前のページ 目次 次のページ

最終更新日: 2002年10月25日


7.3  VPN

7.3.1  概要

遠隔のプライベートなネットワーク同士を接続するためには、専用線の敷設や公衆回線の利用が必要であったため、高価なコストがかかっていました。インターネットを利用することで、プライベートなネットワーク同士を安価に接続することができますが、インターネットで利用する TCP/IP プロトコルは、暗号化などのセキュリティ機能は標準で備わっていないため、機密性の高い情報は送信できませんでした。

VPN (Virtual Private Network) は、インターネット上を利用しながら安全な仮想的私設網を実現する技術です。VPN では、双方のネットワークに VPN 装置を設置し、パケットを暗号化して送受信します(図 7-13)。VPN を用いると、コストを抑えながら遠隔のネットワークを接続することができます。暗号化と 復号は双方の VPN 装置で透過的に行われるので、利用者は特段意識することなく 2つのネットワークを同じネットワークとして利用できます。VPN 装置としては、専用機器、ルータ、ファイアウォール、端末用のソフトウェアなどがあります。

図 7-13 VPN のイメージ

VPN の標準プロトコルとして、IPsec (Security Architecture for Internet Protocol)が RFC で公表されています。IPsec は VPN 装置間での互いの認証と暗号化のための鍵交換に、PKI を利用しています。

7.3.2  機能

IPsec を利用した VPN では、以下の機能を提供します。

(1)  守秘性 (Confidentiality)

IP レベルでの暗号化を行い、第三者への情報漏洩を防ぎます。暗号化には、共通鍵によって行われます。共通鍵を VPN 装置間で交換するために、公開鍵が用いられます。

(2)  完全性 (Integrity)

VPN 装置間で交換されるデータの完全性を確認し、情報の改ざんを防ぎます。完全性の確認には MAC (Message Authentication Code)を用います。

(3)  認証 (Authentication)

証明書を利用することで、VPN 装置間の認証を行い、第三者によるなりすましを防ぎます。

7.3.3  IPsec

IPsec では、暗号化を IPプロトコルのレベルで行います。IP 層レベルで透過的に暗号化を行うので、利用者は特段意識することなく様々なアプリケーションを安全な環境で利用できます。IPsec においては、暗号化や鍵交換に利用する具体的なアルゴリズムを規定しておらず、汎用的に使用することができるようになっています。

IPsec において鍵交換や暗号化に利用される代表的なプロトコルを以下に示します(表 7-13)。

表 7-13 IPsec において利用される代表的なプロトコル

プロトコル

説明

IKE

(Internet Key Exchange)

暗号化に使われるアルゴリズムや共通鍵を、VPN 装置間で安全に交換します。

AH

(Authentication Header)

MAC によるデータの認証と完全性の機能を提供します。データの暗号化は行いません。

ESP

(Encapsulating Security Payload)

MAC によるデータの認証と完全性に加え、暗号化による機密性の機能も提供します。

VPN 装置間で決定した暗号アルゴリズムや共通鍵に関する合意を SA (Security Association)と呼びます。IPsec においては、まず IKE によって SA を決定し、次に ESP もしくは AH を用いて IP パケットの安全な送受信を行います [74](図 7-14)。

図 7-14 IPsecの暗号化通信イメージ

ESP はデータを暗号化しますが、AH はデータを暗号化しません。AH はデータの暗号化が制限されている国でも、IPsec を使うために用意されています。

IPsec は、暗号化の形態によって2つのモードがあります。

(1)  トランスポートモード(図 7-15)

IP のデータ部のみを暗号化します。IP ヘッダは暗号化されません。トランスポートモードは、主に端末間の VPN に使用されます。

(2)  トンネルモード(図 7-16)

VPN 装置において、IP ヘッダを含めた暗号化を行います。暗号化したデータには IP ヘッダが付与され、対向の VPN 装置に送信されます。送信ホストと受信ホストの情報を隠すために使用されます。トンネルモードは、主に VPN ゲートウェイ間の VPN に使用されます。

図 7-15 トランスポートモード

図 7-16 トンネルモード

7.3.4  利用形態

VPN 装置には、ルーターやファイアウォールなどの VPN ゲートウェイと、端末に VPN ソフトウェアをインストールする VPN ク ライアントがあります。

VPN 装置の組み合わせによる様々な利用形態を、以下に示します。

(1)  VPN ゲートウェイ同士の接続(図 7-17)

VPN ゲートウェイ同士で VPN を確立し、お互いのネットワーク間に流れるデータを保護します。主に、遠隔にある複数のネットワークを接続するために利用されます。

図 7-17 VPN ゲートウェイ同士の接続

(2)  VPN ゲートウェイと VPN クライアントの接続(図 7-18)

VPN ゲートウェイと、任意の ISP に接続した端末(VPN クライアント)との間で VPN を確立します。主に、モバイル環境から組織内のプライベートネットワークに接続するために利用されます。

図 7-18 VPN ゲートウェイと VPN クライアントの接続

(3)  VPN クライアント同士の接続(図 7-19)

プライベートネットワーク内の特定の端末(VPN クライアント)の間で VPN を確立します。主に組織内で情報を保護するために利用されます。

図 7-19 VPN クライアント同士の接続


前のページ 目次 次のページ Copyright © 2002 Information-technology Promotion Agency, Japan. All rights reserved.