セキュリティ対策の基本＃10 【VPN と IPsec】（覚え書き）

インターネット上で安全にデータをやりとりするためには、どのような仕組みが使われているのでしょうか？この資料では、VPN（Virtual Private Network）や IPsec（IP Security Protocol）を中心に、ネットワークの安全を支える仕組みを分かりやすく解説しています。ここでは、そのポイントをポップにご紹介！

VPNって何だろう？
データを守る IPsec の秘密
カプセル化とトンネリングって何？
Python で体験！簡単な暗号化デモ
リモートアクセスVPNと SSL-VPN
まとめ

VPNって何だろう？

VPN は「仮想専用ネットワーク」のことで、公共のインターネット上にあっても、あたかも専用線でつながっているかのような安全な通信環境を実現します。たとえば…

IP-VPN：通信事業者が提供する専用の閉鎖型ネットワークを使う方法。専用線に近い高信頼性を持ちながら、コストは抑えられる。
インターネットVPN：インターネット上に仮想的な専用線を構築する方法。暗号化が必須で、技術力も求められるが、コスト面で優れています。
リモートアクセスVPN：自宅や出張先から社内ネットワークへアクセスするための仕組み。SSL-VPNなど、環境に合わせた方式があります。

データを守る IPsec の秘密

インターネットという誰もが利用できるネットワーク上で、大事な情報をやりとりするときに活躍するのが IPsec です。IPsec は主に以下の機能を提供します。

暗号化（ESP: Encapsulating Security Payload）
データを暗号化して、盗聴されても内容が分からないようにする技術です。
認証（AH: Authentication Header）
データが途中で改ざんされていないか、正しい送信元から送られているかを確認する技術です。

さらに、IPsec ではトンネルモード（VPN 装置間でパケット全体をカプセル化）とトランスポートモード（ホスト間でデータ部分だけを暗号化）の２つのモードがあります。これにより、用途やシステムに合わせた柔軟なセキュリティ対策が可能となります。

カプセル化とトンネリングって何？

VPN の基本となる仕組みのひとつが「カプセル化」と「トンネリング」です。

カプセル化：元のパケットに新しいヘッダー情報を付け足すことで、データを守ります。
トンネリング：カプセル化されたパケットを安全な「トンネル」内で送受信する技術です。

これにより、公共のネットワークを通る場合でも、まるで専用線のように安全な通信が実現できるのです。

Python で体験！簡単な暗号化デモ

VPN で利用される暗号化の仕組みは、実は Python でも簡単に体験できます。ここでは、AES（Advanced Encryption Standard）を使ったシンプルな暗号化・復号の例を見てみましょう。

from Crypto.Cipher import AES
from Crypto.Util.Padding import pad, unpad
import os

# 128ビットの秘密鍵と初期化ベクトル（IV）をランダム生成
key = os.urandom(16)  # 16バイト = 128ビット
iv = os.urandom(16)

# AES の CBC モードを使った暗号化オブジェクトを生成
cipher = AES.new(key, AES.MODE_CBC, iv)

# 暗号化するメッセージ（バイト列）
plaintext = b"Hello, this is a VPN-like encryption demo!"

# パディングを行い、暗号化
ciphertext = cipher.encrypt(pad(plaintext, AES.block_size))
print("Encrypted:", ciphertext)

# 復号用のオブジェクトを生成し、パディングを解除して元のメッセージに戻す
cipher_dec = AES.new(key, AES.MODE_CBC, iv)
decrypted = unpad(cipher_dec.decrypt(ciphertext), AES.block_size)
print("Decrypted:", decrypted)

このコードは、実際の VPN で使われる暗号化処理の一部（例えば、ESP が行う暗号化処理）をイメージしたものです。
※ 実際の VPN や IPsec では、これに加えて認証や鍵交換（IKE など）も複雑に絡んできますが、ここでは基本的な暗号化の流れだけをシンプルに体験してみました。