ページの作成
親となるページを選択してください。
親ページに紐づくページを子ページといいます。
例: 親=スポーツ, 子1=サッカー, 子2=野球
子ページを親ページとして更に子ページを作成することも可能です。
例: 親=サッカー, 子=サッカーのルール
親ページはいつでも変更することが可能なのでとりあえず作ってみましょう!
| この記事の要点 |
|
概要
IPsec(IP Security)は、IP パケットそのものを暗号化・認証する標準プロトコル群です。TLS がアプリケーションに近い層で個々のコネクションを守るのに対し、IPsec はネットワーク層(L3)で動作するため、アプリケーションが TLS に対応しているかどうかに関係なく、その端末・拠点が出すすべての IP 通信をまとめて保護できるのが大きな特徴です。前章のVPN、特にサイト間 VPN の事実上の標準として、企業のルーターやファイアウォール間で広く使われています。
仕組み
IPsec は複数のプロトコルの組み合わせで成り立ちます。中心となるのが AH と ESP という 2 つのプロトコルです。
- AH(Authentication Header):認証と完全性(改ざん検知)を提供するが、暗号化はしない。中身は見えるが、書き換えられていないことは保証する
- ESP(Encapsulating Security Payload):暗号化に加えて認証・完全性も提供する。実務ではほぼ ESP が使われる
動作モードも 2 種類あります。トランスポートモードは IP ヘッダーはそのままに、ペイロード(中身)だけを保護します。端末同士の直接通信向けです。トンネルモードは元の IP パケット全体を暗号化し、新しい IP ヘッダーで包み直します。元の送信元・宛先 IP も隠れるため、ゲートウェイ間(拠点間 VPN)で使われるのはこちらです。
暗号化を始める前に、双方で「どの暗号方式・鍵を使うか」を取り決める必要があります。これを担うのが IKE(Internet Key Exchange)です。IKE はディフィー・ヘルマン鍵交換で共有秘密を作り、相互認証(事前共有鍵 PSK や証明書)を行い、SA(Security Association)と呼ばれる「暗号化の取り決めの束」を確立します。IKEv2 が現在の主流で、接続の安定性や再接続性が改善されています。SA は送受信で別々に作られ、定期的に鍵を更新(リキー)することで安全性を保ちます。
設定・実用例
Linux の strongSwan を使ったサイト間 IPsec トンネルの設定イメージです(IKEv2・事前共有鍵)。
# /etc/ipsec.conf (拠点 A 側)
conn site-to-site
keyexchange=ikev2
left=203.0.113.1 # 自拠点グローバル IP
leftsubnet=10.1.0.0/24 # 自拠点 LAN
right=198.51.100.1 # 相手拠点グローバル IP
rightsubnet=10.2.0.0/24 # 相手拠点 LAN
ike=aes256-sha256-modp2048
esp=aes256-sha256
authby=secret
auto=start
# /etc/ipsec.secrets (事前共有鍵)
203.0.113.1 198.51.100.1 : PSK "your-strong-pre-shared-key"
# 起動と状態確認
ipsec restart
ipsec statusallこの設定で、両拠点の LAN(10.1.0.0/24 と 10.2.0.0/24)が暗号トンネル越しに相互通信できるようになります。
主な用途
- サイト間 VPN:本社-支社、オンプレ-クラウド(AWS/Azure VPN ゲートウェイ)の常時接続
- リモートアクセス VPN:IKEv2/IPsec はモバイル端末でも安定して使える
- キャリア網の保護:通信事業者のバックボーン暗号化
- クラウド間接続:異なるクラウド/リージョン間のプライベート接続
比較テーブル
| 要素 | 選択肢 | 役割 |
|---|---|---|
| プロトコル | AH / ESP | AH=認証のみ/ESP=暗号化+認証(主流) |
| モード | トランスポート / トンネル | ペイロードのみ/パケット全体 |
| 鍵交換 | IKEv1 / IKEv2 | SA 確立・鍵交換(v2 が推奨) |
| 認証 | PSK / 証明書 | 相手の正当性確認 |
注意点
- NAT 越えに注意。間に NAT があると AH は破綻する。NAT-T(ESP の UDP カプセル化)を使う
- 事前共有鍵(PSK)は十分に長く複雑にする。短い PSK は総当たりで破られる
- 両拠点で暗号方式(ike/esp)の設定が一致しないとトンネルが張れない
- 設定項目が多く複雑。簡潔さを重視するなら WireGuard も検討する
関連リンク
ページの作成
親となるページを選択してください。
親ページに紐づくページを子ページといいます。
例: 親=スポーツ, 子1=サッカー, 子2=野球
子ページを親ページとして更に子ページを作成することも可能です。
例: 親=サッカー, 子=サッカーのルール
親ページはいつでも変更することが可能なのでとりあえず作ってみましょう!
子ページはありません
人気ページ
- 1 Eclipseで「サーバーに追加または除去できるリソースがありません。」の原因と対処法
- 2 tomcat の起動 / 停止ログと catalina.log・catalina.out の違い
- 3 JavaScript base URL 取得方法|window.location.origin と SSR/Node.js 対応
- 4 YouTube Data API v3 エラー一覧|403/400/404 の主要原因と切り分け
- 5 Spring Frameworkのアノテーション一覧
- 6 Laravel エラー一覧|500/Blade/DB 接続/ルーティングの代表エラー
- 7 3Dグラフィックスとは|モデリング/レンダリング/主要ソフトウェア (Blender / Maya)
- 8 【Spring】@Valueアノテーションとは
- 9 CATALINA_HOME の確認方法 (Linux / Mac)
- 10 【Spring】@Autowiredアノテーションとは
最近更新/作成されたページ
- IPv6とは|128bitアドレス・コロン16進表記/::省略・リンクローカル・SLAAC・デュアルスタック NEW 2026-06-22 12:34:44
- MAC アドレスフィルタリングの仕組みと限界 | ネットワーク入門 NEW 2026-06-22 12:19:10
- VPNとは|暗号トンネル・サイト間/リモートアクセス・IPsec/SSL-VPN/WireGuardを解説 NEW 2026-06-22 12:19:10
- Web通信プロトコル入門 HTTP/2・HTTP/3・WebSocket・gRPC・WebRTC | ネットワーク入門 NEW 2026-06-22 12:17:25
- WebRTC とは ブラウザ間 P2P の音声・映像・データ通信 | ネットワーク入門 NEW 2026-06-22 12:17:25
- HTTP/2 とは 多重化・HPACK・バイナリフレーム | ネットワーク入門 NEW 2026-06-22 12:17:25
- HTTP/3 (QUIC) とは UDP ベースの低遅延 Web 通信 | ネットワーク入門 NEW 2026-06-22 12:17:25
- WebSocket とは 全二重リアルタイム通信 ws/wss | ネットワーク入門 NEW 2026-06-22 12:17:25
- gRPC とは HTTP/2 + Protocol Buffers の高速 RPC | ネットワーク入門 NEW 2026-06-22 12:17:25
- ファイアウォールとは|パケットフィルタ・ステートフル・DMZ・次世代FW(L4/L7)を解説 NEW 2026-06-22 12:17:24
- TLS/SSLの仕組み|ハンドシェイク・暗号スイート・前方秘匿性・証明書検証をわかりやすく解説 NEW 2026-06-22 12:17:24
- CDN とは エッジキャッシュ・TTL・Cloudflare/CloudFront | ネットワーク入門 NEW 2026-06-22 12:17:24
- iptables/nftablesとは|テーブル・チェーン・ルール例・永続化をLinux視点で解説 NEW 2026-06-22 12:17:24
- HAProxy とは frontend/backend と設定例 | ネットワーク入門 NEW 2026-06-22 12:17:24
- 証明書と認証局(CA)とは|X.509・信頼チェーン・DV/OV/EV・失効(CRL/OCSP)を解説 NEW 2026-06-22 12:17:24
コメントを削除してもよろしいでしょうか?