●トピック

・仮想プライベートネットワーク
・IPsec
・SSL/TLS

  ●深く知る  

ネットワーク通信暗号化の話をしましょう。企業間のネットワークでは、インターネットのように安全性が担保されないネットワークを経由しても、データ自体の安全性が保たれるようにしなければなりません。IPsec（アイピーセック）はネットワーク層で機密性を保護する仕組みです。ネットワーク層で通信を暗号化するため、繋がれたネットワークはネットワーク層レベルで同じ環境に位置することを意味します。よく異なるサーバー基盤上にある社内インフラ環境同士を統合する際に、サーバー自体を同じ環境に移動させるのは負担が大きいので、IPsecでつなぐことで同じインフラ環境内にあることと同等に見なす、というような場合に使われます。IPsecは、セッションを管理するTCPやUDPよりも下のレイヤーで行われる暗号化ですから、通信データごとに暗号化する方式とは少し異なります。小包の中身を他の人から見えなくするよりも、自動的に暗号化するトンネルができたと解釈する方が近いところです。

IPsecによって、安全が確保された通信路のことをSAといいます。このSAを確立する際、暗号化のための鍵を交換するためのプロトコルをIKEといいます。IKEによって鍵を交換し、SAが確保されたらデータを安全に通信することができます。IPsecでは、単純に通信端末を1対1でデータ内容だけを暗号化する方式をトランスポートモードといいます。安全な通信はするものの、複数の端末を持っておりゲートウェイのようにSAを集約する方式をトンネルモードと言います。とても便利なIPsecですが、Webサイトを閲覧するときにはあまり使えません。接続先を増やすためにSAを確保しなければならず、数多くあるWebサーバー相手では、SSL/TLSでの実装が使われます。

SSL/TLSは、セッション層でデータを暗号化するプロトコルですが、SSL/TLSというアプリケーションがあるというわけではありません。他のアプリケーション層のプロトコルと一緒に利用され、そのサービスの通信データを暗号化する役割を担います。Webページを見るときに使われるHTTPの通信を暗号化したければ、SSL/TLSと組み合わせた機密性のあるHTTPS通信として接続するという関係性になります。IPsecを紹介した時と逆の立場で説明すると、SSL/TLSはアプリケーション層でのデータを暗号化するため、イントラネットを共有するというようなネットワーク環境が同じであるというような見方ができませんので、異なるインフラ基盤のイントラネットの統合という目的で使われることは少ないでしょう。