ネット君 IPsecって、あるじゃないですか。何の略なんですかねぇ。

インター博士 Security Architecture for the Internet Protocolの略だ。

ネット君 え?アーキテクチャーなんですか。プロトコルじゃないんですか?

インター博士 プロトコルじゃないな。

 IPsecは、IP通信そのものをセキュア化するための構造あるいは仕組みのことである。ここでのセキュア化とは、サイバー攻撃といった脅威から、システムやネットワークを保護するために実施する作業を指す。

 IPsecでのセキュア化は、「データの暗号化」「宛先の認証」「データの改ざん検出」の3つに分類される。これらにより、IPで送られるデータに対する盗聴やなりすまし、改ざんなどを防ぐ。

 通信をセキュア化する仕組みとしてはTLSもある。TLSとIPsecの違いは、セキュア化の範囲である。TLSは、TCP/IPの4階層モデルではアプリケーション層とトランスポート層の間に位置し、TCPを使うアプリケーション層のプロトコルをセキュア化する(図1)。具体的には、HTTPやSMTPなどが対象になる。UDPを使うDHCPなどのプロトコルはセキュア化しない。

図1●TLSとIPsecによるセキュア化の違い
TLSではTCPを使うアプリケーション層のプロトコルしかセキュア化できない。一方、IPsecはIPを使うすべてのプロトコルをセキュア化する。
[画像のクリックで拡大表示]

 また、TLSを使用するアプリケーションプロトコルは、使用しないプロトコルとは異なるプロトコル名にして、そのことを明示する必要がある。例えばTLSを使ったHTTPはHTTPSになる。利用するポート番号も、HTTPがTCP 80番であるのに対して、HTTPSではTCP 443番になる。

 一方、IPsecはIPをセキュア化するため、IPを使うすべてのプロトコルが対象になる。さらにTLSとは異なり、IPsecを使うことをアプリケーションプロトコルで明示する必要がない。

ネット君 なるほど。IP通信そのものをセキュア化するってことですね。じゃあ、ほとんどすべての通信が対象になるってことですか。

インター博士 そうだな、例外はARPぐらいかな。

ネット君 なるほど。で、IPsecはプロトコルじゃないって話ですけど、どういうことですか?

4種類の技術から成る

 IPsecは1つのプロトコルではない。4種類の技術から成る、IPをセキュア化する仕組みである。具体的には、「セキュリティープロトコル」「鍵管理」「セキュリティーアルゴリズム」「セキュリティーアソシエーション(SA)」の4種類である。これらの技術を組み合わせてIPをセキュア化する(図2)。

図2●IPsecの構造
IPsecは1つのプロトコルではない。4種類の技術から成る、IPをセキュア化する仕組みである。IPsec自体はRFC 4301で規定されている。
[画像のクリックで拡大表示]

この先は有料会員の登録が必要です。「日経NETWORK」定期購読者もログインしてお読みいただけます。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら