Internet Protocol Security — IP レベルで暗号化・認証・完全性保護を行うプロトコル群。VPN や拠点間トンネルの基礎技術として広く利用される。
概要
IPsec は単一のプロトコルではなく、以下のコンポーネントから構成されるプロトコルスイート。
| コンポーネント | 役割 |
|---|---|
| ESP (Encapsulating Security Payload) | ペイロードを暗号化・完全性保護 |
| AH (Authentication Header) | 認証・完全性のみ(暗号化なし、実運用では少数派) |
| IKE (Internet Key Exchange) | SA(Security Association)を確立する鍵交換プロトコル |
| SA (Security Association) | 暗号スイート・鍵・有効期限などのセッション情報 |
2 つの動作モード
| モード | 用途 | 特徴 |
|---|---|---|
| トランスポートモード | エンドツーエンド通信 | 元 IP ヘッダは維持、ペイロードのみ暗号化 |
| トンネルモード | サイト間 VPN / リモートアクセス VPN | IP パケット全体を暗号化し新しい IP ヘッダで包む |
代表的なユースケース
- 拠点間 VPN: ヤマハ RTX 系 / Cisco / FortiGate 等のルータ間で IKEv2 + ESP トンネル
- L2TP/IPsec: L2TP をカプセル化して個人 VPN を構築
- クラウド VPN: GCP Cloud VPN / AWS Site-to-Site VPN / Azure VPN Gateway との接続
- BGP over IPsec: 動的ルーティングと組み合わせたマルチ拠点構成
強みと弱み
| 強み | 弱み |
|---|---|
| 標準化が成熟、相互接続性が高い | 設定項目が多く、設計・運用の複雑度が高い |
| カーネル実装で高速 | NAT 越え(UDP 500 / 4500 / ESP)が二重 NAT 下で難しい |
| 証明書認証で強固 | PSK 運用だと鍵管理が弱点になりがち |
関連用語
- IKE(IKEv1 / IKEv2) — IPsec の鍵交換プロトコル
- L2TP — IPsec と組み合わせて使われることが多いトンネルプロトコル
- NAT — IPsec の NAT 越え課題を生むアドレス変換技術