IPsecは,IPパケットを安全にやりとりするためのもの。インターネット上で仮想的に専用線を構築する「インターネットVPN」の定番技術である。ネットワークに携わるユーザーなら,一度は言葉を目にしたことがあるだろう。

 例えば,「IPsec搭載」とうたう小型ルーターが,店頭で数多く販売されている。こうしたルーターを会社や自宅に設置して,インターネット経由の仮想専用線を自前で構築するユーザーは多い。また,IPsecを使った「インターネットVPNサービス」も多くの通信事業者が提供しており,こうしたサービスを利用して本社と支社のネットワークを結んでいる企業も多い。簡単・安全に拠点間をつなぎたい──。こうなると,まずIPsecを考えることになるわけだ。

カバー範囲が広いのが難しい原因

 身近な存在である一方で,IPsecは,理解するのが難しいプロトコルの代表でもある。書店で販売されている参考書は分厚く内容も難解だ。

 IPsecが難解なのは,IPsecがカバーする技術範囲があまりに広いから(図1)。自由度が大きく,使えるプロトコル,暗号技術,認証技術などを幅広く認めている。そのためIPsecにまつわるすべての技術を理解しようとすると,途中で「結局IPsecは何をするものなのか?」という本質を見失い,理解が止まってしまう。

図1●IPsecはなぜわかりにくい?
図1●IPsecはなぜわかりにくい?
IPsecで通信ができるようにするまでの準備段階が長く,そこで使われるプロトコルやモードも複雑だ。暗号や認証の知識も必要になる。 [画像のクリックで拡大表示]

 日経NETWORKでも過去に,特集や連載でIPsecを取り上げてきた。これらの記事でも,なるべく多くを解説しようと,あまり使われていない技術や,利用するうえでは理解する必要のない技術まで詳しく解説してしまっていた。これだと「結局IPsecって何をするものだっけ?」という疑問だけが残ってしまう。

定番のケースに絞って攻略

 そこで本特集では,これまでと違った新手法でIPsecを攻略する。それは,IPsecが使われている典型的なケースを取り上げ,そのケースのやりとりだけに注目するというものだ。

 IPsecが実際に使われているパターンは,ルーター間でトンネルを作るために利用されるケースがほとんどで,使われている技術も定番がある。こうした定番のケースだけを集中的に理解することが,IPsecを実践的に理解する上で重要であると日経NETWORKでは考えた。

 ルーター間でトンネルを作る場合のIPsecのやりとりを見てみると,片方のルーターにIPパケットが到着して,暗号通信が始まるまでにやりとりされるパケットは,わずか10個である。この10個のパケットのやりとりだけに注目すれば,勉強する範囲をぐっと絞ることができる。

誌上体験から始めよう

 わずか10個のパケットに絞ったとはいえ,それでもお互いのルーターが処理する内容は複雑である。そのため,10個のやりとりを順番に追っていくと,「この通信は何のためにやっているんだ?」という疑問ばかりが先行して理解が進まない。そこで,解説の順番も“日経NETWORK流”でいこう(図2)。

図2●IPsecを理解するためのアプローチ
図2●IPsecを理解するためのアプローチ
最初から勉強していくとなかなか理解が進まない。そこで最初に,通信の全体像をざっくり把握する。その上でIPsecの最終目的を押さえ,その目的を実現するために何をしているのかを順番に見ていく。
[画像のクリックで拡大表示]

 まず次の「実践編」を読んでほしい。IPsecがいかに簡単に利用でき,何を設定すればどんなことができるのかを確認できる。実は,ここを押さえればIPsecを使うための知識はクリアしており,IPsecを半分マスターしたようなものだ。すでにIPsecを利用している人は復習のために,「IPsecは使ったことがないのでイメージがわかない」という人はIPsecを実感するために読んでほしい。

 実践編では,拠点に置いたルーター同士によるトンネル通信と,パソコンから遠隔地にあるルーターにリモート・アクセスするケースを併せて記した。続く「攻略編」では,前者のトンネル通信のやりとりを解説していく

全体をつかんでから逆にたどる

 IPsecのやりとりの流れは,情報を安全にやりとりするための土台作り(フェーズ1),IPsecの暗号通信をするための準備(フェーズ2),実際のIPsecの暗号通信──という3段階の流れになっている。攻略編では最初に,この流れの全体像をつかむ。全体像がわかったうえで個々を読み進めていけば,どこの部分の話なのかを見失うことはない。

 続いて,通信の流れとは逆に,IPsecの暗号通信,フェーズ2,フェーズ1──の順番に解説をしていく。

 まずIPsecの暗号通信のしくみを見ることで,IPsecの最終目的を見失わないようにする。またそこで同時に「IPsecの暗号通信を実現するために必要なものは何か」を確認する。すると,その次に見るフェーズ2がその答えになる。

 次のフェーズ2でも,フェーズ2の流れを見ながら「フェーズ2の通信をするために必要なものは何か」を確認する。するとその答えが次のフェーズ1を見ればわかるようになっている。こうして,最終的にIPsecに関するやりとり全体を網羅する。これが,“日経NETWORK流”のIPsec攻略法だ。

 そして最後に,資料としてIPsecの通信の全貌も示した。本特集で解説した内容が一覧できる。