セキュリティポリシーの登録

ここでは、新しいセキュリティポリシーを登録する方法について説明しています。


おことわり
  • セキュリティポリシーは、10個まで登録できます。登録されたセキュリティポリシーは、優先順位が高い順に表示されます。

  1. TCP/IP設定画面の[IPSec設定]を押したあと、<IPSecを使用>を[ON]にします。

  • <IPSecを使用>が「ON」に設定されている場合、本製品は完全なスリープ状態には移行しません。
  1. <ポリシー外パケットの受信>で、以下を設定したあと、[登録]を押します。

[許可]:IPSec設定画面で設定したセキュリティポリシーに該当しないため暗号化されないパケットの平文での送受信を許可します。

[拒否]:IPSec設定画面で設定したセキュリティポリシーに該当しないパケットの送受信を拒否します。

  1. [ポリシー名]に登録するセキュリティポリシーの名称を入力したあと、[セレクタ設定]を押します。

  1. セレクタ設定画面で、登録したセキュリティポリシーを適用するローカルIPアドレスを指定します。

IPパケットを受信した場合、パケット中の宛先IPアドレスが本手順で指定したローカルIPアドレスと一致したときに、登録したセキュリティポリシーを適用します。IPパケットを送信する場合、パケット中の発信元IPアドレスが本手順で指定したローカルIPアドレスと一致したときに、登録したセキュリティポリシーを適用します。

  • 以下を選択した場合に含まれるリンクローカルアドレスには、IPSec通信は適用されません。リンクローカルアドレス宛てのIPSecパケットは破棄されます。
  • <ローカルアドレス>の[全IPアドレス]
  • <ローカルアドレス>の[自IPv6アドレス]
  • <ローカルアドレス>の[IPv6手動設定]

  • <ローカルアドレス>の[全IPアドレス]を押します。


  • <ローカルアドレス>の[自IPv4アドレス]を押します。

  • <ローカルアドレス>の[自IPv6アドレス]を押します。

  • <ローカルアドレス>の[IPv4手動指定]を押して、IPv4アドレスを単独設定/範囲設定してください。またはサブネットを指定してください。


  • <ローカルアドレス>の[IPv6手動指定]を押して、IPv6アドレスを単独設定/範囲設定してください。またはIPv6アドレスとプレフィックス長を指定してください。

  1. セレクタ設定画面で、登録したセキュリティポリシーを適用するリモートIPアドレスを指定します。

IPパケットを受信した場合、パケット中の発信元IPアドレスが本手順で指定したリモートIPアドレスと一致したときに、登録したセキュリティポリシーを適用します。IPパケットを送信する場合、パケット中の宛先IPアドレスが本手順で指定したリモートIPアドレスと一致したときに、登録したセキュリティポリシーを適用します。


  • <リモートアドレス>の[全IPアドレス]を押します。

  • <リモートアドレス>の[全IPv4アドレス]を押します。

  • <リモートアドレス>の[全IPv6アドレス]を押します。

  • <リモートアドレス>の[IPv4手動指定]を押して、IPv4アドレスを単独設定/範囲設定してください。またはサブネットを指定してください。

  • <リモートアドレス>の[IPv6手動指定]を押して、IPv6アドレスを単独設定/範囲設定してください。またはIPv6アドレスとプレフィックス長を指定してください。
  1. セレクタ設定画面で、登録したセキュリティポリシーを適用する宛先ポートを指定します。

IPパケットを受信した場合、パケット中の宛先ポートが本手順で指定したポート番号と一致したときに、登録したセキュリティポリシーを適用します。IPパケットを送信する場合、パケット中の発信元ポート番号が本手順で指定したポートと一致したときに、登録したセキュリティポリシーを適用します。


  • <ポート>の[ポート番号で指定]を押します。
  • ポート番号で指定画面で、ローカルポートとリモートポートを指定します。

[全ポート]:すべてのローカルポートまたはすべてのリモートポートを指定します。

[単一指定]:1つのローカルポートまたは1つのリモートポートをポート番号で指定します。


  • <ポート>の[サービス名で指定]を押します。
  • サービス名で指定画面で、表示されているサービス名を選択したあと[サービスのON/OFF]を押します。

  1. 登録画面で[IKE設定]を押してIKEフェーズ1で使用するモードを選択します。

[メイン]:メインモードを設定します。IKEセッション自体を暗号化するため、セキュリティが強固です。

[アグレッシブ]:アグレッシブモードを設定します。暗号化されないためIKEセッションが高速化します。

  1. IKE設定画面でIKEフェーズ1に使用する認証方式を指定します。

事前共有鍵方式を選択する場合は、事前共有鍵を準備してください。電子署名方式を選択する場合は、PC上で作成した鍵ペアファイルとCA証明書ファイルをリモートUIを使用して事前にインストールしてください。


  • <認証方式>の[事前共有鍵方式]→[共有鍵]を押して、事前共有鍵を入力します。


  • <認証方式>の[電子署名方式]→[鍵と証明書]を押して、使用したい鍵ペアを選択したあと[使用鍵に設定]を押してIPSecに使用する鍵ペアを登録します。

「Device Signature Key」(機器署名用鍵ペア)、および「AMS」(アクセス制限用鍵ペア)を使用鍵に設定することはできません。SSLで使用している鍵ペアはIPSecの使用鍵としても使用できます。

  • 本製品で使用する鍵ペアと、通信相手の機器で使用するルートCA証明書は、同じルート認証局から発行される必要があります。
  • IPSec用に登録した鍵ペアを削除するには、リモートUI を使用する必要があります。(→リモートUI
  • 鍵と証明書画面で鍵ペアを選択したあと[証明書詳細情報]を押すことによって、証明書の内容を確認できます。また、証明書詳細情報画面で[証明書検証]を押して証明書を検証することもできます。
  • 鍵と証明書画面で<使用状況>に「使用中」と表示されている鍵ペアを選択したあと[使用先を表示]を押すことによって、鍵ペアの用途を確認できます。
  1. IKE設定画面で、IKEフェーズ1に使用する認証と暗号化のアルゴリズムを選択します。

  • <認証/暗号化アルゴリズム>の[手動指定]を押して、IKE SAに適用する認証と暗号化のアルゴリズムを選択します。

<認証>の[SHA1]:認証アルゴリズムにSHA1(Secure Hash Algorithm 1)を設定します。160ビットのハッシュ値をサポートします。

<認証>の[MD5]:認証アルゴリズムにMD5(Message Digest Algorithm 5)を設定します。128ビットのハッシュ値をサポートします。

<暗号>の[3DES-CBC]:暗号化アルゴリズムに3DES (Triple Data Encryption Standard)、暗号モードにCBC (Cipher Block Chaining)を設定します。3DESは、DESを3回行うため処理時間は長くなりますが、暗号の強度を高めることができます。CBCでは、前のブロックの暗号化結果が次のブロックに連鎖され、暗号を解読しにくくすることができます。

<暗号>の[AES-CBC]:暗号化アルゴリズムにAES(Advanced Encryption Standard)、暗号モードにCBCを設定します。AESは、128、192、および256ビットの鍵長の暗号鍵をサポートします。サポートする鍵長が長いため、暗号の強度を高めることができます。CBCでは、前のブロックの暗号化結果が次のブロックに連鎖され、暗号を解読しにくくすることができます。

<DHグループ>の[Group1(762)]:DH(Diffie-Hellman)鍵交換方式にGroup1を設定します。Group1では、762ビットのMODP(Modular Exponentiation)をサポートします。

<DHグループ>の[Group2(1024)]:DH鍵交換方式にGroup2を設定します。Group2では1024ビットのMODPをサポートします。

<DHグループ>の[Group14(2048)]:DH鍵交換方式にGroup14を設定します。Group14では2048ビットのMODPをサポートします。


  • <認証/暗号化アルゴリズム>の[自動]を押します。

認証と暗号化のアルゴリズムの優先順位は、以下のとおりです。

優先順位 認証アルゴリズム 暗号化アルゴリズム DH鍵交換方式
1 SHA1 AES(128ビット) Group2
2 MD5
3 SHA1 AES(192ビット)
4 MD5
5 SHA1 AES(256ビット)
6 MD5
7 SHA1 3DES
8 MD5
  1. 登録画面で[IPSec通信設定]を押して、SAの有効時間や有効タイプ、およびPFS(Perfect Forward Security)を指定します。

<有効期間>の[時間]と[サイズ]:生成されるIKE SAとIPSec SAの有効期間を指定します。有効期間内のセキュリティポリシーが適用されたIPSec通信では鍵交換のネゴシエーションを行わずにパケットを送受信することができます。[時間]と[サイズ]のいずれかを必ず設定してください。両方を設定した場合は、[時間]と[サイズ]のどちらか一方が設定値に達したときにSAの有効期限が切れます。

<PFS>を[ON]:PFS機能を有効にすると、1つの暗号鍵が第三者に知られてしまっても、他の暗号鍵には被害が波及しないため、機密性を向上させることができます。

<PFS>を[OFF]:PFS機能を無効にした場合、1つの暗号鍵が第三者に知られると、他の暗号鍵も予測される怖れがあります。<PFS>を「ON」に設定した場合は、通信先のPFSも有効にする必要があります。

  1. IPSec通信設定画面で、IKEフェーズ2に使用する認証と暗号化のアルゴリズムを選択します。

  • <認証/暗号化アルゴリズム>の[手動指定]を押します。
  • ESP認証・暗号化方式、またはAH認証方式のアルゴリズムを設定します。

<ESP認証>の[SHA1]:ESP認証方式のアルゴリズムにSHA1を設定します。160ビットのハッシュ値をサポートします。

<ESP認証>の[MD5]:ESP認証方式のアルゴリズムにMD5を設定します。128ビットのハッシュ値をサポートします。

<ESP認証>の[NULL]:ESP認証方式のアルゴリズムを設定しません。

<ESP暗号>の[3DES-CBC]:ESP暗号化方式のアルゴリズムに3DES、暗号モードにCBC を設定します。3DESは、DESを3回行うため処理時間は長くなりますが、暗号の強度を高めることができます。CBCでは、前のブロックの暗号化結果が次のブロックに連鎖され、暗号を解読しにくくすることができます。

<ESP暗号>の[AES-CBC]:ESP暗号化方式のアルゴリズムにAES、暗号モードにCBCを設定します。AESは、128、192、および256ビットの鍵長の暗号鍵をサポートします。サポートする鍵長が長いため、暗号の強度を高めることができます。CBCでは、前のブロックの暗号化結果が次のブロックに連鎖され、暗号を解読しにくくすることができます。

<ESP暗号>の[NULL]:ESP暗号化方式のアルゴリズムを設定しません。

<AH認証>の[SHA1]:AH認証方式のアルゴリズムにSHA1を設定します。160ビットのハッシュ値をサポートします。

<AH認証>の[MD5]:AH認証方式のアルゴリズムにMD5を設定します。128ビットのハッシュ値をサポートします。


  • <認証/暗号化アルゴリズム>の[自動]を押します。

ESP認証・暗号化方式が設定されます。認証と暗号化のアルゴリズムの優先順位は、以下のとおりです。

優先順位 ESP認証方式のアルゴリズム ESP暗号化方式のアルゴリズム
1 SHA1 AES(128ビット)
2 MD5
3 SHA1 AES(192ビット)
4 MD5
5 SHA1 AES(256ビット)
6 MD5
7 SHA1 3DES
8 MD5