データの整合性とデータの機密性 (暗号化) の両方を備え、クイック モード セキュリティ アソシエーションのネゴシエート時に使用できるアルゴリズムを構成するには、このダイアログ ボックスを使用します。ネットワーク パケット内のデータの整合性を保護するために使用する、プロトコルとアルゴリズムの両方を指定する必要があります。

インターネット プロトコル セキュリティ (IPsec) では、ネットワーク パケットのデータから生成されたハッシュを計算することで、整合性が実現されます。次に、ハッシュは暗号で署名され (暗号化)、IP パケットに埋め込まれます。受信側のコンピューターは、同じアルゴリズムを使用してハッシュを計算し、受信したパケットに埋め込まれているハッシュと計算結果とを比較します。一致した場合、受信した情報は送信された情報と正確に同一であり、パケットは受け入れられます。一致しない場合、パケットは破棄されます。

転送メッセージに暗号化されたハッシュを使用すると、そのハッシュの不一致を起こさずにメッセージを変更することが事実上不可能になります。転送中にそのメッセージが変更されていないことを確認できるため、インターネットなど、セキュリティで保護されていないネットワークを使ってデータを交換する場合は、この処理が重要になります。

このダイアログ ボックスでは、整合性の保護に加え、ネットワーク パケットが転送中に傍受された場合にデータが読み取られることを阻止するのに役立つ、暗号化アルゴリズムを指定することもできます。

このダイアログ ボックスの表示方法

  1. セキュリティが強化された Windows ファイアウォール MMC スナップイン ページの [概要] で、[Windows ファイアウォールのプロパティ] をクリックします。

  2. [IPsec の設定] タブをクリックします。

  3. [IPsec 既定] で、[カスタマイズ] をクリックします。

  4. [データ保護 (クイック モード)] の [詳細設定] をクリックし、[カスタマイズ] をクリックします。

  5. [データの整合性と暗号化] で一覧からアルゴリズムの組み合わせを選択し、[編集] または [追加] をクリックします。

プロトコル

整合性情報と暗号化情報を IP パケットに埋め込むには、次のプロトコルを使用します。

ESP (推奨)

カプセル化セキュリティ ペイロード (ESP) は、IP ペイロードに対して、認証、整合性、および不正再実行対策だけでなく、機密性も提供します。転送モードの ESP はパケット全体には署名しません。IP データ ペイロードだけが保護されます (IP ヘッダーは保護されません)。ESP は単独で使用することも、認証ヘッダー (AH) と組み合わせて使用することもできます。ESP を使用すると、ハッシュの計算結果には、ESP ヘッダー、トレーラー、およびペイロードだけが含まれます。ESP では、サポートされる暗号化アルゴリズムのいずれかを使用して ESP ペイロードを暗号化することによって、データの機密性サービスを提供します。パケット リプレイ サービスは、各パケットのシーケンス番号を含めて提供されます。

ESP および AH

このオプションを使用すると、ESP プロトコルのセキュリティが AH プロトコルと統合されます。AH は、パケット全体 (パケットで運ばれる IP ヘッダーとデータ ペイロードの両方) に対して、認証、整合性、および不正再実行対策を提供します。

重要

AH プロトコルはネットワーク アドレス変換 (NAT) と互換性がありません。これは、NAT デバイスがパケット ヘッダー内の情報を変更する必要があるためです。IPsec ベースのトラフィックが NAT デバイスを通過できるようにするには、IPsec のピア コンピューターで NAT トラバーサル (NAT-T) がサポートされている必要があります。

アルゴリズム

暗号化アルゴリズム

次の暗号化アルゴリズムは、このバージョンの Windows が実行されているコンピューターに対して使用できます。これらのアルゴリズムには、以前のバージョンの Windows が実行されているコンピューターで使用できないものがあります。以前のバージョンの Windows が実行されているコンピューターを使用して IPsec で保護された接続を確立する必要がある場合、以前のバージョンと互換性があるアルゴリズムのオプションを含める必要があります。

詳細については、Windows でサポートされる IPsec のアルゴリズムと認証方法に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkID=129230) を参照してください。

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-CBC 256

  • AES-CBC 192

  • AES-CBC 128

  • [3DES]

  • [DES]

セキュリティについての 注

DES は使用しないことをお勧めします。これは、下位互換性のみを目的として提供されます。

暗号化に AES-GCM アルゴリズムを指定した場合は、整合性にも同じアルゴリズムを指定する必要があります。

整合性アルゴリズム

次の整合性アルゴリズムは、このバージョンの Windows が実行されているコンピューターに対して使用できます。これらのアルゴリズムには、他のバージョンの Windows が実行されているコンピューターで使用できないものがあります。以前のバージョンの Windows が実行されているコンピューターを使用して IPsec で保護された接続を確立する必要がある場合、以前のバージョンと互換性があるアルゴリズムのオプションを含める必要があります。

詳細については、Windows でサポートされる IPsec のアルゴリズムと認証方法に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkID=129230) を参照してください。

  • AES-GCM 256

  • AES-GCM 192

  • AES-GCM 128

  • AES-GMAC 256

  • AES-GMAC 192

  • AES-GMAC 128

  • SHA-1

  • [MD5]

セキュリティについての 注

MD5 は使用しないことをお勧めします。これは、下位互換性のみを目的として提供されます。

整合性に AES-GCM アルゴリズムを指定した場合は、暗号化にも同じアルゴリズムを指定する必要があります。

キーの有効期間

有効期間の設定によって、新しいキーが生成される頻度が決まります。キーの有効期間を設定すると、指定した時間が経過した後、または指定した量のデータを転送した後に、新しいキーを強制的に生成することができます。たとえば、キーの有効期間に 10 分を指定した場合、通信に 100 分かかると、交換中 10 分ごとに 10 個のキーが生成されます。複数のキーを使うと、攻撃者が通信の一部のキーを入手した場合でも、通信全体が危害を受けることはなくなります。

このキー生成はクイック モードのデータ整合性および暗号化に対して適用されるもので、メイン モードのキー交換の有効期間設定には影響しません。

この設定は、クイック モードのセキュリティ アソシエーションに使用されるキーの有効期間を分単位で構成するために使用します。この間隔でキーが再生成されます。この後の通信では別のキーが使用されます。

最大有効期間は、2,879 分 (48 時間) です。最小有効期間は 5 分です。キー更新は、リスク評価が必要な最低限の頻度で実行することをお勧めします。キー更新の頻度が高すぎると、パフォーマンスに影響を与える可能性があります。

KB

この設定を使用して、このキーを使用して送信されるデータのサイズ (KB) を構成します。このしきい値に達すると、カウンターがリセットされ、キーが再生成されます。この後の通信では別のキーが使用されます。

最大有効期間は 2,147,483,647 KB です。最小有効期間は 20,480 KB です。キー更新は、リスク評価が必要な最低限の頻度で実行することをお勧めします。キー更新の頻度が高すぎると、パフォーマンスに影響を与える可能性があります。

関連項目

目次