VPN

VPN (Virtual Private Network:仮想プライベートネットワーク)は、インターネットをはじめとする「安全ではない通信網」を利用して、複数のネットワーク間で安全な通信をするための仕組みです。つまり、その名称からも推測できるとおり、VPNは「実際にプライベートな(個人専用の)ネットワークを作る」のではなく、そのようなネットワークを「仮想的に」作るための仕組みということもできます。「専用線」と呼ばれる仕組みを用いれば、簡単に複数のネットワークを安全に接続することができるのですが、専用線は利用コストが非常に高いため、誰もが気軽に利用できるわけではありません。

この問題を解決するために考案されたのが、専用線と比べて安価に複数のネットワークを接続できるVPNです。VPNでは、あまり安全ではない通信網(インターネット)を使って、安全な通信を実現するために、通信データを暗号化したり、通信データに署名を付与したりします。そうすることで、「まるで各プライベートネットワーク間が専用線で接続されているかのような、機能的、セキュリティ的、管理上のポリシーの恩恵などが、管理者や利用者に対し実現できます。なお、VPN はネットワーク間だけではなく、特定のコンピューターとネットワークを接続する際にも利用されています。たとえば、社外から会社の内部ネットワークへ安全に接続するために使われています。

VPNを利用できる機材は安価に入手可能

ネットワーク間を安全に接続するためには、VPN を構成できるルーターなどを人手する必要があります。上を見たらキリがありませんが、安価なものであれは「ロあたり数万円で入手できるものもあります。なお、OS の標準機能で提供される VPN 機能や市販のブロードバンドルーターでもVPNを構築することは可能ですが、これらの場合は、ネットワーク間を安全に接続するための機能としてではなく、コンピューターを内部ネットワークに安全に接続させるために利用するための機能として提供されているものが多いです。

IPsec

IPパケットの暗号化と認証のためのプロトコルIPsec は、TCP/IP 通信で使われるIPパケット単位の暗号化と、パケットが改ざんされていないことを確認(認証)するためのプロトコルです。VPNを構築アイビーセックする際によく用いられます。IPsec では多くの場合、IPパケットそのものを暗号化し、暗号化された IPパケットをペイロードにして、さらにIPヘッダーを付与して通信を行います。IPパケットの暗号化と復号は、IPsecを解釈する「IPsecゲートウェイ」と呼ばれる装置で行います。

IPsec ゲートウェイの働き

IPsec ゲートウェイは、通常の TCP/IP 通信をIPsec 通信に変換したり、IPsen通信を通常の TCP/IP通信に変換したりするための装置です。IPsec ゲートウェイを用いた変換処理では、1つの IP パケットが1つのIPsecパケットに対応します。そのため、IPsec パケットが1つ欠損しても、それはIPパケット1つの欠損で済むため、SSL-VPNのような「TCP セッションを用いる VPN」と比べ、VPNを運用する際の安定性に優れます。

共通鍵暗号化方式と4つの鍵

IPsec は、暗号化のために共通鍵暗号方式を使用します。これは、パケットを1つ1つ暗号化するためには、共通鍵暗号方式による高速な暗号化が不可欠だからです。暗号化されたパケットは、さらに認証鍵によってハッシュ値が計算され、パケットの改ざんに備えます。IPsec パケットの送信時には暗号鍵と認証鍵が1つずつ必要であり、受信時には送信時とは別の暗号鍵と認証鍵が1つずつ必要です。つまり、合計で4つの継アイクが必要になります。このすべての鍵を手動で設定するのは大変なので、通常はINE(Internet Key Exchange)と呼ばれる仕組みを用いて鍵を設定します。