メイン モード ネゴシエーション時にキー交換に使用できるアルゴリズムの組み合わせの追加、編集、優先順位の変更、または削除を行うには、このダイアログ ボックスを使用します。アルゴリズムの組み合わせを複数指定でき、それらの組み合わせを試行する順序を割り当てることができます。両方のピアと互換性がある、一覧内の最初の組み合わせが使用されます。

アルゴリズムの組み合わせを一覧に表示する最適な方法は、セキュリティ レベルが最も高いものを一番上、最も低いものを一番下に配置する方法です。これによって、ネゴシエーションを行う 2 台のコンピューターで共通する、最も安全なアルゴリズムが使用されます。セキュリティ レベルの低いアルゴリズムは、下位互換性を維持するために使用できます。

このダイアログ ボックスの表示方法
  1. セキュリティが強化された Windows ファイアウォール MMC スナップインのページの [概要] で、[Windows ファイアウォールのプロパティ] をクリックします。

  2. [IPsec の設定] タブをクリックします。

  3. [IPsec 既定] で、[カスタマイズ] をクリックします。

  4. [キー交換 (メイン モード)] の [詳細設定] をクリックし、[カスタマイズ] をクリックします。

[セキュリティ メソッド]

セキュリティ メソッドは、キー交換を保護する整合性アルゴリズムと暗号化アルゴリズムの組み合わせです。必要な数の組み合わせを用意し、それらを優先順位に基づいて一覧に並べることができます。これらの組み合わせは、一覧に表示される順序で試行されます。両方のピア コンピューターが最初に合意した組み合わせが使用されます。定義したどの組み合わせもピア コンピューターが使用できない場合、接続の試行は失敗します。

一部のアルゴリズムは、このバージョンの Windows を実行するコンピューターでのみサポートされます。詳細については、Windows でサポートされる IPsec アルゴリズムとプロトコルに関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkID=129230) を参照してください。

組み合わせを一覧に追加するには、[追加] をクリックして、[セキュリティ メソッドの追加] ダイアログ ボックスを使用します。

一覧内の組み合わせの順序を変更するには、組み合わせを選択し、上矢印または下矢印をクリックします。

最適な方法は、セキュリティ レベルが最も高い組み合わせを一覧の一番上、最も低い組み合わせを一番下に配置する方法です。こうすると、両方のピアがサポートできるメソッドで、セキュリティ レベルの最も高いものが使用されるようになります。

[キーの有効期間]

有効期間の設定によって、新しいキーが生成される頻度が決まります。キーの有効期間を設定すると、指定した時間の経過後、または指定した数のセッションが現在のキーによって保護された後に、新しいキーを強制的に生成することができます。複数のキーを使用すれば、攻撃者が 1 つのキーへのアクセス権を入手した場合でも、ごく一部の情報しか公開されません。新しいキーが生成されると、ネットワーク トラフィックは再度保護されるようになります。有効期間は、分とセッション数のどちらでも指定できます。最初に到達したしきい値が使用され、キーが再生成されます。

キーの再生成は、メイン モードのキー交換のみを目的としています。これらの設定は、クイック モードのデータ保護に使用するキーの有効期間の設定には影響しません。

[分]

この設定は、メイン モードのセキュリティ アソシエーションに使用されるキーの有効期間を分単位で構成するために使用します。この有効期間の経過後、新しいキーが生成されます。以降のメイン モード セッションでは、新しいキーが使用されます。

最大有効期間は、2,879 分 (48 時間) です。最小有効期間は 1 分です。キー更新は、リスク評価が必要な最低限の頻度で実行することをお勧めします。キー更新の頻度が高すぎると、パフォーマンスに影響を与える可能性があります。

[セッション]

セッションは、クイック モード SA によって保護される、個別のメッセージまたは一連のメッセージです。この設定では、同じメイン モード キー情報を使用して保護できるクイック モード キー生成セッションの数を指定します。このしきい値に達すると、カウンターがリセットされ、新しいキーが生成されます。この後の通信では別のキーが使用されます。最大値は 2,147,483,647 セッションです。最小値は 0 セッションです。

セッション制限をゼロ (0) にすると、[キーの有効期間 (分)] の設定のみに基づいて、新しいキーが生成されます。

メイン モード キーとクイック モード キーの有効期間に大きく異なる値を設定する場合は、注意してください。たとえば、メイン モード キーの有効期間を 8 時間、クイック モード キーの有効期間を 2 時間に設定すると、メイン モード SA の有効期間が切れた後も、クイック モード SA がほぼ 2 時間にわたって使われる可能性があります。このようになるのは、メイン モード SA の有効期間が切れる直前にクイック モード SA が生成された場合です。

重要

メイン モード キーあたりの許可されるセッション数を多くするほど、メイン モード キーが見破られる確率は高くなります。この再利用が行われる回数を制限する場合は、クイック モード キーの制限を指定できます。

セキュリティについての 注

メイン モードの PFS (Perfect Forward Secrecy) を構成するには、[キーの有効期間 (セッション数)] を 1 に設定します。このように構成すると保護は大幅に強化されますが、コンピューターやネットワークのパフォーマンスがかなり低下します。新しいクイック モード セッションごとにメイン モード キー生成情報が再生成され、2 台のコンピューターの再認証が行われます。IPsec が提供する強力な暗号化保護を侵害しようとする高度な技術を持つ攻撃者に対して IPsec トラフィックが公開される可能性がある場合に限り、PFS を有効にすることをお勧めします。

キー交換のオプション

[Diffie-Hellman を使用してセキュリティを強化する]

Windows Vista 以降のバージョンの Windows では、インターネット キー交換 (IKE) に加えて認証済み IP (AuthIP) をサポートしており、その他の IPsec パラメーターがネゴシエートされる、セキュリティで保護された初期接続を確立することができます。IKE は Diffie-Hellman キー交換のみを使用します。AuthIP を使用する場合、Diffie-Hellman キー交換プロトコルは必要ありません。Kerberos Version 5 認証が要求された場合は、Diffie-Hellman 値の代わりに、Kerberos Version 5 サービス チケット シークレットが使用されます。証明書認証または NTLM 認証が要求された場合は、トランスポート レベル セキュリティ (TLS) セッションが確立され、そのシークレットが Diffie-Hellman 値の代わりに使用されます。

このチェック ボックスをオンにした場合は、選択した認証の種類に関係なく Diffie-Hellman キー交換が行われ、Diffie-Hellman シークレットを使用して、その他の IPsec ネゴシエーションが保護されます。法的要件によって Diffie-Hellman キー交換が義務付けられている場合は、このオプションを使用します。

関連項目


目次