- VPNは、ネット上に安全な「専用の地下トンネル」を作る技術の総称です
- IPsecは、ネットワーク全体(層)をまるごと暗号化する強力なVPNの仕組みです
- SSHは、遠隔からサーバーを安全に操作するための「改ざんできないリモート鍵」です
✨ VPNとは?:インターネット上に「専用トンネル」を作る技術
VPN(Virtual Private Network=仮想プライベートネットワーク)とは、インターネット上に暗号化された「専用トンネル」を作り、まるで直接つながったプライベートなネットワーク上にいるかのように安全に通信できる技術です。
VPNを使う場面
- 🏢 テレワーク:自宅から会社の社内ネットワーク(イントラネット)に安全に接続
- 📶 公共Wi-Fi対策:カフェや空港のWi-Fiでも通信内容が保護される
- 🌍 地域制限の回避:海外のコンテンツにアクセス(利用規約確認が必要)
- 🔒 匿名性の向上:ISPや第三者からのアクセス記録を隠す
💡 「トンネル」のイメージ
一般道路(インターネット)を走る車(データ)を、外から見えない地下トンネル(VPN)の中を走らせるイメージ。トンネルの外からは車の中身(データ内容)はもちろん、どこからどこへ向かっているかも見えにくくなります。
主なVPNプロトコル
| プロトコル | 安全性 | 速度 | 特徴 |
|---|---|---|---|
| WireGuard | ✅ 高 | ✅ 最速 | OSのカーネル内で動作。Noise Protocol、ChaCha20-Poly1305、Curve25519等最新暗号のみ採用し超高速・高セキュアな現在の最推奨 |
| OpenVPN | ✅ 高 | 中 | ユーザ空間で動作しOpenSSLを利用。長年の実績があり細かなカスタマイズが可能(TCP通信を利用して厳しいファイアウォールを回避・通過できる強みもある) |
| IPsec/IKEv2 | ✅ 高 | 速 | 企業・ISPで広く使用。モバイル向け |
| PPTP | ❌ 低 | 速 | 古くて脆弱。現在は使用すべきでない |
🔸 IPsecとは?:「ネットワーク層」での暗号化
IPsec(Internet Protocol Security)は、インターネットの基盤となるIPプロトコルのレベルで通信を暗号化・認証する仕組みです。
TLS/HTTPSがOSI参照モデルの「トランスポート層〜アプリケーション層」(ブラウザとサーバー間)で動くのに対し、IPsecはより下位の「ネットワーク層(レイヤー3)」で動くため、そのネットワーク上を流れるすべての通信パケット(ブラウザ・メール・独自アプリ等)を透過的にまとめて保護できます。
これは、上杉謙信が「誰も通らない専用の海上ルート」で密書を送ったのと同じ発想だニャ🐾
ブラウザやアプリごとに暗号化する(TLS)のではなく、通信する道路そのものをまるごと暗号化トンネルにしちゃうのがIPsecのすごいところだよ!
IPsecの2つのモード
トランスポートモード
データ部分だけ暗号化。送信元・宛先IPアドレスは見える。ホスト間の通信向け。
トンネルモード
IPヘッダーごと暗号化し、新しいIPヘッダーでカプセル化(Encapsulation)する。本社と支社を繋ぐ「拠点間VPN(Site-to-Site VPN)」向け。
IPsecで使われる暗号技術
- IKEv2(Internet Key Exchange version 2):鍵交換プロトコル(RFC 7296)。IKE_SA_INITとIKE_AUTHという2往復のやりとりでSA(Security Association)を確立し、ディフィー・ヘルマン法で安全に鍵を共有する。旧来のIKEv1(ISAKMPベース)より高速・シンプル・モバイル対応(MOBIKE)が強化されている
- AH(Authentication Header):認証のみ(暗号化なし)。IPヘッダー全体を署名するため、NAT(IPアドレス変換)を通過できず現代では非推奨
- ESP(Encapsulating Security Payload):暗号化+認証。データ部分のみを保護するためNATトラバーサル(NAT-T)に対応しており、現在IPsecといえばESPを指す
- 暗号アルゴリズム:AES-256-GCM等のAEAD(認証付き暗号)が推奨される
🔸 SSHとは?:安全なリモートアクセスの標準
SSH(Secure Shell)は、ネットワーク経由で安全にリモートコンピュータを操作するためのプロトコルです。パスワードを含むすべての通信が平文(暗号化なし)で流れてしまう旧時代のプロトコル「Telnet」の安全な後継として1995年に開発されました。
また、単なるリモート操作だけでなく『SSHポートフォワーディング(トンネリング)』機能を使えば、踏み台サーバーを経由して社内のデータベースに繋いだり、HTTPなどの暗号化されていない他の通信をSSHの安全なトンネル内に通す「簡易VPN」のような使い方も可能です。
SSHってエンジニアが使うものでしょ?普通の人には関係ない?
暗号資産のノード運営やサーバー管理にも使われるよ🐾
イメージとしては、荷物(データ)自体を『絶対に開けられない頑丈な金庫(SSH公開鍵認証)』に入れて運ぶようなもの。道路(通信経路)が危険でも、中身は絶対に守られるんだよ!
SSHの認証方式
-
パスワード認証(簡単だが弱い)
パスワードが盗まれると突破される。ブルートフォース攻撃にも脆弱。現在は非推奨。 -
公開鍵認証(推奨)
RSAや『Ed25519(エドワーズ曲線デジタル署名アルゴリズム)』で鍵ペアを生成。特にEd25519はわずか256bitの極小な鍵長でサイドチャネル攻撃への耐性と超高速な署名・検証を実現します。秘密鍵はローカルに、公開鍵はサーバーに登録。認証時は「クライアントが秘密鍵で署名し、サーバーが公開鍵で検証」するチャレンジレスポンス方式。パスワードが一切ネットワークに流れないため総当たり攻撃に極めて強い。
🔸 VPN・IPsec・SSH・TLSの使い分けまとめ
| 技術 | 動く層 | 主な用途 | 利用者 |
|---|---|---|---|
| TLS/HTTPS | トランスポート層〜アプリケーション層 | Webブラウジング・API通信 | 全員(ブラウザで自動) |
| VPN | 複数層 | テレワーク・公衆Wi-Fi対策 | 企業・個人ユーザー |
| IPsec | ネットワーク層 | 拠点間接続・企業ネットワーク | 企業・プロバイダ |
| SSH | アプリケーション層 | サーバーのリモート管理 | エンジニア・管理者 |
📌 まとめ
- VPNはインターネット上に暗号化トンネルを作り、安全な通信を実現する技術全体の呼び名
- IPsecはネットワーク層で全通信を暗号化。企業間/拠点間接続に使われる
- SSHは安全なリモートログインの標準。公開鍵認証が現在の推奨
- TLS(HTTPS)はWebアプリ向け。IPsecはネットワーク全体向けと使い分ける
- 現代のVPNプロトコルはWireGuardが最新・最速・高安全の選択肢
📜 技術的注記・参考規格
- VPN/IPsec:IETFが策定したプロトコル群であり、IKEv2はRFC 7296、ESPはRFC 4303等で標準化されています。
- WireGuard:最新のVPNプロトコルであり、Noise Protocol Frameworkなどのモダンな暗号規格を採用し、Linuxカーネルに統合されています。
- SSH:RFC 4251などで定義され、NIST(米国国立標準技術研究所)のガイドライン等でも公開鍵認証(Ed25519など)の使用が強く推奨されています。
VPNやSSHを裏で支える「公開鍵暗号」を学ぶ
VPNのトンネルを作る技術も、SSHの安全な認証も、すべては「公開鍵暗号(RSA等)」という数学の魔法に支えられています。
なぜ、インターネットという危険な公道で、安全に「秘密の鍵」を渡すことができるのか?
現代セキュリティの心臓部であるRSA暗号の仕組みを、図解でわかりやすく解説します🐾