確立してセキュアな通信を行います。
分かりやすく言えば、通信内容を外部から守るために作るトンネルのようなものがSAです。SAというコネクションの中で通信を行うことで外部からの盗聴を防ぐというわけです。
IPsecはSAの確立~実際のデータ通信までの流れを3ステップに分けて以下に示します。
①と②で利用される鍵交換プロトコルがIKE (Internet Key Exchange)です。
そして、実際の暗号化通信を行う際の暗号化プロトコルがAH (Authentication Header) or ESP (Encapsulating Security Payload) という流れです。
ただし、ESPを利用することでパケットの改ざん検知と通信の暗号化の両方が可能となるため、実際にはAHはほとんど利用されず、ESPを利用するのが一般的です。
| IPsecプロトコル | 説明 |
|---|---|
| AH (Authentication Header) | ・パケットが "改ざん" されていないことを確認する |
| ESP (Encapsulating Security Payload) | ・パケットが "改ざん" されていないことを確認するプロトコル ・通信内容を暗号化する |
ネットワークエンジニアとして
コンピュータとコンピュータはどのように通信をしているのか?インターネットはどのような仕組みで構成されているのか?
ネットワークの基礎を1から学習したい方(=ネットワークエンジニアを目指す方)は、以下の書籍が非常におすすめです!
システムエンジニアを目指す方や、IT知識を1から身につけたい方は以下のページをご覧ください。
正直どこから学び始めればよいかわからない。どのように勉強していけば、エンジニアとしてのスキルが磨けるか?が分からない・・・という方は必見です。
システムエンジニア向けに「できるエンジニア」になる方法を1から解説しておりますので、是非ご覧ください。
