IPSecの設定

IPSecはIPネットワーク上で送受信されるIPパケットを盗聴、改ざん、なりすましなどの脅威から保護してセキュリティーを確保するプロトコルです。IPSecが適用されるのは、TCPパケット、UDP(User Datagram Protocol)パケット、ICMP(Internet Control Message Protocol)パケットです。IPSecが他のセキュリティープロトコルと比較して優れているのは、インターネットの基本プロトコルであるIPにセキュリティー機能が追加されているため、アプリケーションソフトウェアやネットワーク構成に依存しない点です。
ここでは、本製品の操作パネルでセキュリティーポリシーを作成してIPSec通信を設定する方法について説明しています。セキュリティーポリシーとは、IPSecの処理を適用するパケット、認証と暗号化に使用するアルゴリズムなど、IPSecの設定内容を登録したものです。IPSecのセキュリティーポリシーに従いネゴシエーションを行ってトラフィックごとに確立された論理的コネクションをIPSec SA(Security Association)と呼びます。
本製品のIPSecの特徴を次に示します。

通信モード

本製品がサポートしているIPSecの通信モードはトランスポートモードのみのため、認証と暗号化が適用されるのはIPパケットのデータ部分だけです。

認証と暗号化の方式

本製品では、次のうち必ず一つを設定する必要があります。同時に両方の方式を設定することはできません。
AH(Authentication Header)
IPヘッダーを含む通信データの改ざんを検出して認証を保証するプロトコルです。通信データは暗号化されません。
ESP(Encapsulating Security Payload)
通信データのペイロード部分のみの整合性と認証を保証した上、暗号化によって機密性を提供するプロトコルです。

鍵交換プロトコル

ISAKMP(Internet Security Association and Key Management Protocol)に基いて鍵の交換を行うIKEv1(Internet Key Exchange version 1)をサポートしています。IKEには2つのフェーズがあり、フェーズ1でIKEで使用するSAを作成(IKESA)して、フェーズ2ではIPSecで使用するSA(IPSec SA)を作成します。
事前共有鍵方式の認証を設定する場合は、事前共有鍵と呼ばれる、データを送受信する複合機で共通に使用するキーワードを事前に決めておく必要があります。IPSec通信を行う接続先と同じ事前共有鍵を本製品の操作パネルで設定して、事前共有鍵方式で認証を行います。
電子署名方式の認証を選択する場合は、IPSec通信の接続先とお互いの認証を行うため、CA証明書(X.509証明書)を登録する必要があります。リモートUIを使用してCA証明書ファイルをインストールする方法については「CA証明書ファイルのインストール」、インストールしたCA証明書ファイルを登録する方法については「CA証明書ファイルの登録/編集」を参照してください。
電子署名方式の認証で使用可能な鍵ペアと証明書は次のとおりです。
RSA(Rivest Shamir Adleman)アルゴリズム
PKCS#12形式の鍵ペア

重要
IKE設定画面でメインモードと事前共有鍵方式の認証を選択した場合に複数のセキュリティーポリシーを登録するときには、次の制限を受けます。
事前共有鍵方式の共有鍵:セキュリティーポリシーを適用するリモートIPアドレスを単一指定以外で複数指定した場合は、セキュリティーポリシーの共有鍵はすべて同一になります。
優先順位:セキュリティーポリシーを適用するリモートIPアドレスを複数指定した場合は、単一指定した場合よりも、セキュリティーポリシーの優先順位が下になります。
08HK-364