パケットを丸ごと暗号化！拠点間の通信の重要技術：IPsecトンネルモード

どうも、こんにちは！専用線を使ったかのようにデータを安全に送り、暗号化と認証を実現する「VPN」のお話しをしております。

前回は、VPNプロトコルの一つIPsecにおける動作モード「トランスポートモード」についてお話ししました。

エンド・ツー・エンドの暗号化を実現できるものの、端末ごとにVPNソフトをインストールする必要があり、コストも手間もかかる方法でした。

今回は、もう一つの動作モード「トンネルモード」についてお話ししましょう！実は、IPsecでは、「トンネルモード」の方がよく使われております。ですから、実践的な知識を得る上でも「トンネルモード」は要チェックです！

では、行ってみましょう！

ヘッダも含めて丸ごと暗号化

トランスポートモードでは、ペイロードのみ暗号化されるのに対して、トンネルモード（tunnel mode）は、IPヘッダを含むIPパケット全体が暗号化されます。

また、利用には、VPNゲートウェイを送信側の拠点、受信側の拠点ともに設置する必要があります。

うーん、わかりにくいですか？絵にしましょうか。

IPsecトンネルモードの概念図

ポイントは、２つあります。

１）VPNゲートウェイが暗号化

注目ずべきは、まず誰が暗号化を行っているか、です。ご覧のとおり、端末ではなく、「VPNゲートウェイ」が暗号化と復号を行っています。

端末は、自分で暗号化と復号を頑張る必要がないのでラクチンですね！

２）IPパケットごとカプセル化

もう一つ注目する点は、カプセル化することです。「カプセル」ってなんのこっちゃい、という感じですよね。

実は、Capsuleは、「カプセルに入れること」つまり「包むこと」を意味します。「そうか、パケットを包むのだな！」と言いたくなりますが、そうでもございません。

実際に包むのは無理なので、「ヘッダ」をつけます。これがカプセル化の正体です。上位プロトコルの付加情報としてヘッダをつけるのですね。通信の過程でつけたり剥がされたりします。

トンネルモードでは、IPヘッダとIPペイロードを暗号化して、それをカプセル化（別のIPヘッダを付加）します。このトンネルモードの「トンネル」というのは、山をぶち抜いてつくる道をイメージするよりも、「カプセル」をイメージする方が分かりやすいと思います。「トンネル」すなわち「カプセル」のように。

ちなみに、カプセル化したからと言って、必ず暗号化されているわけではございません。語感に惑わされないようにしましょう。

また、「ヘッダまで暗号化したら届けられないだろう」と思いますよね。そこは、ご安心ください。新しいヘッダが付加されているので、VPN間ではデータが迷子になりません。そして、IPヘッダを暗号化している分、セキュリティが高まります。

ネットワーク内は暗号化されない

上記のとおり、トンネルモードでは、端末ごとにソフトウェアのインストールが不要なので、多くの端末があるネットワークに適することが分かりました。実際、トンネルモードは、企業の拠点間をつなぐときによく利用されます（拠点間VPN、Site-to-Site VPN）。

加えて、IPヘッダも暗号化する分、セキュリティが向上することも分かりました。

では、デメリットは？う～ん、あまり見つからないのですが、

• VPNゲートウェイが必要なので、拠点間利用に制限される。

• ローカルネットワークの中での通信は暗号化されていない。

ということころでしょうか。

補足すると、前者については、リモート端末がVPNゲートウェイに接続する方法もあります。後者については、ローカルネットワークでの暗号化が必要なら別の手段で行えばよいでしょう（詳しく分かりませんが）。

はい、本日はここまで！今回は、IPsecの動作モードのうち、トンネルモードについてお話ししました～。

次回は、IPsecにおける仮想的な通信経路の確立についてお話しします。

では！