PR

ネット君 IPsecって、あるじゃないですか。何の略なんですかねぇ。

インター博士 Security Architecture for the Internet Protocolの略だ。

ネット君 え?アーキテクチャーなんですか。プロトコルじゃないんですか?

インター博士 プロトコルじゃないな。

 IPsecは、IP通信そのものをセキュア化するための構造あるいは仕組みのことである。ここでのセキュア化とは、サイバー攻撃といった脅威から、システムやネットワークを保護するために実施する作業を指す。

 IPsecでのセキュア化は、「データの暗号化」「宛先の認証」「データの改ざん検出」の3つに分類される。これらにより、IPで送られるデータに対する盗聴やなりすまし、改ざんなどを防ぐ。

 通信をセキュア化する仕組みとしてはTLSもある。TLSとIPsecの違いは、セキュア化の範囲である。TLSは、TCP/IPの4階層モデルではアプリケーション層とトランスポート層の間に位置し、TCPを使うアプリケーション層のプロトコルをセキュア化する(図1)。具体的には、HTTPやSMTPなどが対象になる。UDPを使うDHCPなどのプロトコルはセキュア化しない。

図1●TLSとIPsecによるセキュア化の違い
図1●TLSとIPsecによるセキュア化の違い
TLSではTCPを使うアプリケーション層のプロトコルしかセキュア化できない。一方、IPsecはIPを使うすべてのプロトコルをセキュア化する。
[画像のクリックで拡大表示]

 また、TLSを使用するアプリケーションプロトコルは、使用しないプロトコルとは異なるプロトコル名にして、そのことを明示する必要がある。例えばTLSを使ったHTTPはHTTPSになる。利用するポート番号も、HTTPがTCP 80番であるのに対して、HTTPSではTCP 443番になる。

 一方、IPsecはIPをセキュア化するため、IPを使うすべてのプロトコルが対象になる。さらにTLSとは異なり、IPsecを使うことをアプリケーションプロトコルで明示する必要がない。

ネット君 なるほど。IP通信そのものをセキュア化するってことですね。じゃあ、ほとんどすべての通信が対象になるってことですか。

インター博士 そうだな、例外はARPぐらいかな。

ネット君 なるほど。で、IPsecはプロトコルじゃないって話ですけど、どういうことですか?

4種類の技術から成る

 IPsecは1つのプロトコルではない。4種類の技術から成る、IPをセキュア化する仕組みである。具体的には、「セキュリティープロトコル」「鍵管理」「セキュリティーアルゴリズム」「セキュリティーアソシエーション(SA)」の4種類である。これらの技術を組み合わせてIPをセキュア化する(図2)。

図2●IPsecの構造
図2●IPsecの構造
IPsecは1つのプロトコルではない。4種類の技術から成る、IPをセキュア化する仕組みである。IPsec自体はRFC 4301で規定されている。
[画像のクリックで拡大表示]

この記事は有料会員限定です

「日経NETWORK」定期購読者もログインしてお読みいただけます。

日経クロステック有料会員になると…

専門雑誌8誌の記事が読み放題
注目テーマのデジタルムックが読める
雑誌PDFを月100pダウンロード

日経電子版セット今なら2カ月無料