• 会員限定
  • 2008/02/01 掲載

基礎から分かるVPNの最新事情(2)WAN接続を合理的に実現するIPsecとIP-VPNとは?

まずは基礎からしっかりマスター

記事をお気に入りリストに登録することができます。
VPNは公衆ネットワークを使って仮想の専用線を構築する技術であり、各拠点を安価、かつ高速に接続するために、今や不可欠の存在だ。今回は、拠点間接続(LAN間接続)を実現するためのVPNの手法、IPsecとIP-VPNの仕組みとソリューションにフォーカスし、解説を進めていく。

池田冬彦

池田冬彦

AeroVision
富士総合研究所(現みずほ情報総研)のSEを経て、出版業界に転身。1993年からフリーランスライターとして独立しAeroVisionを設立。以来、IT系雑誌、単行本、Web系ニュースサイトの取材・執筆やテクニカル記事、IT技術解説記事の執筆、および、情報提供などを業務とする。主な著書に『これならできるVPNの本』(技術評論社、2007年7月)、『新米&シロウト管理者のためのネットワークQ&A』(ラトルズ、2006年5月)など多数。

拠点同士を安価に接続するIPSec

 VPN(Virtual Private Network)は、「仮想的」な専用線だ。その登場から普及に至る背景については前回解説した通りだが、世界でもトップレベルのブロードバンド大国で、すでに日本全国の主要都市に立地していれば、ほとんどの企業がFTTHを使うことが可能である。これを有効利用して、WAN回線のように活用しようという動きは、自然な流れと言えるだろう。

 さて、拠点同士をVPNで接続する方法には、インターネットを利用する「IPsec」と、VPN専用の事業者網を使う「IP-VPN」の2つがある。今回は、この2つのVPNについて、詳しく見ていくことにしよう。

 IPsecは95年にIPの拡張プロトコルとして標準化された、セキュリティのためのプロトコルだ。IPsecは発信元アドレスやデータ内容の真正性(改ざんされていないこと)、データ漏えいに対する保護機能を提供している。元々、VPNのために開発されたプロトコルではないが、今やVPNの代名詞として広く使われている。

 IPsecを使う場合は、特別な事業者網の契約は必要ない。現在利用しているインターネット回線をそのまま利用し、各拠点にIPsec対応のVPNゲートウェイを設置しておけばいい。中小規模の企業やオフィス、個人オフィスなどでも安価、かつ手軽に拠点間を接続できるわけだ。

IPsecの基本はカプセル化

 インターネットという公衆網の中で、ユーザ専用の仮想閉塞網を作るには、他のユーザから侵入できない「トンネル」を作る必要がある。もちろん、このトンネルは物理的にシールドされたものではなく、論理的な仮想のトンネルを構築し、閉塞性を作りだしているのだ。

 仮想的にトンネルを作るーと言っても、どのような手法で作るのか、今ひとつイメージしにくいだろう。IPsecのトンネリングは、実際にはパケットをカプセルで包んで外側から見えないようにすることで実現している。このカプセル化を行うのは、IPsecに対応したVPNゲートウェイの役目だ。

 LANから、他の拠点を宛先とするパケットをVPNゲートウェイが受け取ると、そのパケットをIPsecの通信で必要なセキュリティヘッダなどの情報を付加してカプセル化してインターネットに送り出す。これを受け取った別の拠点のVPNゲートウェイは、受け取ったIPsecのパケットを元のIPパケットに戻し、その拠点内のLANに転送する。

図1 IPsecのトンネル生成の仕組み

IPsecでは、制御用トンネルを作るための相互認証、
制御トンネル上での暗号鍵の生成を経て、
はじめてデータ通信用のトンネルが片方向づつ
作成される


相互認証と暗号化でデータを守る

 ただし、このカプセル化だけでは安全な仮想トンネルとは言えない。正当な接続元になりすました悪意あるユーザが拠点に接続を試みた時、あるいは、正しい送信先と思われる相手が、拠点のVPNゲートウェイになりすまして通信を行おうとする可能性があるからだ。この問題を解決するのが、相互認証と暗号化の仕組みである。

 IPsecでは、IKE(Internet Key Exchange:インターネット鍵交換)という仕組みを使って、相互認証とデータの暗号化を行っている。拠点同士がIPsecで通信を行う場合、双方が所有するPSKという事前共有鍵を使って、ハッシュ値を元に、お互いが正当かどうかを調べ、データ暗号化に必要なデータをやりとりするための「ISAKMP SA」という制御用トンネルを作る。

 この制御用トンネルで、暗号化のための鍵交換データをやりとりし、これらの情報を元にハッシュ値を生成、そのハッシュ値とIPアドレスを元に相互認証を行う。この相互認証を経て、実際のデータ通信用のトンネルが作成され、生成された鍵を元にデータが暗号化されたIPsecのパケットが流れる仕組みだ。

 暗号化については、事前に生成した鍵を使い、IPヘッダの付いたデータにパケットの長さを調整するための「ESPトレーラ」というデータを付加し、これを丸ごと暗号化する。そのデータに、さらにパケット改ざんを検出するための「ESP認証データ」とVPNトンネリングに必要な「ESPヘッダ」、さらに、宛先のVPNゲートウェイのグローバルアドレスが入ったIPヘッダを付加してインターネットに送信される。

 これらの詳細な仕組み複雑・難解で、1冊の専門書で語るほどのボリュームを持っているため本連載では省略するが、少なくとも、双方の機器がユーザ名やパスワードをやりとりして端末認証と暗号化を行う、といった単純な仕組みではないことがおわかり頂けたと思う。

図2 IPsecのカプセル化の仕組み

IPsec通信のための各種情報が付加されて
インターネットに送信される。
これを受け取ったVPNゲートウェイは、
逆のプロセスで元のIPパケットに
復元(デカプセル化)する 作成される

関連タグ

あなたの投稿

関連コンテンツ

PR

処理に失敗しました

トレンドタグ

おすすめユーザー

会員登録で動画、資料に使えるホワイトペーパー、オンラインセミナー年間500本など、会員限定記事が​閲覧できる!​

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます