クイック モードのセキュリティ アソシエーションをネゴシエートする際に使用できるデータ整合性アルゴリズムを構成するには、このダイアログ ボックスを使用します。ネットワーク パケット内のデータの整合性を保護するために使用する、プロトコルとアルゴリズムの両方を指定する必要があります。

インターネット プロトコル セキュリティ (IPsec) では、ネットワーク パケットのデータから生成されたハッシュを計算することで、整合性が実現されます。次に、ハッシュは暗号で署名され (暗号化)、IP パケットに埋め込まれます。受信側のコンピューターは、同じアルゴリズムを使用してハッシュを計算し、受信したパケットに埋め込まれているハッシュと計算結果とを比較します。一致した場合、受信した情報は送信された情報と正確に同一であり、パケットは受け入れられます。一致しない場合、パケットは破棄されます。

転送メッセージに暗号化されたハッシュを使用すると、そのハッシュの不一致を起こさずにメッセージを変更することが事実上不可能になります。転送中にそのメッセージが変更されていないことを確認できるため、インターネットなど、セキュリティで保護されていないネットワークを使ってデータを交換する場合は、この処理が重要になります。

このダイアログ ボックスの表示方法

  1. セキュリティが強化された Windows ファイアウォール MMC スナップインのページの [概要] で、[Windows ファイアウォールのプロパティ] をクリックします。

  2. [IPsec の設定] タブをクリックします。

  3. [IPsec 既定] で、[カスタマイズ] をクリックします。

  4. [データ保護 (クイック モード)] の [詳細設定] をクリックし、[カスタマイズ] をクリックします。

  5. [データの整合性] で一覧からアルゴリズムの組み合わせを選択し、[編集] または [追加] をクリックします。

プロトコル

整合性情報を IP パケットに埋め込むには、次のプロトコルを使用します。

ESP (推奨)

ESP を使用すると、IP ペイロードの認証、整合性、および不正再実行対策が可能になります。転送モードで使用される ESP では、パケット全体には署名しません。IP ペイロードだけが保護されます (IP ヘッダーは保護されません)。ESP は単独で使用することも、AH と組み合わせて使用することもできます。ESP を使用すると、ハッシュの計算結果には、ESP ヘッダー、トレーラー、およびペイロードだけが含まれます。ESP では、サポートされる暗号化アルゴリズムのいずれかを使用して ESP ペイロードを暗号化することによって、データの機密性サービスを提供することもできます。パケット リプレイ サービスは、各パケットのシーケンス番号を含めて提供されます。

AH

AH を使用すると、パケット全体 (パケットで運ばれる IP ヘッダーとデータ ペイロードの両方) に対して、認証、整合性、および不正再実行対策が可能になります。データは暗号化されないため、機密性は提供されません。データの読み取りは可能になりますが、変更からは保護されています。転送中に変更できる一部のフィールドは、ハッシュ計算から除外されます。パケット リプレイ サービスは、各パケットのシーケンス番号を含めて提供されます。

重要

AH プロトコルにはネットワーク アドレス変換 (NAT) との互換性はありません。これは、NAT デバイスが、整合性ハッシュに含まれているパケット ヘッダーの一部にある情報を変更するためです。IPsec ベースのトラフィックが NAT デバイスを通過できるようにするには、ESP を使用し、IPsec ピア コンピューター上で NAT トラバーサル (NAT-T) を有効にする必要があります。

NULL カプセル化

NULL カプセル化は、ネットワーク トラフィックでどのような整合性保護や暗号化保護も使用しないことを指定します。接続セキュリティの規則で求められる認証は実行されますが、他の保護対策は、このセキュリティ アソシエーションを介してやり取りされるネットワーク パケットに提供されません。

セキュリティについての 注

このオプションではどのような種類の整合性保護も機密性保護も提供されないため、ESP や AH との互換性がないソフトウェアやネットワーク デバイスをサポートする必要がある場合にのみ、このオプションを使用することをお勧めします。

アルゴリズム

次の整合性アルゴリズムは、このバージョンの Windows が実行されているコンピューターに対して使用できます。これらのアルゴリズムには、他のバージョンの Windows が実行されているコンピューターで使用できないものがあります。以前のバージョンの Windows が実行されているコンピューターを使用して IPsec で保護された接続を確立する必要がある場合、以前のバージョンと互換性があるアルゴリズムのオプションを含める必要があります。

詳細については、Windows でサポートされる IPsec のアルゴリズムと認証方法に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkID=129230) を参照してください。

  • AES-GMAC 256

  • AES-GMAC 192

  • AES-GMAC 128

  • SHA-1

  • MD5

    注意

    MD5 は安全ではないため、テストを目的とする場合や、リモート コンピューターがセキュリティで保護されたアルゴリズムを使用できない場合にのみ使用してください。下位互換性のみを目的として提供されます。

キーの有効期間

有効期間の設定によって、新しいキーが生成される頻度が決まります。キーの有効期間を設定すると、指定した時間が経過した後、または指定した量のデータを転送した後に、新しいキーを強制的に生成することができます。たとえば、キーの有効期間に 10 分を指定した場合、通信に 100 分かかると、交換中 10 分ごとに 10 個のキーが生成されます。複数のキーを使うと、攻撃者が通信の一部のキーを入手した場合でも、通信全体が危害を受けることはなくなります。

このキーの再生成は、クイック モードのデータ整合性のみを目的としています。これらの設定は、メイン モードのキー交換に使用するキーの有効期間の設定には影響しません。

この設定は、クイック モードのセキュリティ アソシエーションに使用されるキーの有効期間を分単位で構成するために使用します。この有効期間の経過後、新しいキーが生成されます。この後の通信では別のキーが使用されます。

最大有効期間は、2,879 分 (48 時間) です。最小有効期間は 5 分です。キー更新は、リスク評価が必要な最低限の頻度で実行することをお勧めします。キー更新の頻度が高すぎると、パフォーマンスに影響を与える可能性があります。

KB

この設定を使用して、このキーを使用して送信されるデータのサイズ (KB) を構成します。このしきい値に達すると、カウンターがリセットされ、キーが再生成されます。この後の通信では別のキーが使用されます。

最大有効期間は 2,147,483,647 KB です。最小有効期間は 20,480 KB です。キー更新は、リスク評価が必要な最低限の頻度で実行することをお勧めします。キー更新の頻度が高すぎると、パフォーマンスに影響を与える可能性があります。

関連項目

目次