IPsecとは?仕組み・AH/ESP/IKEとVPNでの使い方、SSL/TLSとの違いと選び方を解説
IPsec(アイピーセック)とは、IPパケットそのものを暗号化・認証し、インターネットのような信頼できない経路でも通信の中身を守るためのプロトコル群です。拠点間をつなぐVPNの土台として広く使われ、Web閲覧に限らずあらゆるIP通信をまとめて保護できる点が特徴になります。この記事で扱うのは、IPsecがネットワークのどの層で何を守るのかという位置づけ、AH・ESP・IKEという構成要素とSA(暗号化の取り決め)の関係、トランスポートモードとトンネルモードの違い、そして拠点間VPNやクラウド接続での使い方です。最後に、IPsec-VPNとSSL/TLS-VPNのどちらを選ぶべきか、IPsecを自前で運用すべきかまで、条件付きで判断基準を示します。
目次
まとめ|IPsecとはIP層で通信を丸ごと暗号化するVPNの土台
IPsecは、IP層(ネットワーク層)で動作し、その上を流れる通信を中身ごと暗号化・認証するプロトコルの集まりです。特定のアプリに依存せず、IPで運ばれる通信ならまとめて保護できるため、拠点と拠点を常時つなぐサイト間VPNの標準的な方式として定着しています。守る要素は、盗聴を防ぐ「暗号化」、改ざんを検知する「完全性」、なりすましを防ぐ「認証」の3つです。
仕組みの中核は、実際にパケットを暗号化するESP、認証だけを担うAH、そして暗号鍵を安全に交換するIKEの3要素にあります。オンプレの機器同士だけでなく、AWSやAzureのクラウドと自社拠点をIPsecでつなぐサイト間VPNも一般的です。クラウドとのIPsec-VPNやネットワーク全体の設計で迷う場合は、インフラ構築(AWS/GCP/Azure)で構成段階から相談を受け付けています。
IPsecとは何か|IP層で通信を暗号化・認証する仕組みの位置づけ
IPsecを理解する近道は、「どの層で、何を守るのか」を押さえることです。IPsecはIP層で動くため、その上位で動くアプリケーションを問わず、通信を経路ごと包んで保護できます。
IPsecの位置づけ|IPレイヤーで通信をまとめて暗号化・保護する
ネットワーク通信は、アプリケーション・トランスポート・IP(ネットワーク)といった層が積み重なって成り立っています。IPsecはこのうちIP層で動作し、IPパケット単位で暗号化と認証をかけるプロトコルです。Webブラウザの通信を守るTLSがアプリケーションに近い層で個別に働くのに対し、IPsecは下の層でまとめて守るため、Web・メール・ファイル転送・業務システムなど、そのIPで流れる通信を種類を問わず一括で保護できます。VPN全体の位置づけや種類は、親テーマのVPNとは何か・仕組みと企業導入の判断基準で整理しています。
IPsecで守れる3つの要素|暗号化(機密性)・完全性・認証
IPsecが通信に与える保護は、次の3点に整理できます。盗聴されても中身を読ませない「暗号化(機密性)」、途中で書き換えられていないかを検知する「完全性」、通信相手が本物かを確かめる「認証」です。この3つがそろって初めて、公衆網を経由しても閉じた回線のように扱えます。逆に言えば、暗号化だけでは改ざんを見抜けず、認証がなければ相手のなりすましを許すため、3要素をまとめて満たす設計がIPsecの狙いです。
なぜIP層で守る必要があるのか|アプリを問わず経路ごと保護できる
アプリケーションごとに暗号化を実装すると、対応していないソフトの通信は素通りになります。IP層で守れば、その拠点から出ていく通信を経路の入口でまとめて包めるため、個々のアプリが暗号化に対応しているかを問わずに保護できます。これが、拠点全体をつなぐVPNでIPsecが選ばれる理由です。境界での通信制御を担うファイアウォールと組み合わせ、「通す通信はIPsecで暗号化し、通さない通信は遮断する」という設計が定番になります(境界制御の仕組みはファイアウォールとは何か・種類と選び方で扱っています)。
IPsecの仕組み|AH・ESP・IKEとSA(暗号化の取り決め)の関係
IPsecは単一のプロトコルではなく、役割の異なる複数の要素の集まりです。パケットを守るAHとESP、鍵を交換するIKE、そして両者が使う取り決めのSA。この4語の関係がわかれば、IPsecの動作はほぼ見通せます。
AHとESPの役割の違い|認証だけを行うか、暗号化まで担うか
実際にパケットを保護するのが、AHとESPの2つのプロトコルです。役割が重なる部分もありますが、暗号化を行うかどうかで明確に分かれます。
| プロトコル | 暗号化 | 認証・完全性 | 主な用途 |
|---|---|---|---|
| AH(認証ヘッダ) | 行わない | 行う | 改ざん検知・送信元の確認 |
| ESP(暗号ペイロード) | 行う | 行う | 盗聴防止+改ざん検知 |
AHは中身を暗号化せず、パケットが改ざんされていないことと送信元の正しさだけを保証します。一方ESPは暗号化と認証の両方を担うため、盗聴も改ざんも防ぎたい実務ではESPを使う構成が主流です。中身を隠す必要があるVPNでは、AH単体ではなくESPが選ばれます。
IKEによる鍵交換とSAの確立|フェーズ1とフェーズ2の2段階
暗号化には鍵が要りますが、その鍵を経路の上でそのまま送れば盗まれてしまいます。そこで鍵を安全に交換する役割を担うのがIKE(Internet Key Exchange)です。IKEは2つの段階を踏んでSA(Security Association=暗号方式や鍵の取り決め)を確立します。フェーズ1では、まずIKE自身が安全にやりとりするための経路を作り、互いの認証を済ませます。続くフェーズ2では、実際にデータを流すためのIPsec用のSAを確立する流れです。SAは通信の向きごとに作られ、有効期限が来ると鍵が自動で更新されるため、長時間の接続でも同じ鍵を使い続けずに済みます。
トランスポートモードとトンネルモードの違い|守る範囲と使い分け
IPsecには、パケットのどこまでを保護するかで2つのモードがあります。守る範囲が異なり、用途で選び分けます。
| モード | 暗号化する範囲 | IPヘッダの扱い | 主な使いどころ |
|---|---|---|---|
| トランスポートモード | データ部分のみ | 元のヘッダを使う | 端末間の直接通信 |
| トンネルモード | 元パケット全体 | 新しいヘッダを付ける | 拠点間VPN・機器同士の接続 |
トランスポートモードは元のIPヘッダを残してデータ部だけを保護するため、端末どうしが直接やりとりする場面に向きます。トンネルモードは元のパケットをまるごと暗号化し、その外側に新しいIPヘッダを付けて運びます。送信元・宛先のアドレスまで隠せるうえ、VPN機器を出入口にできるため、拠点と拠点をつなぐサイト間VPNではトンネルモードが基本です。
IPsec-VPNの使いどころ|拠点間接続とクラウドとの接続
IPsecがもっとも使われるのが、VPN(仮想的な専用線)の構築です。物理的な専用線を引く代わりに、インターネットの上にIPsecで暗号化した通り道を作り、離れた場所を安全につなぎます。
サイト間VPNとリモートアクセスVPN|つなぐ対象で分かれる
IPsec-VPNの使い方は、大きく2つに分かれます。1つはサイト間(拠点間)VPNで、本社と支社のように、拠点のネットワーク機器どうしをトンネルモードで常時つなぐ形です。拠点内の端末は特別な設定なしに、暗号化された通り道を通って相手拠点と通信できます。もう1つはリモートアクセスVPNで、在宅勤務者の端末から社内ネットワークへ、個別に暗号化接続を張る使い方です。近ごろはリモートアクセス用途でSSL/TLS-VPNを選ぶ企業も増えていますが、拠点どうしを固定的に結ぶ用途では、いまもIPsecが標準的な選択肢になります。
クラウドとのIPsec接続|AWS/Azureのサイト間VPNで自社拠点をつなぐ
システムをクラウドへ移す構成が広がり、IPsecの出番はオンプレ拠点間だけにとどまりません。AWSやAzure、Google Cloudは、自社拠点とクラウド上の仮想ネットワークをIPsecで結ぶサイト間VPN(Site-to-Site VPN)のマネージドサービスを備えています。自社側のルーターやファイアウォールと、クラウド側のVPNゲートウェイの間でIKEによる鍵交換を行い、トンネルモードで暗号化した経路を張る仕組みです。専用線より低コストで導入でき、クラウド上の業務システムへ社内ネットワークからそのまま到達できます。クラウド全体をどう守るかという設計は、クラウドセキュリティの考え方と責任共有モデルとあわせて検討すると全体像がつかめるはずです。オンプレからクラウドへネットワークを延ばす構成は、既存の回線とアドレス設計の棚卸しから入るのが安全で、インフラ構築(AWS/GCP/Azure)では新規構築と移行の双方に対応しています。
IPsec-VPNとSSL/TLS-VPNの違い|どちらを選ぶか
VPNには、IPsecを使う方式と、WebでもおなじみのSSL/TLSを使う方式があります。層も設定の重さも違うため、用途で選び分けます。ここは構成図ではなく判断の話です。
IPsec-VPNとSSL/TLS-VPNの比較|層・対象・導入の手間
2方式の違いを、実務で効く観点に絞って並べます。
| 観点 | IPsec-VPN | SSL/TLS-VPN |
|---|---|---|
| 動作する層 | IP層(ネットワーク層) | トランスポート層より上 |
| 守る通信 | あらゆるIP通信を一括 | 主にWebや対応アプリ |
| 端末側の準備 | 専用クライアントや機器設定 | ブラウザ中心で軽い |
| 向く用途 | 拠点間の常時接続 | 個人のリモートアクセス |
SSL/TLSそのものの仕組みは、実装者向けにTLSとは何か・SSLとの違いとバージョン選定で詳しく扱っています。
選び分けの判断基準|ネットワーク拠点をつなぐか、人をつなぐか
判断軸はシンプルです。本社・支社・データセンターといった拠点のネットワークどうしを固定的に、常時つなぎたいならIPsec-VPNが向きます。トンネルモードで機器の間に太い通り道を1本張れば、拠点内の端末は個別設定なしに相手拠点と通信できる形です。一方、社外にいる従業員が自分の端末から社内へ、必要なときだけ接続する用途ならSSL/TLS-VPNのほうが導入も運用も軽くなります。ブラウザや軽量クライアントで済み、端末ごとの機器設定が要らないためです。「つなぎたいのは拠点(ネットワーク同士)か、人(個々の端末)か」を最初に決めると、方式選びで迷いにくくなります。両方の要件があるなら、拠点間はIPsec、在宅アクセスはSSL/TLSと、用途ごとに併用するのが現実的な設計です。
IPsecを自前で運用すべきか|採用の条件と、見送るべき場面
IPsecは強力な仕組みですが、常に自前で組むのが正解とは限りません。設定は細かく、鍵の設計やモードの選択、機器ごとの相互接続性など、運用で見るべき点が多いためです。採用すべき場面と、別の手段に寄せたほうがよい場面を条件付きで示します。
IPsecを自前で組むべき構成|拠点間の常時接続と自社運用体制がある場合
自前でIPsec-VPNを組む価値が高いのは、複数拠点を常時つなぐ必要があり、ネットワーク機器を継続して運用できる体制が社内にある構成です。拠点間のトラフィックが多く、専用線ほどのコストはかけられないが暗号化された固定経路が要る、という要件にIPsecはよくかみ合います。クラウドとのサイト間VPNのように、片側をマネージドサービスに任せられる場合は、自社側の機器設定だけに集中できるため運用負荷も抑えられます。
自前運用を見送るべき場面|小規模・在宅中心・運用人手が薄い場合
逆に、つなぎたいのが少数の在宅勤務者だけで、拠点間の常時接続がない場合、IPsecを自前で構える手間は過剰になりがちです。この規模なら、SSL/TLS-VPNやマネージドのゼロトラストアクセスサービスに寄せたほうが、端末側の設定が軽く運用も続けやすくなります。また、ネットワーク機器を扱える担当が薄い組織で自前のIPsec機器を持つと、鍵の更新やモード設定、機器間の相互接続の切り分けが属人化し、障害時の復旧が滞りかねません。判断軸は「拠点を常時つなぐ要件があるか」「機器を運用し続ける人手があるか」の2点です。この2つが薄いなら、暗号化はマネージド側に委ね、自社は接続設計に集中する選択のほうが、長期的には軽く安全に運べます。
よくある質問
IPsecの検討でよく挙がる質問に回答します。
IPsecとは何ですか?わかりやすく教えてください
IPsecは、IPパケットを暗号化・認証して、インターネットのような信頼できない経路でも通信の中身を守るプロトコル群です。IP層で動くため、Webやメール、業務システムなど、その経路を流れる通信を種類を問わずまとめて保護できます。おもに拠点と拠点をつなぐVPNの土台として使われ、盗聴を防ぐ暗号化、改ざんを検知する完全性、なりすましを防ぐ認証の3つを同時に満たします。
IPsecのAH・ESP・IKEの違いは何ですか?
役割が異なります。AH(認証ヘッダ)はパケットの改ざん検知と送信元の確認だけを行い、暗号化はしません。ESP(暗号ペイロード)は暗号化と認証の両方を担い、盗聴も改ざんも防ぐため、VPNではESPが主に使われます。IKE(鍵交換)は、暗号化に使う鍵を経路の上で安全に交換し、SA(暗号方式や鍵の取り決め)を確立・更新する役割です。パケットを守るのがAH・ESP、その準備を整えるのがIKE、という関係になります。
トランスポートモードとトンネルモードはどう違いますか?
暗号化する範囲が違います。トランスポートモードは元のIPヘッダを残してデータ部分だけを保護するため、端末どうしが直接通信する場面に向く方式です。トンネルモードは元のパケットをまるごと暗号化し、外側に新しいIPヘッダを付けて運ぶため、送信元・宛先のアドレスまで隠せます。VPN機器を出入口にできることから、拠点間をつなぐサイト間VPNではトンネルモードが基本です。
IPsec-VPNとSSL-VPNはどちらを選ぶべきですか?
つなぐ対象で選びます。本社と支社のように拠点のネットワークどうしを常時つなぐならIPsec-VPNが向き、トンネルモードで機器間に固定経路を張れば拠点内の端末は個別設定なしに通信できる形です。社外の従業員が自分の端末から必要なときだけ社内へ接続する用途なら、ブラウザや軽量クライアントで済むSSL/TLS-VPNのほうが導入と運用が軽くなります。両方の要件があれば、拠点間はIPsec、在宅アクセスはSSL/TLSと併用する設計が現実的です。
クラウドとの接続でもIPsecは使えますか?
使えます。AWSやAzure、Google Cloudは、自社拠点とクラウド上の仮想ネットワークをIPsecで結ぶサイト間VPN(Site-to-Site VPN)のマネージドサービスを備えています。自社側のルーターやファイアウォールと、クラウド側のVPNゲートウェイの間でIKEによる鍵交換を行い、トンネルモードで暗号化経路を張る仕組みです。専用線より低コストで、クラウド上の業務システムへ社内から直接到達できるため、オンプレとクラウドをまたぐ構成で広く使われています。
関連記事
- VPNとは?仕組み・種類・メリットとデメリット、企業導入の判断基準を解説:IPsecが土台となるVPN全体の種類と、企業が導入を判断する基準を整理しています。
- TLSとは?SSLとの違い・仕組みとバージョン選定を実装者向けに解説:IPsecと並ぶもう一方のVPN方式であるSSL/TLSの仕組みを、実装者向けに解説しています。
- ファイアウォールとは?仕組み・種類とWAF・UTMとの違い、企業の選び方を解説:IPsecで暗号化する通信と、遮断する通信を仕分ける境界制御の仕組みを扱っています。
- クラウドセキュリティとは?リスクと責任共有モデルから見た企業の守り方:IPsecでクラウドと接続した先の、クラウド全体をどう守るかの考え方を解説しています。