IPsec(Internet Security Protocol)とOpenVPNは、いずれもデータプライバシーとセキュリティの実現を目的としたセキュアなネットワーク接続を目的として一般的に使用されるVPNプロトコルです。
IPsec は、インターネットやその他のIPネットワーク上の通信の保護に使用される一連のプロトコルで、暗号化セキュリティサービスを提供します。またIPsecを利用して構築されたVPNをIPsec VPNと呼びます。主なコンポーネントは次の通りです。
AH(Authentication Header):AHは共有鍵を使用してデバイスの身元確認を行い、ハッシュアルゴリズムによってデータパケットの整合性を確保することで、不正アクセスやデータ操作を防止します。
ESP(Encapsulating Security Payload):ESPはデータパケットを暗号化して新しいヘッダーを作成することで、適切な復号鍵なしでは元のコンテンツを読み取れないようにします。
ISAKMP(Internet Security Association and Key Management Protocol):ISAKMPは鍵交換のためのフレームワークであり、IPsecが通信パートナー間でセキュリティアソシエーション(SA)を確立するための重要なプロトコルです。ISAKMPを使用することで伝送時間、暗号化方式、鍵の使用方法などの要素を指定し、ネットワークエンティティ間の通信ガイドラインを策定します。本プロトコルはIKE(Internet Key Exchange)プロトコルとともに使用され、SAのネゴシエーションと鍵管理を行います。
トランスポートモードでは、IPパケットのデータペイロードだけが暗号化および認証され、IPヘッダーは元のまま残ります。トランスポートモードはエンドツーエンドのセキュリティを提供し、一般的に2つのホスト間の通信を保護するために使用されます。
トンネルモードでは、元のIPパケット全体(データペイロードとIPヘッダーの両方を含む)が暗号化および認証されます。トンネルモードは2つのネットワーク間の通信を保護する場合や、IPアドレスに追加の保護が必要な場合に使用されます。
OpenVPNはオープンソースのプロトコルであるため、コントリビューターのグローバルコミュニティによる継続的な改善が期待できます。オープンであるおかげで、不具合が迅速に特定・修正され、新しい機能が徐々に追加されていきます。
OpenVPNは、データ伝送にUDP(User Datagram Protocol)とTCP(Transmission Control Protocol)のどちらも使用できます。デフォルトでは256ビットの暗号化が採用されていますが、それほど要求の厳しくないシナリオでは128ビットの暗号化を使用するようにも設定できます。
OpenVPNはオンデマンドのポイントツーポイントVPNやサイト間VPNとしても利用されます。ユーザーがVPNにアクセスするにはユーザー名、パスワード、トークンなどの認証クレデンシャルが必要で、VPNは特定のIPアドレスと接続されたデバイス間に安全なトンネルを確立します。
主な相違点 | IPSec | OpenVPN |
|---|---|---|
プロトコルタイプ | IP通信を保護するための標準化されたプロトコル群 | 安全なポイントツーポイント接続を構築するための、SSLベースのオープンソースプロトコル |
暗号化 | AES、3DESなどのさまざまな暗号化アルゴリズムが使用可能 | 主にAES暗号化を使用し、異なる暗号化レベルにも設定可能 |
認証 | デジタル証明書や事前共有鍵など、複数の認証方法を提供 | ユーザー名/パスワード、証明書、HMACベースの認証など、さまざまな認証オプションを提供 |
プラットフォームの対応 | さまざまなオペレーティングシステムやデバイスに幅広く対応 | 複数のプラットフォームに対応するが、特定のデバイスではサードパーティ製ソフトウェアが必要になる場合あり |
柔軟性 | トンネルモード(サイト間)とトランスポートモード(ホスト間)の両方を提供 | 主にトンネルモードで動作し、追加の設定によりホストツーホストの接続もサポート |
設定 | 多くの場合、OpenVPNに比べて複雑な設定が必要 | 使いやすいインターフェイスとコミュニティが開発したツールにより、設定が容易 |
パフォーマンス | カーネルレベルでの統合により、一般にパフォーマンスが優れているとされる | ユーザー空間で動作するため、IPsecよりパフォーマンスがわずかに低い |
セキュリティ監査 | 広くテストや監査が実施されており、セキュリティが重要な環境で信頼できるオプションの1つ | オープンソースの性質によりコミュニティによる継続的な監視が働き、セキュリティの向上が可能 |
NATトラバーサルのサポート | NAT(Network Address Translation)を通過するために追加の設定が必要になる場合あり | プロトコルにNATトラバーサルが備わっており、NATを利用するデバイスの設定が簡単 |
ユースケース | 一般にエンタープライズ環境において、サイトツーサイトVPNで使用される | 使いやすさ、クライアントのモビリティ、リモートアクセスが不可欠なシナリオでよく利用される |
上記の通り、IPsecとOpenVPNはそれぞれ特長があり、ユースケースや要件にあわせて適したプロトコルを選択することが重要です。
オンラインショップのシンプルな手続きで、かんたんにIoTデバイスの接続をスタートいただけます。
ご希望のSIMカードタイプといくつかの必要項目を入力いただくだけで注文完了です。
決済承認後、7~10営業日でSIMカードをお届けいたします。
