公共回線――それは、誰もが自由に使える便利な道でありながら、同時に危険も潜む場所です。企業の支社間通信や在宅勤務のデータ送受信は、この「公共の道路」を通るため、盗聴・改ざん・なりすましといったリスクに常にさらされています。そこで登場するのがVPNや暗号化プロトコルなどのセキュリティ技術です。
本記事では、インターネットVPN・IP-VPN・SSL-VPNといった構築方式から、IPsec・IKE・AH・L2TP・GREなどの通信プロトコルまで、体系的に整理します。さらに、トランスポートモードとトンネルモードの違いや、PPTP・IKEv2・NATトラバーサルなど試験でも頻出の要素もカバー。実際の業務シーンや身近な例えを交えながら、公共回線を安全に使うための全体像をつかめるように解説します。
試験対策としてはもちろん、実務で「VPNってどれを選べばいいの?」と迷うときの判断基準にもなる内容です。あなたのネットワーク知識を、ここで一段レベルアップさせましょう。
目次
インターネットVPN・IP-VPN・SSL-VPNの特徴と用途│公共回線の安全利用と試験対策
公共回線を使った拠点間通信には、いくつかの代表的なVPN方式があります。ここでは、試験でも頻出の3種類――インターネットVPN、IP-VPN、SSL-VPN――を比較しながら、それぞれの特徴と用途を整理します。
1. インターネットVPN
インターネット上に暗号化トンネルを構築し、拠点間やリモート端末と安全に通信します。もっとも一般的で、コストも低い方式ですが、インターネット経由のため通信品質は回線状況に依存します。
- 特徴:安価・柔軟、インターネット利用
- 用途例:在宅勤務、海外拠点接続、小規模拠点間通信
- 試験ポイント:IPsecやSSL-VPNと組み合わせる実装が多い
2. IP-VPN
通信事業者が提供する閉域網(専用ネットワーク)を利用するVPN。インターネットを経由しないため、通信品質と安定性が高い一方、コストは高め。
- 特徴:閉域網利用、高品質・高安定性
- 用途例:基幹システム接続、大規模拠点間通信
- 試験ポイント:「インターネットを使わない=暗号化不要」のケースがあるが、セキュリティ要件次第で暗号化を併用する場合もある
3. SSL-VPN
Webブラウザや専用クライアントから、SSL/TLSを使って安全に通信する方式。インターネットVPNの一種で、既存のWebポート(443番)を使えるためファイアウォール越えが容易。
- 特徴:SSL/TLS利用、設定容易、クライアント側負担少なめ
- 用途例:モバイル端末から社内Webシステムへのアクセス
- 試験ポイント:TCPポート443利用、アプリケーション層での暗号化
| 項目 | インターネットVPN | IP-VPN | SSL-VPN |
|---|---|---|---|
| 回線種別 | 公共回線(インターネット) | 事業者閉域網 | 公共回線(インターネット) |
| 主な暗号化方式 | IPsec / SSL | 必要に応じて | SSL/TLS |
| 通信品質 | 変動あり | 高品質・安定 | 変動あり |
| コスト | 低 | 高 | 低 |
| 主な用途 | 拠点間接続、テレワーク | 基幹システム接続 | モバイルアクセス、社内Web利用 |
身近な例え
- インターネットVPN:一般道路を使うが、通信内容は暗号化した手紙で送るイメージ
- IP-VPN:企業専用の高速道路を借り切って使うイメージ
- SSL-VPN:公共道路を通るが、Webサイトの「鍵マーク」を通って社内に入るイメージ
IPsecの仕組みとトランスポートモード/トンネルモードの違い│VPN暗号化の基礎
IPsec(Internet Protocol Security)は、IPパケット単位で暗号化や認証を行い、安全な通信を実現するプロトコル群です。VPN構築で最も利用される暗号化方式の一つで、特にインターネットVPNやIP-VPNのセキュリティ強化に用いられます。
1. IPsecの基本構成
IPsecは大きく2つの機能プロトコルと鍵交換プロトコルで構成されます。
- AH(Authentication Header):データの認証と改ざん検知(暗号化はしない)
- ESP(Encapsulating Security Payload):データの暗号化+認証
- IKE(Internet Key Exchange):暗号化に必要な鍵やアルゴリズムを安全に交換する仕組み
2. トランスポートモード
- 動作:IPパケットのペイロード部分のみ暗号化(元のIPヘッダは残す)
- 用途:端末間(ホスト間)通信の暗号化
- メリット:ヘッダがそのままなのでルーティング負荷が少ない
- デメリット:元の送信元・宛先IPが見えるため、経路情報は秘匿できない
3. トンネルモード
- 動作:IPパケット全体を暗号化し、新しいIPヘッダを付加
- 用途:ゲートウェイ間VPN(拠点間通信)で利用
- メリット:送信元・宛先IPを秘匿できる
- デメリット:新たなIPヘッダ分の通信オーバーヘッドが発生
| 項目 | トランスポートモード | トンネルモード |
|---|---|---|
| 暗号化範囲 | ペイロードのみ | パケット全体 |
| ヘッダ | 元のIPヘッダを利用 | 新しいIPヘッダを追加 |
| 主な用途 | ホスト間通信 | 拠点間VPN |
| 秘匿性 | 宛先IPは見える | 宛先IPを隠せる |
| 試験出題傾向 | IPsec+端末間 | IPsec+ゲートウェイ間 |
身近な例え
- トランスポートモード:封筒の中身だけを暗号化し、封筒の宛名は見える状態
- トンネルモード:封筒ごと大きな封筒に入れ、中身も宛名も見えない状態
IKEフェーズ・IKE SA・Child SA・IKEv2の流れ│IPsec鍵交換の全体像
IPsecによる暗号化通信では、暗号化に必要な鍵やアルゴリズムを安全に共有するためにIKE(Internet Key Exchange)が使われます。IKEは、通信相手と「どうやって暗号化するか」を事前に取り決める重要なステップです。
1. IKEフェーズ1(IKE SAの確立)
- 目的:IKE SA(Security Association)を作成し、鍵交換のための安全な経路を確立する
- 主な処理:
- 暗号化アルゴリズムや認証方式の選択(例:AES、SHA、PSKなど)
- Diffie-Hellman鍵交換による共通鍵生成
- 相手の認証(証明書や事前共有鍵)
- 結果:以降の通信で使う安全な管理チャネルができる
2. IKEフェーズ2(Child SAの確立)
- 目的:実際のデータ通信に使うChild SAを作成
- 特徴:
- フェーズ1で確立した安全チャネル上で交渉する
- データ通信の暗号化アルゴリズムや鍵の詳細を決定
- 結果:IPsecトンネルが使える状態になる
3. IKEv2の改善点
- メリット:
- フェーズ1とフェーズ2を統合し、必要なパケット交換回数が減少
- NATトラバーサルやモビリティのサポート強化
- エラー処理の改善
| 用語 | 役割 | 対象 | 試験ポイント |
|---|---|---|---|
| IKE SA | 鍵交換やChild SA交渉用の安全なチャネル | 管理通信 | フェーズ1で作成 |
| Child SA | 実際のデータ通信を暗号化 | ユーザデータ | フェーズ2で作成 |
| IKEv1 | 従来のIKE方式 | 鍵交換 | フェーズ1+フェーズ2の2段階 |
| IKEv2 | 改良版IKE方式 | 鍵交換 | 手順簡略化、機能追加 |
身近な例え
- IKE SA:まず「金庫の鍵をどう作るか」を話し合う会議室(安全な場所)を作る
- Child SA:会議室で決めた方法で実際の金庫の鍵を作り、荷物を運び始める
- IKEv2:会議と鍵作りを同じ部屋で同時に進める効率的なやり方
NATトラバーサル・PPTP・L2TP・GREの特徴と用途│VPN補助技術と試験頻出プロトコル
VPNや暗号化通信を実現する際には、IPsecやSSL-VPN以外にも、接続を補助したり、互換性を確保したりするためのプロトコルが存在します。ここでは、試験でも問われやすい4つの要素を整理します。
1. NATトラバーサル(NAT-T)
- 役割:NAT(Network Address Translation)を通過できないIPsecトラフィックを、UDPでカプセル化して通過可能にする
- 理由:IPsecのESPはNATで書き換えられると認証が失敗するため、そのままでは通過できない
- 用途:家庭用ルータやモバイルネットワーク経由のVPN接続
- 試験ポイント:UDPポート4500利用が多い
2. PPTP(Point-to-Point Tunneling Protocol)
- 特徴:
- 古くからあるVPNプロトコル(Microsoft主体で普及)
- PPP(Point-to-Point Protocol)をベースにトンネリング
- 暗号化はMPPE(Microsoft Point-to-Point Encryption)を使用
- 課題:脆弱性が指摘され、現在は非推奨
- 用途:旧システムや互換性目的
3. L2TP(Layer 2 Tunneling Protocol)
- 特徴:
- PPTPとCiscoのL2Fを統合して作られたトンネリングプロトコル
- 暗号化機能は持たないため、IPsecと組み合わせるのが一般的(L2TP/IPsec)
- 用途:モバイルVPN、企業内リモートアクセス
- 試験ポイント:L2=データリンク層レベルのトンネル
4. GRE(Generic Routing Encapsulation)
- 特徴:
- Ciscoが開発した汎用トンネリングプロトコル
- マルチプロトコル対応(IPv4・IPv6・IPXなど)
- 暗号化は行わないため、必要に応じてIPsecと併用
- 用途:異種ネットワーク間接続、ルーティングプロトコルのトンネル化
| 技術 | 役割/層 | 暗号化機能 | 主な用途 | 試験ポイント |
|---|---|---|---|---|
| NAT-T | IPsec補助(通過性) | なし | NAT環境でのVPN | UDP 4500 |
| PPTP | トンネル(L2) | MPPE | 旧環境VPN | 脆弱性あり |
| L2TP | トンネル(L2) | なし(IPsecと併用) | モバイルVPN | L2TP/IPsec |
| GRE | トンネル(L3) | なし(IPsecと併用) | マルチプロトコル接続 | Cisco由来 |
身近な例え
- NAT-T:大型荷物をトラックから小型バンに積み替えて狭い道路を通る工夫
- PPTP:昔の郵便配送システム。簡単だけど防犯が弱い
- L2TP:専用通路は作るけど、鍵は別のセキュリティで管理
- GRE:何でも入る汎用コンテナ。ただし中身の防犯は別途必要
公共回線セキュリティ技術の選び方と試験対策ポイント│実務とIPA試験に強くなる
ここまで紹介したVPN方式や暗号化プロトコルは、特徴や適用場面が異なります。実務では「どの技術を使うか」を状況に応じて選ぶ必要があり、IPA試験ではそれらの違いと組み合わせを理解しているかが問われます。
1. 選び方の基本
- 通信経路の品質重視:IP-VPN(閉域網)
- コスト重視/柔軟性重視:インターネットVPN(IPsecやSSL-VPNと組み合わせ)
- モバイルや外部からのアクセス:SSL-VPNまたはL2TP/IPsec
- マルチプロトコルや特殊環境:GRE+IPsec
- NAT環境の通過性が必要:NAT-T対応
2. 組み合わせ例(実務シナリオ)
| シナリオ | 推奨構成 | 理由 |
|---|---|---|
| 在宅勤務で社内システム利用 | SSL-VPN | ブラウザアクセス可、ファイアウォール越え容易 |
| 拠点間の基幹システム接続 | IP-VPN+IPsec | 高品質+暗号化によるセキュリティ強化 |
| 海外拠点からの接続 | インターネットVPN(IPsec)+NAT-T | 公共回線利用+NAT環境通過 |
| ネットワーク間のルーティング情報共有 | GRE+IPsec | マルチプロトコル対応+暗号化 |
3. 試験対策ポイント
- 比較表暗記よりも特徴理解:例えば「SSL-VPN=ポート443」「L2TP=暗号化なし」「トンネルモード=全暗号化」など、キーワードで覚える
- 組み合わせ問題:PPTPは単独利用だと脆弱、L2TPはIPsec併用など
- モードと用途:トランスポートモードは端末間、トンネルモードは拠点間
- IKEの流れ:フェーズ1(IKE SA)→フェーズ2(Child SA)→データ通信開始
身近な例え
VPNや暗号化技術を選ぶのは、道路の種類や輸送方法を決めるようなものです。
- 高速道路(IP-VPN)を使うか、一般道(インターネットVPN)を使うか
- 荷物(データ)を普通の封筒(非暗号)で送るか、厳重な金庫(IPsec)で送るか
- 港や検問所(ファイアウォール)をすんなり通れる船(SSL-VPN)を選ぶか
状況に応じてベストな組み合わせを選ぶことで、安全かつ効率的な通信が実現できます。