概要
VPN(Virtual Private Network)は、公衆ネットワーク上に暗号化されたトンネルを構築し、プライベートネットワークのように安全な通信を実現する技術です。SC試験では「IPsec VPN」と「SSL-VPN」の2方式が特に重要です。
仕組みと動作原理
IPsec VPN
IPsec はネットワーク層(L3)で動作する暗号化プロトコル群です。
2つの動作モード
| モード | 説明 | 用途 |
|---|---|---|
| トランスポートモード | IPヘッダはそのまま、ペイロードのみ保護 | ホスト間の端末間通信 |
| トンネルモード | IPパケット全体を新たなIPヘッダで包む | ゲートウェイ間(拠点間VPN)で一般的 |
2つのプロトコル
| プロトコル | 機能 | 特徴 |
|---|---|---|
| AH(Authentication Header) | 認証・完全性保証のみ | 暗号化なし、NATと非互換 |
| ESP(Encapsulating Security Payload) | 認証+暗号化 | 実用上はほぼ ESP を使用 |
IKE(Internet Key Exchange)フェーズ
IKEv1(2フェーズ)
- フェーズ1:IKE SA(管理用セッション)の確立。メインモードかアグレッシブモードを使用
- フェーズ2:IPsec SA(データ通信用セッション)の確立。クイックモードを使用
IKEv2(IKEv1 を簡略化・強化):2往復(4メッセージ)で SA を確立、EAP 認証サポート
SSL-VPN
TLS を利用したアプリケーション層(L7)の VPN 方式。
| 観点 | IPsec VPN | SSL-VPN |
|---|---|---|
| 動作層 | ネットワーク層(L3) | アプリケーション層(L7) |
| クライアント | 専用ソフトが必要なことが多い | Webブラウザで利用可能 |
| NATトラバーサル | NAT-T が必要 | 問題なし(HTTPS=443) |
| 保護対象 | IP通信全般 | 特定アプリ or 全通信(設定による) |
| 典型的な利用形態 | 拠点間VPN | リモートアクセスVPN |
SD-WAN と VPN
近年の試験では SD-WAN(Software-Defined WAN)が登場。MPLS や IPsec VPN を組み合わせて経路を動的に制御する技術として理解しておく。
SC試験での頻出ポイント
- IPsec のモード(トランスポート / トンネル)の使い分け:問題文でどちらが問われているか判断する
- AH vs ESP:暗号化が必要か否かで選択。AH は認証のみ
- IKEv1 のフェーズ1とフェーズ2の目的:フェーズ1は管理用、フェーズ2はデータ通信用
- NATトラバーサル(NAT-T):ESP はポート番号を持たないため NAT と相性が悪い。UDP 4500 番にカプセル化して回避
- スプリットトンネリング:VPN 接続中、VPN 宛の通信のみトンネルを通す設定。セキュリティリスクに注意
よくある誤問・ひっかけパターン
誤り① 「AH を使えば通信が暗号化される」→ 誤。AH は完全性と認証のみで、暗号化は提供しません。暗号化には ESP が必要です。
誤り② 「SSL-VPN はすべての IP 通信を保護できない」→ 設定次第。ポータル型(特定アプリのみ)とトンネル型(全通信)があります。
誤り③ 「IPsec トランスポートモードは拠点間 VPN に使われる」→ 誤。拠点間は一般的にトンネルモードです。トランスポートモードはホスト間通信向け。
関連用語
- TLS(Transport Layer Security) — SSL-VPN の暗号化基盤
- ファイアウォールとDMZ — VPN ゲートウェイの配置と連携
- 公開鍵暗号(RSA)とデジタル署名 — IPsec 認証の基盤
重要キーワード
| 用語 | 説明 |
|---|---|
| SA(Security Association) | IPsec の通信単位。SA ごとにアルゴリズムや鍵が定義される |
| IKE | IPsec の鍵交換プロトコル。フェーズ1でIKE SA、フェーズ2でIPsec SAを確立 |
| トンネルモード | IPパケット全体を新しいIPヘッダで包むIPsecの動作モード |
| ESP | IPsec のプロトコル。認証+暗号化を提供(最も一般的) |
| NAT-T | NATを越えてIPsec(ESP)を通すためにUDPでカプセル化する技術 |
| スプリットトンネリング | VPN接続中に一部の通信のみトンネルを通す設定 |