IPsec(Internet Protocol Security)は、インターネット上で安全な通信を確立するためのプロトコルで、データの暗号化や認証を行うことで、第三者による盗聴や改ざんを防ぎます。
特に企業の本社・支社間やリモートアクセス時のデータ通信の保護に広く利用され、社内LAN同士や在宅勤務など、多様なネットワーク環境でも安定したセキュリティが実現できます。
この記事では、IPsecが提供する2つの動作モード「トンネルモード」と「トランスポートモード」について、それぞれの仕組みと特徴、そしてどのようなシーンで利用されるのかをていねいに解説します。
トンネルモード
トンネルモードでは、元のIPパケット全体(ヘッダ+データ)を暗号化し、その上に新しいIPヘッダを付け加えて送信します。
拠点間VPN(本社や支社間など)で使われることが多く、常時接続に対応しています。
このモードは、企業ネットワークの本社と支社などを安全に結ぶ手段として非常に一般的で、長期間にわたり安定して使われています。
石田先生また、大規模なネットワークや国際間接続など、複数のネットワーク拠点を結ぶ際にも広く用いられており、セキュリティ面でも非常に信頼されています。
VPN機能が入ったルータが暗号化を行い、相手側のVPN機能付きルータで復号するため、パソコンやスマートフォンなどの端末側では特別な設定や操作は不要で、ルータが自動的に暗号化と復号の処理をしてくれるため、ユーザーの利便性が高いのが特徴です。
ルータが自動的に暗号化、復号をしてくれるのは便利ですね。
さらに、暗号化処理はハードウェアベースで高速化されている場合も多く、安定した大容量通信が可能です。
また、このモードではパケットに新しいIPヘッダが付くことで、暗号化範囲が元のIPパケット全体(ヘッダ+データ)となり、経路情報や送信元・宛先情報を含めて保護され、通信内容の秘匿性と整合性を確保します。
※新しいIPヘッダとは、IPsecトンネルモードで利用されるパケット構造の中で、元のIPパケット(オリジナルのヘッダ+データ)を暗号化したあとに付与されるIPヘッダのことを指します。
・送信元と宛先IPアドレスはVPNゲートウェイ同士(ルータなど)になる
・経路情報はこの新しいIPヘッダで管理される
・元のIPヘッダは暗号化される
つまり、新しいIPヘッダはVPNゲートウェイ間の通信のための「外側の封筒」の役割を果たし、元のIPパケットの送信元・宛先やルーティング情報を安全に隠しながら目的地に届ける仕組みです。
※ESP(Encapsulating Security Payload)ヘッダは、IPsecでデータを安全に送るために使う仕組みです。データを暗号化して保護し、必要に応じて改ざんされていないか確認する役割もあります。SPIという番号を使って、どの通信かを区別できるようにしていて、パケットの順番管理や、同じデータを何度も送らないように防ぐ機能も持っています。元のIPパケットの前に付けて、暗号化する部分としない部分を分けて管理するため、ネットワーク機器で正しく届けることができます。
※ESPトレーラは、IPsecのESPパケットの後半に追加される部分です。データ部分の後ろに付いていて、暗号化されたパケットの長さの調整や、次に使うプロトコル(例えばTCPやUDPなど)を示すフィールドが含まれています。ESPトレーラを入れることで、暗号化の範囲を示したり、受信側で正しく復号するための目印になります。
※ESP認証は、IPsecのESPパケットの一部としてオプションで使える機能で、パケットが改ざんされていないか、正しい送信元から届いたものかを確認するためのものです。これにより、データの完全性と認証が保たれ、安全な通信が実現されます。
- 元のIPヘッダが暗号化されるため、経路情報や送信元・宛先情報が第三者から隠蔽される。
- 新しいIPヘッダでルーティングされるため、IPsecゲートウェイ同士の通信に適している。
- 主に拠点間VPNやリモートアクセスVPNで利用される。
トランスポートモード
トランスポートモードでは、元のIPパケットのデータ部分のみを暗号化し、IPヘッダはそのまま送信されます。
リモートアクセスVPN(個人が、使いたいときにアクセス)で使われることが多く、常時接続ではなく必要なときに接続するのが一般的です。
使いたい時に使えるのがトランスポートモードなのですね。
このモードは、企業ネットワークの拠点間VPNと比べて柔軟性が高く、パソコンやスマートフォンなどの個人端末がソフトウェアベースでVPNに接続できます。
ルータではなく、パソコンなどのクライアント端末にVPNソフトをインストールし、そのソフトで暗号化・復号を行うため、個人ユーザーでも比較的手軽に利用できます。
ハードウェアではなくてソフトをインストールして使えるのは手軽ですね。
さらに、暗号化範囲はペイロード部分のみで、IPヘッダは暗号化されないため、ネットワーク層のルーティング情報(送信元や宛先IPアドレス)はそのまま残ります。
これにより、ネットワーク機器のルーティング処理はそのまま機能し、VPN通信でもルータやスイッチでの経路制御が可能です。
また、トランスポートモードでは暗号化や復号の処理をソフトウェアで行うため、ユーザーが使用する端末の処理能力や設定によって通信速度や安定性が影響を受けることがあります。
石田先生主にエンドツーエンドの通信(ホスト間)で利用されることが多く、企業ネットワーク内部だけでなく、在宅勤務や外出先から企業ネットワークへアクセスする際にも利用されています。
- IPヘッダは暗号化されないため、ネットワーク層のルーティング情報はそのまま残る。
- エンドポイント間のセキュアな通信に適している(例:サーバとクライアント間)。
- 拠点間VPNにはあまり向いておらず、個々の端末同士の通信向け。
まとめ
IPsecには、拠点間VPNやリモートアクセスVPN向けのトンネルモードと、ホスト間通信向けのトランスポートモードという2種類の動作モードがあります。
それぞれ、暗号化範囲や用途が大きく異なり、トンネルモードはルータ同士で自動的に暗号化と復号が行われ、元のIPヘッダも暗号化されるため、経路情報も隠蔽できます。
一方、トランスポートモードではエンドポイント間でソフトウェアによって暗号化が行われ、IPヘッダは暗号化されないため、ルーティング情報はそのまま残ります。
これらの違いを理解し、用途や接続形態に合わせてモードを選択することが重要です。
