IPsecでデータを暗号化することで、万一、通信内容を盗聴された場合でも内容の閲覧ができなくなります。主にインターネットVPNを構築する際、セキュリティリスクを抑え、安全性を担保するためのプロトコル※として広く利用されています。
※プロトコル:通信に関する規格(ルール)
インターネットVPNを構築する際のプロトコルはIPsecのほかに、SSL(Secure Socket Layer)、L2TP(Layer 2 Tunneling Protocol) 、PPTP(Point to Point Tunneling Protocol)などがあります。どの階層・レイヤーに対して安全対策、セキュリティ対策を行うかによって使い分ける必要があります。主にIPsecは拠点間にまたがる社内ネットワークの構築、リモートから社内ネットワークへの接続する際などに利用されます。
IPsecはOSI参照モデル※のネットワーク層で暗号化を行うため、たとえ上位層であるトランスポート層、アプリケーション層が暗号化に対応していなくても、安全に通信できるメリットがあります。IPsecを使って通信する際に利用する、論理的な通信路(コネクション)は「SA(Security Association)」と呼ばれます。SAを確立する際、暗号化のための鍵を交換するプロトコルが「IKE(Internet Key Exchange protocol)」です。
※OSI参照モデル:ネットワークで利用される各種プロトコルの役割を分類、明確化する指標となるモデル
IPsecには、認証と改ざん防止のみを行う「AH(Authentication Header)」と、データの暗号化を行う「ESP(Encapsulated Security Payload)」の2つのプロトコルがあります。また、データ部分のみを暗号化する「トランスポートモード」、ヘッダとデータの両方を暗号化する「トンネルモード」のプロトコルもあります。IPsecを用いたインターネットVPNによって拠点間を接続する場合には、トランスポートモードを利用するのが一般的です。