近年、リモートワークが一般に浸透しつつあり、すでに導入している企業や、導入を検討している企業もあるのではないでしょうか。
そんな時に問題になるのが、情報セキュリティ面での不安です。
現代のリモートワークでは、VPN(Virtual Private Network)というインターネット上に仮想のプライベートネットワークを作成する技術が使われていますが、そのセキュリティは完全に安心できるものではありません。
「リモートワーク中に情報漏洩、不正アクセスが起きてセキュリティ担当の私に責任を問われた」
そんなことになる前に、IPSecを活用しましょう。
今回は、IPSecについて解説します。
また、リモートワークでのセキュリティリスクをなるべく低減するべく、LRMでは、リモートワーク導入時に読んでおきたい基本的なセキュリティ対策集を無料で配布しております。
こちらからダウンロードできますので、ぜひご活用ください。
IPSecとは
IPsecはSecurity Architecture for Internet Protocolの略で、暗号化によってパケットの秘匿や改ざん検知を実現するプロトコルです。
プロトコルとは「通信のルール」を意味する単語で、インターネットを介して拠点間を接続する、インターネットVPN(仮想的なプライベートネットワーク接続)を実現するためのプロトコルです。
IPSecの仕組み
では、IPsecはいったいどんな仕組みなのでしょうか。
IPsecの通信モードには「トランスポートモード」と「トンネルモード」が存在します。
それぞれ簡単に説明します。
トランスポートモード
トランスポートモードは、通信パケットのみを暗号化するものです。
2つのホスト間の通信で使用される通信モードにあたります。
IP通信に必要な、IPヘッダの暗号化しないため、セキュリティ面にやや不安が残ります。
トンネルモード
反対にトンネルモードは、IPヘッダを含めたパケット全体を丸ごと「データ」として暗号化します。
ここが大きな違いです。
新たなIPヘッダを付加する方式で、必要なIPヘッダを含めてデータとして暗号化するため、セキュリティ・ゲートウェイ間や、セキュリティ・ゲートウェイとホスト間での通信ができ、トランスポートオードよりもセキュリティが強化されています。
特にセキュリティが重要視されるIT企業の場合、トンネルモードで運用されているとでしょう。
IPsecは、以下のプロトコルで構成されています。
- AH(Authentication Header)
データの改ざん対策 - ESP(Encapsulating Security Payload)
通信内容の暗号化 - IKE(Internet Key Exchange)
秘密鍵を一定時間経過後、新たな秘密鍵に変更する
これらのプロトコル(通信のルール)を使い、セキュリティ対策をより強固なものにします。
トランスポートモードおよび、トンネルモードでは主にAHとESPのプロトコルが使われています。
IPSec-VPNとは
IPsec-VPNとは、IPsecを使ったVPNで、OSI7階層参照モデルの第3階層であるネットワーク層のプロトコルであるIPで暗号化する方式です。
| 階層 | 名称 | 内容 |
|---|---|---|
| 第7階層 | アプリケーション層 | アプリケーション間のやり取り |
| 第6階層 | プレゼンテーション層 | データ形式 |
| 第5階層 | セッション層(SSL-VPN) | 接続手順 |
| 第4階層 | トランスポート層 | データ通信の制御 |
| 第3階層 | ネットワーク層(IPsec-VPN) | インターネットワークでの通信 |
| 第2階層 | データリンク層 | 同一ネットワーク上での通信 |
| 第1階層 | 物理層 | ケーブルなど |
より深い階層で動作するため、現在主流のリモートワークのアクセス手法によく用いられています。
IPSec-VPNの仕組み
仮想的なネットワークを構築する際、ネットワーク層で動作し、IKE(Internet Key Exchange)プロトコルを利用していて、IPパケットも含めて丸ごと暗号化しているため、安全性が高い構造なのが特徴です。
また、万が一不正にアクセスされても、データが改ざんされていないかも確認するため、セキュリティ対策も強力です。
IPSec-VPNとSSL-VPNとの違い
「IPSec-VPN」のほかに、「SSL-VPN」というVPNも存在します。
SSL-VPNは、暗号化された通信の「SSL技術」を使い、VPNで接続するネットワーク内のデータを暗号化できるリモートアクセスVPNです。
似た名前なので、どちらも同じものだと思う人もいるかもしれませんが、実は大きな違いがあるんです。
具体的な違いは「動作する階層」と「安全性」です。
IPSec-VPNはOSI7階層のネットワーク層で動作するのに対し、SSL-VPNはセッション層で動作します。
動作する階層が深いほど、安全性が高く、広い範囲のソフトウェアで動作できるため、IPSec-VPNのほうがより実用性が高いといえるでしょう。
SSL-VPNはWebブラウザがあれば利用できる点やモバイル端末からもアクセスできるなど手軽さが便利ではありますが、リモートワークで運用するのであればIPSec-VPNのほうが適しています。
IPSec-VPNの利用シーン
IPSec-VPNはリモートワークに向いていると先ほど書きましたが、リモートワークの中でも以下の3点が必要な環境に適しています。
- 通信先が固定されている
- 高いセキュリティが必要
- データ通信が安定している
それぞれ簡単に解説します。
通信先が固定されている
通信先がすでに固定されている場合は、LANが接続できるIPSec-VPNが適しています。
IPSec-VPNはLANを使用して拠点間を接続できるため、通信速度が安定しています。
ただし、データのやり取りにスマートフォンしか使わない場合は、IPSec-VPNは利用できないため、SSL-VPNを利用しましょう。
高いセキュリティレベルが必要
IPsec-VPNはSSL-VPNに比べて暗号化がIPヘッダを含めたパケットも暗号化されている分、セキュリティレベルが高いです。
扱っているデータが機密情報などの場合、より高いセキュリティレベルが求められるので、その環境でリモートワークをする場合にはIPsec-VPNが利用されます。
高いパフォーマンスが必要
大量のデータをアップロードやダウンロードする場合、通信速度が安定していることがスムーズな業務に必要です。
SSL-VPNはブラウザでも利用できるため手軽ではありますが、一気に大量のファイルをやり取りするには安定性が足りません。
企業の規模やデータの容量が大きくなるほど、IPsec-VPNが活躍するでしょう。
まとめ
IPsecについて解説しました。
IPsecは、暗号化によってパケットの秘匿や改ざん検知を実現するプロトコルであり、そのプロトコルを使ったVPNはセキュリティレベルがかなり高く、使いやすいためリモートワークにピッタリだということがわかりました。
リモートワークをこれから導入する会社でセキュリティ担当をしている方は、この機会に理解して環境構築に生かしましょう。
