対象試験と出題頻度
VPN(IPsec / SSL-VPN)は、ITパスポート・情報セキュリティマネジメント・基本情報技術者・応用情報技術者のすべての試験で頻出する超重要用語です。
頻出度はSランク(絶対に覚える必要あり)。テレワークの普及とともに、VPNは実務でも試験でも避けて通れない技術になっています。
詳細をクリックして確認
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★★★
ランクS(絶対に覚える必要あり)
用語の定義
VPN(Virtual Private Network:仮想プライベートネットワーク)とは、一言で言うと「インターネットなどの公衆回線上に、暗号化技術を使って仮想的な専用線を構築する技術」のことです。
イメージとしては、「大勢が行き交う公道の上に、自分専用の透明なトンネルを作って移動する」ようなものです。周囲からはトンネルの中が見えないため、安全に通信できます。このトンネルを作る技術の代表格が「IPsec-VPN」と「SSL-VPN」の2つです。
どちらもVPNを実現する技術ですが、動作する層や得意分野が異なります。ここが試験で頻出するポイントなので、しっかり区別して覚えましょう。
📊 IPsec-VPNとSSL-VPNの比較(試験頻出!)
| 比較項目 | IPsec-VPN | SSL-VPN |
|---|---|---|
| 動作する層 | ネットワーク層(第3層) | セッション層(第5層) |
| 主な用途 | 拠点間接続(Site-to-Site) | リモートアクセス |
| クライアント | 専用ソフトが必要 | Webブラウザでも利用可能 |
| 対応アプリ | すべてのIPアプリケーション | 主にWebアプリケーション |
解説
情報処理試験を勉強していると、「IPsec-VPNとSSL-VPNの違いって結局何?」と混乱しがちです。
結論から言うと、動作する層が違うから、得意分野が違う。これだけ覚えておけば、試験問題の8割は解けます。
VPNの基本:なぜVPNが必要なのか
そもそもVPNが必要になった背景を理解しておきましょう。企業が複数の拠点を持つ場合、拠点間で安全に通信するには「専用線」を引く方法があります。しかし専用線は高額で、拠点が増えるほどコストが膨らみます。
そこで登場したのがVPNです。VPNは、誰でも使えるインターネットの上に「仮想的な専用線」を作り出す技術です。
暗号化とトンネリング(カプセル化)によって、インターネットを経由しながらも専用線と同等のセキュリティを確保できます。コストを抑えつつ安全な通信を実現できるため、現在ではほぼすべての企業で活用されています。
IPsec-VPNの仕組み
IPsec(Internet Protocol Security)は、ネットワーク層(OSI参照モデルの第3層)で動作するセキュリティプロトコルです。ネットワーク層で暗号化するため、その上で動作するすべてのアプリケーション(HTTP、FTP、メールなど)を保護できます。
IPsecは複数のプロトコルの組み合わせで構成されています。試験で問われやすいのは以下の3つです。
ESP(Encapsulating Security Payload):データの暗号化と認証を行うプロトコル。現在のIPsec-VPNでは、ESPが中心的に使われます。
AH(Authentication Header):データの認証(改ざん検知)を行うプロトコル。暗号化機能はありません。現在はESPで代替できるため、あまり使われません。
IKE(Internet Key Exchange):暗号化に使う鍵を安全に交換するためのプロトコル。UDPポート500を使用します。
💡 試験ではここまででOK
IPsecの詳細なプロトコル構成(IKEのフェーズ1/フェーズ2、SA、トランスポートモード/トンネルモードなど)は、応用情報や高度試験で問われることがあります。
ITパスポートや基本情報では、「IPsecはネットワーク層で動作し、ESP・AH・IKEで構成される」という基本だけ押さえておけば十分です。
SSL-VPNの仕組み
SSL-VPNは、セッション層(OSI参照モデルの第5層)で動作するVPN技術です。
WebブラウザでHTTPS通信をするときに使われるSSL/TLSと同じ技術を利用しているため、専用ソフトなしでWebブラウザから利用できるのが最大の特徴です。
SSL-VPNには3つの接続方式があります。
リバースプロキシ方式:最も手軽な方式。Webブラウザからhttpsで接続し、VPN装置経由で社内システムにアクセスします。ただし、Webアプリケーション以外は利用できません。
ポートフォワーディング方式:専用のモジュールをインストールすることで、Web以外のアプリケーションも利用可能になります。ただし、動的にポート番号が変わるアプリケーションには対応できません。
L2フォワーディング方式:仮想NICを使い、あらゆるアプリケーションに対応できる方式。IPsec-VPNに近い使い勝手を実現できますが、設定が複雑になります。
⚠️ 試験での出題ポイント
SSL-VPNの3方式の詳細は、応用情報以上で出題されることがあります。
ITパスポート・基本情報では、「SSL-VPNはWebブラウザで利用でき、リモートアクセスに向いている」という特徴を押さえておけばOKです。
IPsec-VPNとSSL-VPNの使い分け
両者の違いを理解すれば、使い分けの理由も見えてきます。
IPsec-VPNが向いている場面:本社と支社など、固定の拠点間を常時接続したい場合。ネットワーク層で動作するため、すべてのアプリケーションを保護でき、高いセキュリティを確保できます。ただし、専用ソフトの設定が必要なため、不特定多数のユーザーが使う場面には不向きです。
SSL-VPNが向いている場面:外出先や自宅から社内システムにアクセスしたい場合。Webブラウザがあれば利用できるため、導入のハードルが低く、テレワーク環境に適しています。ただし、利用できるアプリケーションに制限がある場合があります。
試験ではこう出る!
VPNはすべての試験区分で頻出です。特にIPsec-VPNとSSL-VPNの違いを問う問題が多いので、以下のキーワードを確実に覚えましょう。
【重要キーワード】
- VPN:仮想的な専用線をインターネット上に構築する技術
- IPsec-VPN:ネットワーク層(第3層)で動作、拠点間接続に強い
- SSL-VPN:セッション層(第5層)で動作、リモートアクセスに強い
- ESP:暗号化と認証を行うIPsecのプロトコル
- AH:認証のみを行うIPsecのプロトコル(暗号化なし)
- IKE:鍵交換を行うプロトコル(UDPポート500)
試験問題で「ネットワーク層で動作し、拠点間を安全に接続するVPN」と問われたら「IPsec-VPN」、「Webブラウザで利用でき、リモートアクセスに適したVPN」と問われたら「SSL-VPN」と答えましょう。
📊 IPsecの構成プロトコル(試験頻出)
| プロトコル | 役割 | 特徴 |
|---|---|---|
| ESP | 暗号化+認証 | 現在の主流。IPプロトコル番号50 |
| AH | 認証のみ | 暗号化なし。IPプロトコル番号51 |
| IKE | 鍵交換 | UDPポート500を使用 |
📝 IPA試験での出題パターン
VPNの問題は、「IPsec-VPNとSSL-VPNの動作層の違い」「IPsecを構成するプロトコル(ESP/AH/IKE)」「VPNで使われるトンネリングの概念」の3パターンが中心です。
応用情報以上では、SA(Security Association)やIKEのフェーズなど、より詳細な内容が問われることもあります。まずは基本の比較表を完璧に覚え、余裕があれば深掘りしていきましょう。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. VPN(IPsec-VPN / SSL-VPN)に関する説明として、最も適切なものはどれでしょうか?
- A. IPsec-VPNはセッション層で動作し、Webブラウザから手軽にリモートアクセスできる技術である
- B. IPsec-VPNはネットワーク層で動作し、ESP・AH・IKEなどのプロトコルで構成される拠点間接続に適した技術である
- C. SSL-VPNはネットワーク層で動作し、すべてのIPアプリケーションを暗号化できる技術である
正解と解説を見る
正解:B
解説:
IPsec-VPNは、OSI参照モデルのネットワーク層(第3層)で動作するVPN技術です。ESP(暗号化と認証)、AH(認証のみ)、IKE(鍵交換)などのプロトコルで構成され、本社と支社など固定の拠点間を常時接続する用途に適しています。ネットワーク層で動作するため、上位のすべてのアプリケーションを保護できますが、専用ソフトのインストールが必要です。
選択肢Aは「SSL-VPN」の説明です。SSL-VPNはセッション層で動作し、Webブラウザからリモートアクセスできる点が特徴です。選択肢Cは、SSL-VPNの動作層が誤っています。SSL-VPNはセッション層(第5層)で動作し、基本的にはWebアプリケーションを中心とした利用となります(L2フォワーディング方式を使えば全アプリ対応も可能)。
