第10回 仮想的に専用線環境を実現するVPNの常識：知ってるつもり？「セキュリティの常識」を再確認（4/5 ページ）

[宮崎輝樹（三井物産セキュアディレクション），ITmedia]

　IPsecは、インターネットVPNを実現する技術として、もっとも普及している技術である。IPsecは、送受信を行う相手の認証とパケットの暗号化による盗聴の防止、パケット認証による改ざんの防止など、セキュアな通信を実現するためIETFによって標準化が行われた総合的な技術である。

　IPsecでは、元パケットをヘッダを含めてカプセル化する「トネリングモード」と、もともとのパケットのヘッダを利用する「トランスポートモード」が用意されている。VPNで利用する場合はトネリングモードを利用する。また、IPsecでは、送受信相手の認証とパケットの認証のみを実現するAH（Authentification Header）と、認証に加えて暗号化も実現するESP（Encapsulation Security Payload）という2種類のヘッダが規定されているが、VPNでは暗号化も行えるESPヘッダを利用する（図7）。

図7■IPsecの仕組み

　まず、IPsecを利用した拠点間接続について見てみよう。IPsec機能を持ったルータは非常に低廉化しており、小さな拠点をADSLでインターネットに接続して、IPsecに対応したブロードバンドルータなどを使って本社と接続すれば、非常に低コストで拠点間接続を行う事ができる。

　IPsecは、標準化されたプロトコルではあるが、総合的なプロトコルである反面、非常にオプションが多く複雑なプロトコルである。そのため、当初は各ベンダー間での相互接続性が低かった。しかし、近年ではベンダー間の相互接続性も高まっている。ただし、IP-VPNと異なり、インターネットを通信路として利用するため、トラフィックのスループットや遅延時間が保証されない。障害が発生する可能性もある。そのため、緊急の通信が必要ない小さな店舗との接続や、IP-VPNなどのバックアップ回線として利用されることが多い。

　次に、IPsecをリモートアクセスで利用することを考えよう。クライアントPCにIPsecクライアントソフトをインストールし、企業のIPsecゲートウェイと接続することで、IPsecをリモートアクセスにも利用することができる。IPsecクライアントソフトは、Windows 2000／XPに標準で実装されているし、IPsec機器に無償でついている場合もあるため、リモートアクセスを安く実現することができる。ただし、IPsecクライアントの設定は複雑であり、多数のユーザーに利用させる場合、クライアントの設定の管理等が大変である。

　また、IPsecは、NAT（Network Address Transfer）と非常に相性が悪い。例えばADSLにブロードバンドルータが接続された自宅のネットワーク内などから、会社のネットワークにリモートアクセスしようとすると、通信できない場合もある。最近のほとんどのブロードバンドルータでは、不具合を回避するために「NATトラバーザル」に対応しているが、古いブロードバンドルータには対応していないものも多い。さらには、後で説明するSSL-VPNと比べて、細かなアクセスコントロールが行えない。用途が限定されたリモートアクセスや、非常に多数のユーザーに対してリモートアクセスを利用させる場合には、クライアントレスでリモートアクセスを実現できるSSL-VPNの方が向いているであろう。

SSL-VPN