IPsec-VPNとは?仕組みと他のVPNとの違いについて解説

IPsec-VPNとは?仕組みと他のVPNとの違いについて解説

「IPsec-VPNとはどのような技術か知りたい」
「IPsec-VPNを構築するために何をすればいい?」

安全なネットワークを構築するために、IPsec-VPNが注目されています。しかし、機能や導入方法がよく分からない方も多いですよね。

そこで、本記事ではIPsec-VPNについて詳しく解説します。

最後まで読むと、IPsec-VPNを自社でも導入すべきかが判断できるようになります。

目次
  1. 1. IPsec-VPNとは
    1. 1-1. IPsec-VPNと他のVPNとの違い
  2. 2. IPsec-VPNの運用方式は2種類    
    1. 2-1. トンネルモード
    2. 2-2. トランスポートモード
  3. 3. IPsec-VPNで使用されるプロトコル
    1. 3-1. IKE
    2. 3-2. AH
    3. 3-3. ESP
  4. 4. IPsec-VPNの構築手順
    1. 4-1. VPNルーターを用意する
    2. 4-2. 接続方式を決める
    3. 4-3. VPNを構築
  5. 5. IPsec-VPN構築におすすめのルーター3選
    1. 5-1. RTX830|ヤマハ
    2. 5-2. VR-U500X|バッファロー
    3. 5-3. ER8411|TP-Link日本
  6. 6. この章ではIPsecの仕組みと他のVPNとの違いについて紹介しました

IPsec-VPNとは

まずVPNについておさらいしましょう。VPNとは直訳すると「仮想専用線」。インターネットで送受信するデータを暗号化し、専用回線を使っているようにやり取りする技術です。一般のインターネットを利用すると、第三者に通信を盗聴される危険性があるため、多くの企業がVPNを利用しています。

IPsec-VPNは、IPパケット(※)を暗号化するプロトコル(通信上のルール)を使ったVPN。データの暗号化に加え、改ざんも検知できます。

※IPパケット:ネットワークでやり取りするデータの単位

IPsec-VPNと他のVPNとの違い

ここでは、IPsec-VPNと混同しやすいVPN方式について2つ紹介します。導入目的によっては、IPsec-VPNより他のVPNの方が適している可能性もあるので、じっくり読んでください。

SSL-VPNとIPsec-VPNの比較

 

SSL-VPN

IPsec-VPN

専用のソフトウェア

不要

必要

通信速度

遅い

速い

セキュリティ性

低い

高い

端末に必要な環境

Webブラウザ

専用ソフトウェア

導入のメリット

手軽にVPNを構築可能

高速な通信

セキュリティが強固

SSLとはWebサーバーとフロントエンド(ユーザーが触れる端末)間の通信を暗号化する技術です。IPsec-VPNとの大きな違いは、専用のソフトウェアが必要か否か。

IPsec-VPNを構築する際には、端末側にVPNソフトウェアをインストールしなければいけません。そのため、構築に手間がかかるのが難点です。

一方、SSL-VPNはWebブラウザから利用できるのが魅力。ソフトウェアをインストールする手間が省けるため、リモートワークを導入している企業では重宝されています。

SSL-VPNのデメリットは、高速性とセキュリティにおいて、IPsec-VPNより劣りやすい側面があること。そのためSSL-VPNは「そこまで強固なセキュリティは求めない」「手軽に導入できるVPNがいい」という企業に向いています

IP-VPNとIPsec-VPNの比較

 

IP-VPN

IPsec-VPN

利用するネットワーク

通信事業者の回線

インターネット

他の組織との接続

不可

対応できるサブネット

少ない

多い

導入のメリット

高速かつ安定したVPN

セキュリティが強固

多数のサブネット接続に対応

IP-VPNとは、インターネットとは切り離された専用のネットワークです。他の組織と通信できないため、高速かつセキュリティ性が高いネットワークを実現できる点がメリット。導入も簡単なため、手軽かつ安全なVPNを構築できる点も魅力です。

IP-VPNのデメリットは、ダイナミックルーティングが難しいこと。ダイナミックルーティングとは、サーバーからデータを送信する際に、ルーター同士で経路を教え合う仕組みです。ダイナミックルーティンはサブネット(組織内で分割されたネットワーク)が多いと適していません。

そのため、IP-VPNは「拠点数は多いけれど、拠点内のサブネットは少ない」という企業に向いています

IPsec-VPNの運用方式は2種類    

IPsec-VPNの運用方式は2種類あり、導入目的によって適した方式が異なります。導入してから「自社の運用に向いていなかった」と後悔しないように、じっくり読んでください。

トンネルモード

トンネルモード

トンネルモードとは、ルーター同士でIPsec-VPNを実現する方式です。データだけでなく、IPヘッダ(データの宛先が書かれた情報)も秘匿するため、インターネットの中にトンネルをつくるようにデータのやり取りが見えなくなります。

ただし、ルーターの先にある組織内のネットワークではVPN化しません。郵便に例えると、郵送されている間は宛先も中身も見えず、宛先に届くと封筒が開けられ、宛先の誰もが中身を自由に閲覧できるイメージ。

そのためトンネルモードは「拠点間では安全に通信をしたいが、組織内では自由に情報を共有したい」という企業に向いています

トランスポートモード

トランスポートモード

トランスポートモードとは、ルーター越しにある端末までの通信もVPN化する方式です。端末には専用のソフトウェアをインストールする必要があります。IPアドレスは公開されたままで、データのみ暗号化されます。郵便に例えると、宛先は誰でも読めるけれど、郵便物の中身は開ける本人にしか分からないイメージ。

トランスポートモードは、自宅や出張先等から会社のネットワークを利用したい企業におすすめです。

IPsec-VPNで使用されるプロトコル

プロトコルとは、インターネットでデータを送受信するための技術的なルール。プロトコルのおかげで、異なるOSや端末同士でもデータのやり取りが実現できています。

ここでは、IPsec-VPNで使われるプロトコルについて紹介します。詳しい技術的な内容まで知る必要ありません。「このようなルールで成り立っているのか」と把握するくらいでOKです。

IKE

IKE(Internet Key Exchange)とは、暗号鍵(平文を暗号化する符号)を安全に交換するためのプロトコルで、暗号鍵の生成にはDH法(Diffie-Hellman法)が採用されています。

DH法とは暗号鍵を交換する際に、第三者からの盗聴を防ぐための技術。一般のネットワークを使う際にデータを暗号化する上で、重宝されています

AH

AH(Aurhentication Header)とは、データをメッセージ認証するプロトコルです。メッセージ認証とは、データが改ざんされていないか確認するための技術

以下の流れで改ざんの有無を確認します。

  1. 送信者が特別なアルゴリズムにデータと暗号鍵を入力
  2. 1で出力された結果(ハッシュ値)と元データを受信者に送る
  3. 受信者は元データをアルゴリズムに入力してハッシュ値を出力
  4. 1と3で得られたハッシュ値を比較して改ざんの有無を確認

ESP

ESP( Encapsulating Security Payload)とはAHの機能に加えて、ペイロード(データの本体)も暗号化するプロトコルです。

ESPで用いられる主な暗号化手法はAESで、アメリカ国立技術標準研究所(NIST)が開発しました。デジタル庁や経済産業省などが運営する暗号技術プロジェクト「CRYPTREC」でも推奨されている方式です。

日本国内のIPsec-VPNはESPとIKEで構成されています。しかし海外だと暗号化を規制している国もあるため、IKEとAHでIPsec-VPNを構築することもあります。

IPsec-VPNの構築手順

IPsec-VPNの構築手順

VPNルーターを用意する

IPsec-VPNを構築する際には専用のルーターを用意しなければいけません。ルーターを選ぶポイントは次の3つです。

  1. IPsec対応であること
  2. セキュリティ機能の有無
  3. VPNパススルー機能の有無

IPsec対応であること

VPNルーターは、製品によって対応しているプロトコルが異なります。必ずIPsec対応かどうか調べましょう。特に価格重視でルーターを選んでいる方は要注意。リーズナブルな値段に惹かれて仕様を確かめずに購入したらIPsec非対応だった、というケースは珍しくありません。貴重な予算を浪費しないよう、仕様をよく確かめましょう。

セキュリティ機能の有無

多くのVPNルーターにセキュリティ機能は付いていますが、製品によって細かな機能が異なります。下の表に代表的なセキュリティ機能と概要を載せていますので、参考にして下さい。

セキュリティ機能

概要

メリット

ファイアウォール

組織内部と外部の

ネットワーク境界に設けられた防護壁

外部からの不正アクセスを

フィルタリングできる

IDS

不正アクセスがあると通知

不正アクセスに素早く対応可能

IPS

不正なパケット(データ)を遮断

ファイアウォールでは防げないアクセスも遮断

プロキシ

ネットワークへのアクセスを代行

接続元IPアドレスの露見を防ぐ

VPNパススルー機能

VPNパススルー機能とは、VPNで扱うデータをルーターから外部ネットワークへ通過させる仕組みのことです。多くのVPNルーターはVPNパススルー機能を搭載していますが、デフォルトでOFFになっているケースがあります。設定画面からVPNの種類にあわせて、パススルー機能をONにしましょう

接続方式を決める

ルーターを購入したら接続方式を決めましょう。

  • メインモード
  • アグレッシブモード

費用とセキュリティ面で違いがあるので、自社の状況にあわせて選んでください。

メインモード

メインモード

メインモードとは、拠点双方のIPアドレスを固定する方式で、どちらの拠点からも接続手続き可能です。また固定IPアドレスを使えば、ファイアウォールで指定のIPアドレス以外からの接続を受け付けない設定も可能。そのため、第三者から不正にVPNへ侵入されるリスクを抑えられます。

デメリットは費用が高くなりがちなこと。安価に構築したい場合は、次のアグレッシブモードを利用しましょう

アグレッシブモード

アグレッシブモード

アグレッシブモードとは、拠点のどちらか一方を動的IPアドレスにして接続すること。動的IPアドレスとは、インターネットにつなぐ度に付与されるIPアドレスです。

メリットは導入費用を安く抑えられること。動的IPアドレスは安価なため、1つの拠点を固定IPアドレスにして、そのほかの拠点を動的IPアドレスにする企業が多いです。

デメリットは、接続方法に制限があること。動的IPアドレスはころころ変わるため、固定IPアドレスを持つ拠点からは接続できません。そのため、動的IPアドレスを持っている拠点から接続する必要があります。

VPNを構築

接続方式を決めたらいよいよVPNの構築です。具体的には以下の手順で構築します。

 

メインモード

アグレッシブモード

ステップ1

ルーターの設定画面を開き、拠点間接続をクリック

ステップ2

接続種別で「IPsec」を選択

ステップ3

「両拠点が固定IPアドレスを使う」を選択

「自分側のみ固定IPアドレスを使う」

を選択

ステップ4

以下の項目を入力

設定名(名前は自由)

接続先のIPアドレス

認証キー

認証アルゴリズム

暗号アルゴリズム

以下の項目を入力

設定名(名前は自由)

接続先のID

認証キー

認証アルゴリズム

暗号アルゴリズム

ステップ5

接続先のLANアドレスを入力

動的IPアドレス保持者が

以下の項目を入力

接続先のID

固定IPアドレス

認証キー

認証アルゴリズム

暗号アルゴリズム

なお、細かな手順や入力内容は製品によって異なるので、詳しい手順は製品カタログを参照してください。

また、トランスポートモードで利用する場合は、端末側の設定も必要。Windows10の場合は以下の手順で設定できます。

 

トランスポートモード利用時の端末設定

ステップ1

スタートボタンから「ネットワーク接続」をクリック

ステップ2

「VPN接続を追加」をクリック

ステップ3

以下の項目を入力

VPNプロバイダー

接続名:名前は自由

サーバー名(またはアドレス)

VPNの種類:「事前共有キーを使ったL2TP/IPsec」を選択

事前共有キー:パスワード

サインイン情報の種類:ユーザー名とパスワード

ステップ4

「VPN接続を追加」というアイコン直下に

接続名が書かれたアイコンが表示されているか確認

IPsec-VPN構築におすすめのルーター3選

IPsec-VPN構築におすすめのルーター3選

RTX830|ヤマハ

RTX830|ヤマハ

画像引用:ヤマハ

RTX830は、静岡県浜松市に本社を構える「株式会社ヤマハ」が開発・販売しているVPNルーターです。従来の拠点間接続に加え、クラウドへのVPN接続や外出先からの組織内部ネットワークも利用できます

そして大きな特徴が、1つのVPN設定で複数拠点への接続が可能なこと。従来のVPNルーターであれば拠点ごとにVPNを接続しなければいけませんが、その手間がなくなります。そのため、新しく拠点ができた場合、簡単にVPNを接続できる点が魅力です。

また、RTX830では最新のLANマップ機能を装備しています。組織内のネットワーク状態を可視化できるため、トラブルが発生してもスピーディに対応できます。

「拠点が増えるからなるべく簡単にVPNを繋ぎたい」「ネットワークの不具合にいつでも対応できる態勢にしたい」という企業におすすめです。

希望小売価格

91,300円

ポート数

LANポート:4ポート

WANポート:1ポート

USBポート:1ポート

最大消費電力

11W

サイズ(mm)

43.5 x 220 x 160

主な機能

マルチトンネル

IPsec

PPTP

 バックアップ 

タグVLAN 

Web GUI

RADIUS認証 

VR-U500X|バッファロー

VR-U500X|バッファロー

画像引用:バッファロー

VR-U500Xは、愛知県名古屋市に本社を構えるデジタル機器メーカー「バッファロー」が開発・販売しているVPNルーターです。

VPNに同時接続できる端末数は、最大で30台。製品には10Gbpsの高速通信用ポートも搭載され、スピード重視のネットワークを導入した企業にぴったりです。

また、ダイナミックDNSと呼ばれる固定IPアドレス不要のネットワークを利用できるため、安価に導入できます。

また、環境負荷が高い場所で動作する点も魅力。動作温度は50度まで保証しているため、空調があまり利かない屋根裏や、工事現場のプレハブでも導入しやすくなります。「VCCI Class B」と呼ばれる電波漏洩防止の規格にも対応しているため、電化製品から発せられるノイズの影響も少ないです。

「安価で高速なVPNを構築したい」「多少劣悪な環境でも稼働するVPNルーターがいい」という企業に、VR-U500Xはおすすめです。

価格

60,280円

ポート数

LANポート(1Gbps):4ポート

LANポート(10Gbps):1ポート

INTERNETポート(10Gbps):1ポート

USBポート:1ポート

最大消費電力

17.32W

サイズ(mm)

220×40×170(突起部除く)

主な機能

IPsec

VLAN(※)

ネットワーク管理

Webブラウザ設定

(※)VLAN:ルーターでLANをグループ分けする機能

ER8411|TP-Link日本

ER8411|TP-Link日本

画像引用:TP-Link

ER8411は東京に拠点を置くネットワークデバイス事業会社「TP-Link日本」が開発・販売しているVPNルーターです。

2つの内蔵電源で障害耐性を高め、ネットワークの高信頼性を実現。10Gbps対応のエンタープライズ向けポートも2つ搭載し、高速なネットワークを実現します。

また「OmadaSDN」と呼ばれる独自のネットワーク管理システムを利用できる点も魅力。アクセスポイントやスイッチ、ルーターなどの機器をクラウドで集中管理できるため、ネットワーク障害を素早く特定できます。

「障害に強いVPNを構築したい」「広域のVPNを効率的に管理したい」という企業に、ER8411はおすすめです。

価格

要問合せ

ポート数

10GE SFP+ポート:2ポート

1GE SFP WAN/LANポート:1ポート

1GE RJ45 WAN/LANポート:8ポート

RJ45コンソールポート:1ポート

USBポート:2ポート

最大消費電力

26.36 W

サイズ(mm)

440 × 220 × 44

主な機能

VPN

SSL-VPN

IPSec-VPN

PPTP-VPN

L2TP-VPN

Open-VPN

セキュリティ

フィルタリング

アクセスコントロール

認証

この章ではIPsecの仕組みと他のVPNとの違いについて紹介しました

この記事では、IPsec-VPNの概要と他のVPNとの違い、構築方法などについて紹介しました。

  • IPsec-VPNはパケットを暗号化するプロトコルで、データの改ざんを検知できる
  • トンネルモードはルーター間の通信を暗号化するため、拠点間VPNに適している
  • トランスポートモードは端末間を暗号化するため、リモートワークに向いている
  • VPNルーターを用意する際にはIPsec対応か確認すること

IPSec-VPNは、安全なデータ通信を実現する上でメジャーな技術の1つ。本記事でご紹介した内容をぜひお役立てください。