IPsecは,インターネットの基盤プロトコルであるIPに,セキュリティ技術を加えたものである。今回は,講座を3段階に分け,講義風にまとめた。Part1のオリエンテーションでは,IPsecの概要と用途をざっと見わたす。

 「IPsec(アイピーセック)」は,インターネットの基盤プロトコルであるIPに,セキュリティ技術を加えたものだ。最近では1万円を切るブロードバンド・ルーターにも搭載され,専門家だけでなく,にわか管理者やホーム・ユーザーも利用する機会が増えている。

現実に即した技術にフォーカス

 IPsecは,認証,鍵交換,暗号などの複数のセキュリティ技術が組み合わさり,広い範囲をカバーしている。しかも,それぞれのセキュリティ技術は奥深い。一朝一夕に,これらすべてを理解するのは難しいだろう。実際,IPsecを解説した書籍は,数百ページにもなる分厚いものばかりだ。

 でも大丈夫。実際の機器が利用している部分だけにフォーカスすれば,習得すべき範囲は絞れる。IPsecの仕様は実際の機器が採用していないモードやプロトコルも含んでいる。ここでは,こうした部分を無視して,現実に即した技術だけを見ていく。実際には,それでIPsecを十分理解できるからだ。

 今回は,講義風にまとめた3段階の内容でIPsecの仕組みを理解する。最初のオリエンテーション(Part1)で,IPsecの概要と用途をざっと見わたす。次に続く必修(Part2)では,IPsecを根本から解説する。インターネットのような誰でも簡単にアクセスできるネットワークを介して,IPパケットをいかに安全にやりとりできるようにしているかがわかるだろう。そして,最後に演習(Part3)として,実際にIPsec対応機器を使うときに陥りやすい問題と対策を紹介する。

 それでは,オリエンテーションから始めよう。

仮想的なトンネルを作る

 IPsecはインターネットなどに,仮想的なトンネルを作るプロトコルである(図1)。

図1●仮想的なトンネルでLAN同士をつなぐIPsec<br>IPsecを使えばIPパケットを安全にやりとりできる。ゲートウエイ装置やクライアント・ソフトウエアで実現する。
図1●仮想的なトンネルでLAN同士をつなぐIPsec
IPsecを使えばIPパケットを安全にやりとりできる。ゲートウエイ装置やクライアント・ソフトウエアで実現する。
[画像のクリックで拡大表示]

 インターネット上の2地点間に仮想的なトンネルを作り,そこにIPパケットを通すのである。トンネルは入り口と出口が1カ所しかない1本道だから,トンネルに転送されたパケットは,ほかからじゃまされることなく確実に出口に届く。多数のユーザーがアクセスし,いろんな種類のパケットが流れるインターネットの上にIPsecでトンネルを作れば,自分だけの専用網のように使うことができる。いわゆるインターネットVPNである。

 さらにIPsecでは,トンネルを通すパケットに暗号をかける。仮想的なトンネルを通すといっても,現実にはトンネルの外のパケットと一緒にインターネット中を流れる。すると,パケットの中身が誰かに盗聴されるかも知れない。暗号によって,トンネルを流れるパケットの内容を第三者に見えなくするのである。

LAN同士またはPCとLANをつなぐ

 IPsecが利用される場面は,大きく分けて二つある。LAN同士をつなぐLAN間接続と,外出先や自宅のパソコンと会社のLANをつなぐリモート・アクセスだ(図2)。

図2●IPsecの用途<br>LAN間接続やリモート・アクセスに使える。
図2●IPsecの用途
LAN間接続やリモート・アクセスに使える。
[画像のクリックで拡大表示]

 LAN間接続とは,離れた拠点同士をインターネットで結ぶ使い方。使い勝手は専用線とほぼ同じである。各拠点をADSLやFTTHなどのブロードバンド回線でインターネットと接続すれば,月額1万円前後でLAN同士を安全につなぐことができる。

 実際にLAN間接続として利用するには,LANとインターネットの間にIPsecゲートウエイという装置を設置する。このゲートウエイがトンネルの入り口と出口になり,出入りするパケットの門番として働く。最近では専用装置だけでなく,IPsecゲートウエイ機能を内蔵したブロードバンド・ルーターも出てきている。安いものは1万円弱で入手できる。

 もう一つの用途であるリモート・アクセスとは,パソコンをインターネットに接続し,会社のネットワークにアクセスする使い方だ。会社のネットワークとインターネットの間にIPsecゲートウエイを設置し,リモート・アクセスするパソコン側に専用のクライアント・ソフトをインストールして使う。クライアント・ソフトの役割は,IPsecゲートウエイとほとんど同じである。IPsecゲートウエイがLAN側の端末すべてのパケットを扱うのに対して,クライアント・ソフトはパソコンがやりとりするパケットだけを扱う点だけが異なる。