ネット君 IPsecって、あるじゃないですか。何の略なんですかねぇ。
インター博士 Security Architecture for the Internet Protocolの略だ。
ネット君 え?アーキテクチャーなんですか。プロトコルじゃないんですか?
インター博士 プロトコルじゃないな。
IPsecは、IP▼通信そのものをセキュア化するための構造あるいは仕組みのことである。ここでのセキュア化とは、サイバー攻撃といった脅威から、システムやネットワークを保護するために実施する作業を指す。
IPsecでのセキュア化は、「データの暗号化」「宛先の認証」「データの改ざん検出」の3つに分類される。これらにより、IPで送られるデータに対する盗聴やなりすまし、改ざんなどを防ぐ。
通信をセキュア化する仕組みとしてはTLS▼もある。TLSとIPsecの違いは、セキュア化の範囲である。TLSは、TCP/IP▼の4階層モデル▼ではアプリケーション層とトランスポート層の間▼に位置し、TCPを使うアプリケーション層のプロトコルをセキュア化する(図1)。具体的には、HTTP▼やSMTP▼などが対象になる。UDP▼を使うDHCP▼などのプロトコルはセキュア化しない。
また、TLSを使用するアプリケーションプロトコルは、使用しないプロトコルとは異なるプロトコル名にして、そのことを明示する必要がある。例えばTLSを使ったHTTPはHTTPS▼になる。利用するポート番号も、HTTPがTCP 80番であるのに対して、HTTPSではTCP 443番になる。
一方、IPsecはIPをセキュア化するため、IPを使うすべてのプロトコルが対象になる。さらにTLSとは異なり、IPsecを使うことをアプリケーションプロトコルで明示する必要がない。
ネット君 なるほど。IP通信そのものをセキュア化するってことですね。じゃあ、ほとんどすべての通信が対象になるってことですか。
インター博士 そうだな、例外はARP▼ぐらいかな。
ネット君 なるほど。で、IPsecはプロトコルじゃないって話ですけど、どういうことですか?
4種類の技術から成る
IPsecは1つのプロトコルではない。4種類の技術から成る、IPをセキュア化する仕組みである。具体的には、「セキュリティープロトコル」「鍵管理」「セキュリティーアルゴリズム」「セキュリティーアソシエーション(SA▼)」の4種類である。これらの技術を組み合わせてIPをセキュア化する(図2)。
