IPSec とは
IPSec は、ネットワーク上で安全な接続を設定するための一連の通信規則またはプロトコルです。インターネットプロトコル (IP) は、データがインターネット上を移動する方法を決定する一般的な標準です。IPSec は暗号化と認証を追加して、プロトコルをより安全にします。例えば、ソースでデータをスクランブルし、送信先でスクランブルを解除します。また、データのソースも認証します。
IPSec が重要な理由
Internet Engineering Task Force は 1990 年代に IPSec を開発し、パブリックネットワークにアクセスする際のデータの機密性、完全性、および信頼性を確保しました。例えば、ユーザーは IPSec 仮想プライベートネットワーク(VPN) を使用してインターネットに接続し、会社のファイルにリモートでアクセスしています。IPSec プロトコルは機密情報を暗号化して、不要なモニタリングを防ぎます。サーバーは、受信したデータパケットが承認されていることを確認することもできます。
IPSec の用途
IPSec を使用すると、次のことができます。
- パブリックインターネット経由でデータを送信する際に、ルーターセキュリティを提供します。
- アプリケーションデータを暗号化します。
- データが既知の送信者からのものである場合、データを迅速に認証します。
- 2 つのエンドポイント間で送信されるすべてのデータを暗号化する、IPSec トンネルと呼ばれる暗号化された回線を設定して、ネットワークデータを保護します。
組織は、リプレイ攻撃から保護するために IPSec を使用しています。リプレイ攻撃または中間者攻撃は、データを中間コンピュータにルーティングすることにより、進行中の送信を傍受および変更する行為です。IPSec プロトコルは、各データパケットに連番を割り当て、チェックを実行して重複パケットの兆候を検出します。
IPSec 暗号化とは
IPSec 暗号化は、データをスクランブルして、権限のない者からコンテンツを保護するソフトウェア機能です。データは暗号化キーによって暗号化され、情報のスクランブルを解除するには復号化キーが必要です。IPSec は、AES、Blowfish、Triple DES、ChaCha、DES-CBC など、さまざまなタイプの暗号化をサポートしています。
IPSec は、非対称暗号化と対称暗号化を使用して、データ転送中の速度とセキュリティを確保します。非対称暗号化では、暗号化キーは公開されますが、復号化キーは非公開に保たれます。対称暗号化では、データの暗号化と復号化に同じパブリックキーを使用します。IPSec は、非対称暗号化を使用して安全な接続を確立し、対称暗号化に切り替えてデータ転送を高速化します。
IPSec の仕組み
コンピュータは、次の手順で IPSec プロトコルを使用してデータを交換します。
- 送信側コンピュータは、セキュリティポリシーに照らして検証することにより、データ転送に IPSec 保護が必要かどうかを判断します。必要がある場合、コンピュータは受信側コンピュータとの安全な IPSec 転送を開始します。
- 両方のコンピュータが、安全な接続を確立するための要件をネゴシエートします。これには、暗号化、認証、およびその他の Security Association (SA) パラメータに関する相互の合意が含まれます。
- コンピュータは暗号化されたデータを送受信し、信頼できるソースからのものであることを検証します。基礎となるコンテンツが信頼できるものであることを確認するためのチェックを実行します。
- 転送が完了するか、セッションがタイムアウトになると、コンピュータは IPSec 接続を終了します。
IPSec プロトコルとは
IPSec プロトコルは、データパケットを安全に送信します。データパケットは、ネットワーク転送用に情報をフォーマットして準備する特定の構造です。ヘッダー、ペイロード、およびトレーラーで構成されています。
- ヘッダーは、データパケットを正しい送信先にルーティングするための指示情報を含む先行セクションです。
- ペイロードは、データパケットに含まれる実際の情報を表す用語です。
- トレーラーは、データパケットの終わりを示すためにペイロードの末尾に追加される追加データです。
いくつかの IPSec プロトコルを以下に示します。
認証ヘッダー (AH)
認証ヘッダー (AH) プロトコルは、送信者認証データを含むヘッダーを追加し、許可されていない第三者がパケットの内容を変更しないように保護します。元のデータパケットが操作された可能性があることを受信者に警告します。データパケットを受信すると、コンピュータはペイロードからの暗号化ハッシュ計算をヘッダーと比較して、両方の値が一致することを確認します。暗号化ハッシュは、データを一意の値に要約する数学関数です。
Encapsulating Security Payload (ESP)
選択した IPSec モードに応じて、Encapsulating Security Payload (ESP) プロトコルは、IP パケット全体またはペイロードのみに対して暗号化を行います。ESP は、暗号化時にヘッダーとトレーラーをデータパケットに追加します。
Internet Key Exchange (IKE)
Internet Key Exchange (IKE) は、インターネット上の 2 つのデバイス間に安全な接続を確立するプロトコルです。どちらのデバイスも Security Association (SA) をセットアップします。SA には、後続のデータパケットを送受信するための暗号化キーとアルゴリズムのネゴシエーションが含まれます。
IPSec モードとは
IPSec は、保護の程度が異なる 2 つの異なるモードで動作します。
トンネル
IPSec トンネルモードは、権限のない第三者からのデータ保護を強化するため、パブリックネットワークでのデータ転送に適しています。コンピュータは、ペイロードとヘッダーを含むすべてのデータを暗号化し、新しいヘッダーを追加します。
転送
IPSec 転送モードでは、データパケットのペイロードのみが暗号化され、IP ヘッダーは元の形式のままになります。暗号化されていないパケットヘッダーにより、ルーターは各データパケットの送信先アドレスを識別できます。したがって、IPSec トランスポートは、2 台のコンピュータ間の直接接続をセキュリティで保護するなど、緊密で信頼できるネットワークで使用されます。
IPSec VPN とは
VPN、または仮想プライベートネットワークは、ユーザーがインターネットを匿名でかつ安全に閲覧できるようにするネットワークソフトウェアです。IPSec VPN は、IPSec プロトコルを使用してインターネット上に暗号化されたトンネルを作成する VPN ソフトウェアです。エンドツーエンドの暗号化を提供します。つまり、データはコンピュータでスクランブルされ、受信サーバーでスクランブルが解除されます。
SSL VPN
SSL はセキュアソケットレイヤーの略です。これは、ウェブトラフィックを保護するセキュリティプロトコルです。SSL VPN は、組み込みの SSL プロトコルを使用してネットワーク通信を暗号化および保護するブラウザベースのネットワークセキュリティサービスです。
IPSec VPN と SSL VPN の違い
どちらのセキュリティプロトコルも、オープンシステム相互接続 (OSI) モデルの異なるレイヤーで機能します。OSI モデルは、コンピュータがネットワーク上でデータを交換する方法の階層構造を定義します。
IPSec プロトコルは、OSI モデルの中間にあるネットワーク層とトランスポート層に適用されます。一方、SSL は最上位のアプリケーション層でデータを暗号化します。ウェブブラウザから SSL VPN に接続できますが、IPSec VPN を使用するには別のソフトウェアをインストールする必要があります。
AWS が IPSec 接続をサポートする方法
AWS Site-to-Site VPN は、IPSec トンネルを使用して、データセンターや支社のオフィスと AWS リソースの間に安全な接続を作成するフルマネージドサービスです。Site-to-Site VPN を使用する場合、Amazon Virtual Private Clouds (VPC) と AWS Transit Gateway の両方に接続でき、冗長性を高めるために接続ごとに 2 つのトンネルが使用されます。AWS Site-to-Site VPN には、次のような多くの利点があります。
- パフォーマンスモニタリングでローカルおよびリモートネットワークの状態を可視化できます。
- ローカルアプリケーションを AWS クラウドに安全かつ簡単に移行できます。
- AWS Global Accelerator と統合すると、アプリケーションのパフォーマンスが向上します。
今すぐ AWS アカウントにサインアップして、AWS VPN の使用を開始しましょう。
