IPsec VPNとSSL VPNの対比

IPsecとSSL/TLSはOSI参照モデルの異なる層で機能しますが、どちらもVPNに使用することができます。それぞれの長所と短所をご覧ください。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • IPsecとSSL/TLSの違いを学ぶ
  • これらのプロトコルを使用するVPNを比較する
  • アクセス制御のためのVPN活用方法を学ぶ

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

IPsecとは?

IPsecは公共のネットワークで個人データを送信する際に安全性を確保するために使用されます。具体的には、IPsecはOSI 参照モデルの第3層(ネットワーク層)でデバイス間の安全な接続を確立するために一緒に使用されるプロトコルのグループです。IPsec は、許可された当事者のみが理解できるようにすべてのメッセージをスクランブル化することによってこれを実現します。これは、暗号化と呼ばれるプロセスです。IPsecは多くの場合、仮想プライベートネットワーク(VPN)を確立するために使用されます。

VPNは、インターネットをあたかもプライベートネットワークに接続しているかのように利用できるインターネットセキュリティサービスです。VPNは、インターネット通信を暗号化すると同時に、強力な匿名性を提供します。VPNは、多くの場合遠隔地の従業員が企業のデータに安全にアクセスするために使用されます。一方、個人ユーザーは、個人のプライバシーを保護するためにVPNの使用を選択することもできます。

SSL/TLSとは?

Secure Sockets Layer(SSL) は、ユーザー端末とWebサーバー間の接続などで、HTTPトラフィックを暗号化するためのプロトコルです。SSL暗号化を使用しているWebサイトのURLには、「http://」の代わりに「https://」が含まれています。SSLは数年前にTransport Layer Security(TLS)に取って代わられましたが、このプロトコルを指す際に「SSL」という用語は現在も一般的に使用されています。

SSLは、Webブラウジングにおけるクライアント/サーバー間の通信を暗号化するほか、VPNでも利用することができます。

IPsec VPNとSSL VPNの対比、その違いは?

OSI参照モデル

SSLとIPsecの大きな違いの1つに、それぞれがOSI参照モデルのどの層に属しているかという点があります。OSI参照モデルは、インターネットを機能させるプロセスを「レイヤー」に分割し、抽象的に表現したものです。

IPsecプロトコルスイートは、OSI参照モデルのネットワーク層で動作します。これは、データパケットのルーティングを担当するIP (インターネットプロトコル)の上で直接実行されます。

一方、SSLはOSI参照モデルのアプリケーション層で動作します。これは、IPパケットを直接暗号化する代わりに、HTTPトラフィックを暗号化します。

実装

通常、IPsec VPNではVPNを利用するすべてのユーザーのコンピュータに、VPNソフトウェアをインストールする必要があります。ユーザーは、ネットワークに接続してアプリケーションやデータにアクセスするために、このソフトウェアを実行してログインしなければなりません。

一方に、すべてのWebブラウザはすでにSSLをサポートしています(対照的にほとんどのデバイスはIPsec VPNをサポートするように自動設定されていません)。ユーザーは、専用のVPNソフトウェアアプリケーションを使用する代わりに、ブラウザーを通じてSSL VPNに接続することができ、ITチームによる追加のサポートはほとんど必要ありません。(ただしこの場合、ブラウザ以外のインターネットアクティビティはVPNによる保護はありません)。

アクセス制御

アクセス制御は、情報、ツール、ソフトウェアへのユーザーのアクセスを制限するポリシーを指すセキュリティ用語です。アクセス制御を適切に実施することで、社内の機密データおよびそのデータを閲覧および編集するためのソフトウェアアプリケーションには、適切な人物のみがアクセスできるようになります。VPN内のデータをVPN外の人が見ることができないため、VPNはアクセスコントロールによく使用されます。

対規模な組織の多くでは、異なるレベルのアクセス制御を設定する必要があります。例えば、一般社員は管理職と同等レベルのアクセス権を持たないようにします。IPsec VPNでは、ネットワークに接続しているすべてのユーザーが、そのネットワークの完全なメンバーになります。彼らは、VPN内に含まれるすべてのデータを閲覧することができます。そのため、IPsec VPNを使用する組織は、さまざまなレベルのアクセスを可能にするために、複数のVPNを設定し構成する必要があります。また、ユーザーによっては、業務を遂行するために複数のVPNにログインする必要がある場合もあります。

これに対し、SSL VPNは、容易に個別のアクセス制御を設定することができます。ITチームは、アプリケーション単位でユーザーにアクセス権を付与することができます。

オンプレミスとクラウドアプリケーションの対比

従来のオンプレミス型アプリケーションは、敷地内のデータセンターなど、組織の内部インフラストラクチャで実行されます。ユーザーはアプリケーションへ、公共のインターネット経由ではなく内部ネットワークを介してアクセスするため、通常、IPsec VPNはこのようなアプリケーションに最適です。また、IPsecはネットワーク層で機能します。

クラウドベースのアプリケーションは、SaaS(Software as a Service)アプリケーションとも呼ばれ、クラウド上の遠隔地にホストされ、公共のインターネットを介してアクセスされます。SSL VPNは、クラウドベースのアプリケーションと簡単に連携することができますが、オンプレミス型のアプリケーションと連携するためには、追加の構成が必要になります。

CloudflareのVPNに代わるアクセス制御の方法とは?

Cloudflare Accessは、組織がVPNを使用せずに内部アプリケーションへのアクセスを制御し、セキュリティ保護することを可能にします。Cloudflare Accessは、アプリケーションをCloudflareのグローバルネットワークの背後に配置し、オンプレミスとクラウドの双方のアプリケーションのセキュリティの維持を可能にします。