IPsec-VPNとは？仕組みやSSL-VPNとの違い・接続方法、脆弱性について解説

IPsec-VPNとは？

IPsec(Internet Protocol Security)は、IPパケット単位で暗号化や改ざん検知を行うプロトコル群で、通信内容の盗聴や改ざんを防ぐことに役立てられています。

IPsec-VPNはインターネットVPNの1つで、IPパケットを暗号化するIPsec技術・プロトコルを用いたVPN接続方式のことです。IPsec-VPNを導入する際には専用ソフトウェアのインストールや設定が必要ですが、一度設定すればすべてのアプリケーションで利用できます。

各拠点のLAN同士をVPNで接続する際にセキュリティ性が高く、通信内容を安全に保てることから、多くの企業において拠点間の通信などに採用されています。

▷【2024年最新】VPNのおすすめサービス14選を比較！個人向け・安さなどの選び方を解説

IPsec-VPNで使われるプロトコル

IPsec-VPNで使われる「IKE」「ESP」「AH」の3つのプロトコルについて解説します。

IKE(Internet Key Exchange)

IKE(Internet Key Exchange)は、IPsecにおいて安全に鍵交換を実現し、通信相手を認証する際に使われるプロトコルです。

IKEは通信の当事者同士の間で安全な秘密鍵の交換を行い、その鍵をデータの暗号化と認証に利用します。IKEでは、まず相互認証と鍵交換を行ってから実際のデータ通信用の暗号鍵を生成することで、強固なセキュリティを実現しています。

IKEはVPN接続において、セキュリティ上の課題を解決する重要な要素といえるでしょう。

ESP(Encapsulated Security Payload)

ESP(Encapsulated Security Payload)は、IPsecの中核をなし、データの暗号化と認証に使われるプロトコルです。

ESPには、ホスト間の通信でIPヘッダ以降を暗号化するトランスポートモードと、通信の終点がルーターなどの場合にIPヘッダまでを暗号化するトンネルモードの2つがあります。

データとヘッダを暗号化することで第三者への情報漏洩を防ぎ、機密性の高い通信内容を保護します。また、認証機能でデータの改ざんを検知できるのも特徴です。

AH(Authentication Header)

AH(Authentication Header)はIPsecプロトコルにおける認証技術の1つで、データパケットの認証と改ざん検知を行うプロトコルです。

送信側と受信側の間でデータが改ざんされていないか検知と認証を行うほか、IPヘッダ情報の変更も検知できるため、なりすまし防止などにも役立ちます。ただし、AHは単独でデータの暗号化を行わないため、機密データを保護するにはESPと併用することが必要です。

IPsec-VPNの運用方法

IPsec-VPNを運用する2つの方法を解説します。

トンネルモード

トンネルモードとは、拠点間を結ぶルーター同士でIPsec-VPNを実現し運用する方式です。

データとIPヘッダの両方を暗号化し、インターネット上でデータのやり取りをトンネル化することで、外部からは通信内容が見えなくなります。この方式は、拠点間での安全な通信を担保しつつ、組織内で自由に情報共有を行いたい場合に適しています。

ただし、ヘッド部も暗号化されることから、ファイアウォールとの相性がよくない場合があるため注意が必要です。

トランスポートモード

トランスポートモードとは、ルーター同士だけでなく、ルーター越しにある各端末までの通信もVPN化する方式です。ただし、端末に専用のソフトウェアをインストールする必要があります。

トランスポートモードでは、インターネットでやり取りされるパケットのデータ部(ペイロード)のみを暗号化し、宛先となるヘッダ部は暗号化しません。

IPアドレスは公開された状態で、データのみが暗号化されるため、自宅や出張先から会社のネットワークを利用したい場合などに適しています。

SSL-VPNとは？

SSL-VPNは、IPsec-VPNと同様インターネットVPNの1つで、SSL技術を利用してインターネット上で暗号化したデータを送受信するVPNの接続方式です。

パソコンやスマホのWebブラウザから簡単に利用できるため、テレワーク環境にも適しています。

SSL-VPNの接続方式には「リバースプロキシ方式」「ポートフォワーディング方式」「L2フォワーディング方式」の3種類があり、これらを駆使してプライベートネットワークを構築します。

Webブラウザ対応アプリケーション以外には使えないという制約はありますが、「ポートフォワーディング方式」や「L2フォワーディング方式」で接続すればこの制約を解消できます。

また、社内ネットワークのゲートウェイに専用機器を設置する必要がありますが、クライアント側ではソフトウェアのインストールが不要で、導入・設定が簡単なのが特徴です。

SSL-VPNの接続方法

SSL-VPNにおける3つの接続方法を方式別に紹介します。

リバースプロキシ方式

リバースプロキシ方式は、外部ネットワークから社内ネットワークへアクセスするために利用されているSSL-VPNの接続方式です。

ユーザーがWebブラウザにURLを入力し、指定されたURLにアクセスする際、SSL-VPN機器によってアクセス元の認証が行われ、許可されると社内ネットワークに接続できます。

リバースプロキシ方式は、専用ソフトをインストールする必要がなく、Webブラウザで動作するアプリケーションのみで利用可能です。そのため、Webブラウザに対応していないアプリケーションでは利用できないデメリットがあります。

ポートフォワーディング方式

ポートフォワーディング方式は、Webブラウザに対応していないアプリケーションを利用するための接続方式です。

リバースプロキシ方式と同様にWebブラウザから認証を行いますが、インストールしたプログラムからもアプリケーションを操作できる点が異なります。

ポートフォワーディング方式では、接続するパソコンに通信用モジュールをインストールすることで、Webブラウザに対応していないアプリケーションも利用できるようになります。

ただし、通信中にポート番号が変化するアプリケーションは利用できない点には注意が必要です。

L2フォワーディング方式

L2フォワーディング方式は、ポートフォワーディング方式ではうまく機能しないアプリケーションを利用できる接続方式です。

L2フォワーディング方式では、接続するパソコンにSSL-VPNクライアントソフトをインストールし、SSL-VPN機器との間にSSL通信を確立すると、クライアントソフトの仮想NICにVPNに接続するためのIPアドレスが付与されます。

そのため、リバースプロキシ方式やポートフォワーディング方式の制約を解消でき、ポート番号が変化するアプリケーションを含むすべてのアプリケーションで利用可能です。

IPsec-VPNとSSL-VPNの違いとは？

IPsec-VPNとSSL-VPNの違いを4つの観点から解説します。

プロトコル階層の違い

IPsec-VPNとSSL-VPNの違いは、プロトコルの階層にあります。7つの階層のうち、IPsec-VPNが「ネットワーク層」で実装されるのに対し、SSL-VPNは「セッション層」で実装されるのが大きな違いです。

IPsec-VPNは上位プロトコルに依存しません。そのため、HTTPやFTPなどのアプリケーションを変更する必要がなく、独自開発のクライアントサーバーシステムでも利用可能です。

一方、SSL-VPNは下層のプロトコルに依存するため、SSLに対応していないアプリケーションの場合は専用クライアントソフトが必要になります。

開発の目的の違い

IPsec-VPNとSSL-VPNは開発の目的も異なります。

SSL-VPNは、クライアント端末からWebブラウザを使用してサーバーとSSL通信を行うことを目的として開発されました。一方、IPsec-VPNは、物理的に離れた拠点同士で端末やサーバー同士が安全に通信できるようにと開発された経緯があります。

認証方法の違い

IPsec-VPNとSSL-VPNでは認証の方法が異なります。

IPsec-VPNはIPsecプロトコルを通じて通信を暗号化し、サーバーとクライアント端末が相互に認証し合う1対1の認証方式を採用しています。IPsecはネットワーク層で動作するため、SSLがサポートしないプロトコルでも暗号化できるのが特徴です。

一方、SSL-VPNはSSLを使用して通信を暗号化し、クライアント端末からサーバーをSSL証明書で一方的に認証します。また、サーバー側ではIDを用いてクライアント端末を認証するのが一般的です。

運用・管理方法の違い

IPsec-VPNとSSL-VPNは、運用・管理方法にも違いがあります。

IPsec-VPNの運用管理にはハードウェア・クライアントソフト・専門のエンジニアが必要なため、セキュリティが強化される反面、手間とコストがかかります。ただし、一度整備すればリモートアクセスもでき、運用の自由度が高い点がメリットです。

一方、SSL-VPNはWebブラウザで管理できるうえ、追加のアプリケーションも不要です。ただし、業務システムなど特定のアプリケーションへのトンネリングは可能ですが、Webブラウザのセキュリティリスクへの対処が難しい点はデメリットといえます。

VPN接続における機器の脆弱性によるリスク

IPsec-VPNやSSL-VPNは、データ通信を暗号化し安全性を高めますが、VPNルーターや関連機器の脆弱性によるリスクに配慮する必要があります。

機器の脆弱性を突いたサイバー攻撃を受ける可能性があり、具体的には、通信内容の盗聴や改ざん、ネットワーク全体への不正アクセスなどが挙げられます。

このようなリスクを軽減するためには、定期的なファームウェアの更新・脆弱性スキャン・アクセス制限の設定など、機器のセキュリティ強化を徹底することが重要です。

▷VPNのセキュリティは安全？理解しておきたい仕組みやセキュリティリスク・被害事例について

IPsec-VPNとSSL-VPNの違いを理解しよう

仮想の専用回線を利用するVPNとして代表的なIPsec-VPNとSSL-VPNの2つには、プロトコル階層や開発目的、認証方法などに違いがあります。

それぞれの違いを十分に理解したうえで、自社に合った方式を採用し、情報通信・管理のセキュリティ向上に努めましょう。