IPsec-VPNについて

IPsec-VPN（Internet Protocol Security VPN）は、IP層（ネットワーク層）で通信を暗号化・認証し、安全なトンネルを構築する仕組みです。

拠点間接続（Site-to-Site）やリモートアクセス、クラウド接続など、企業ネットワークで広く利用されています。

ここでは、技術的に誤解が生じやすい点を整理しつつ、実務設計に役立つ観点まで踏み込んで解説します。

IPsecの基本概念（“IP層で守る”とは何か）

IPsecは、IPパケットに対して以下を提供します。

• 機密性（暗号化）：盗聴の防止
• 完全性（整合性検証）：改ざんの検知
• 認証：通信相手の正当性確認

特徴は、アプリケーションに依存せず、IPパケット単位で保護できること。

HTTPやSMTPなど上位プロトコルを問わず、ネットワーク全体を保護できます。

IPsecの構成要素（IKE・SA・ESP）

IKE（Internet Key Exchange）

IKEは、暗号化通信に必要な鍵交換とパラメータ交渉を行うプロトコルです。

現在はIKEv2が主流です。

• 鍵交換（Diffie-Hellman など）
• 暗号スイートの合意
• 認証（事前共有鍵、証明書 など）
• SA（Security Association）の確立

SA（Security Association）とは

IPsecでは通信ごとにSA（セキュリティ関連付け）が確立されます。

• IKE SA：制御チャネル用
• Child SA：実データ（ESP）用

この2層構造により、安全な鍵管理とデータ転送が実現されます。

ESP（Encapsulating Security Payload）

現在のIPsec実装の中心はESPです。

提供機能

• 暗号化（例：AES-GCM）
• 完全性保護
• 送信元認証

現代的な構成では AES-GCM（AEAD） がよく採用されます。
ハッシュは SHA-256 以上、DHグループは 2048bit以上または ECDH（P-256など）が一般的です。

AH（Authentication Header）

• 暗号化なし
• 認証と整合性のみ提供

NATとの相性が悪く、現在はほとんど利用されません。

実務ではESPが標準です。

トンネルモードとトランスポートモード

トンネルモード（主流）

• IPパケット全体を新しいIPヘッダでカプセル化
• 拠点間VPNで一般的

トランスポートモード

• IPペイロードのみ保護
• ホスト間通信向け

企業VPNではトンネルモードがほぼ標準です。

IPsec-VPNの接続形態

拠点間VPN（Site-to-Site）

本社と支社、データセンター間などを常時接続します。

特徴

• ルーター／FW間で接続
• LAN同士が相互到達可能
• 常時トンネル確立

リモートアクセスVPN

在宅勤務や出張先から社内へ接続。

• IKEv2を利用する構成が主流
• OS標準クライアント対応例も多い
• フルトンネル／スプリットトンネル設計が重要

SSL-VPN（TLS-VPN）との違い

※「SSL-VPN」という名称は慣習的に使われていますが、現在はTLSを使用しています。

技術的な違い（誤解を避けた整理）

観点	IPsec-VPN	SSL/TLS-VPN
保護の位置づけ	IP層（L3）で保護	TLSでトンネル（方式によりアプリ寄りの運用も）
主な用途傾向	拠点間で多い／リモートでも利用可	リモートアクセスで多い／拠点間例もあり
通信通過性	NAT配下ではNAT-Tが必要	443/TCP利用で通りやすい構成が多い
クライアント形態	OS標準/IKEv2/専用クライアント	ブラウザ型／専用クライアント型

重要なのは、用途で絶対的に分かれるわけではないという点です。

実際の選定は、セキュリティ要件・通過性・運用設計・既存機器との整合で決まります。

使用ポート・プロトコル

• UDP 500（IKE）
• UDP 4500（NAT-T）
• ESP（IPプロトコル番号 50）
• AH（IPプロトコル番号 51）

NAT-Tとは？

ESPはTCP/UDPではないため、NAT環境で正常に通過できない場合があります。

そのためESPをUDP 4500でカプセル化する仕組みがNAT-T（NAT Traversal）です。

設計・運用で詰まりやすいポイント

暗号提案（Proposal）の不一致

• 暗号方式
• ハッシュ方式
• DHグループ

どれか1つでも一致しないと接続失敗します。

MTU問題

カプセル化でパケットサイズが増加し、フラグメントや通信断が起きることがあります。

MSS調整が必要になる場合もあります。

ルーティング設計

• ポリシーベースIPsec
• ルートベースIPsec（VTIなど）

設計思想によりトラブルシュート難易度が変わります。

片方向通信（SA非対称）

片側のSAだけ更新されるケースなど、セッション管理トラブルが起きる場合があります。

セキュリティ設計のベストプラクティス

• IKEv2を使用
• AES-GCM採用
• PFS（Perfect Forward Secrecy）有効化
• 証明書認証の採用（大規模環境）
• ログ監視・再接続挙動の確認

主な利用シーン

• 本社–支社間接続
• クラウド接続（AWS/Azure/GCPなど）
• データセンター間通信
• モバイルワーカー接続

まとめ

IPsec-VPNは、

• IP層で通信を保護
• 拠点間で特に多く採用
• 高いセキュリティ設計が可能

という特徴を持つ、企業ネットワークの基盤技術です。

ただし、設計要素が多く、暗号スイート整合・NAT対応・ルーティング設計・MTU調整など、運用レベルの理解が不可欠です。

正しく設計すれば、非常に堅牢で長期運用に耐えるVPN基盤になります。

以上、IPsec-VPNについてでした。

最後までお読みいただき、ありがとうございました。