IPSecでの暗号化について

エンド ツー エンドのセキュリティ IPSec (Internet Protocol Security) の概要 という文書がマイクロソフトのウェブサイトにあります。(参考URL) 手順としては、サーバ側・クライアント側の双方でIPsecポリシーを作成することになります。 詳しく手順を解説するには、この場所は向いていないですし、設定内容は導入する環境に依存するので、ドキュメントを読みながらいろいろ実験してみてください。 こういう利用法が正しいか、という質問については、「要件や制約が満たされるなら正しい」と答えておきたいと思います。 ただ、サーバ・クライアント双方にポリシー設定、という手間があるので、ポリシーを一貫して設定・配布しやすい、企業などの組織内で使われることが一般的だと思います。 また、基本的に上位層を選ばないので、httpだけでなく、ファイル共有や業務アプリケーションも暗号化することができます。 組織内のネットワークではあまり問題にはなりませんが、インターネットを通る場合、経路の途中にNATがあって、エンド ツー エンドIPsecのトラフィックが通過できない場合があります。そのへんはNATを行っているデバイスやプロバイダの仕様なので、なんとも言えませんが、あきらめるしかない場合もあります。 実験的なものであれば、SoftEther VPNあたりでお茶を濁すのもありでしょう。(要件次第) この場合、サーバ・クライアントの双方にVPN softwareをインストールする必要がありますが、無償版を使えばライセンス費用はかからないと思います。 くわしくは、 http://www.softether.com/jp/ で知ることが出来ます。 もちろんWebサーバに証明書をインストールして、SSLで暗号化するのもありだと思います。 証明書の取得・維持費用はかかりますが、クライアント側のインストールや設定がいらない(普通のブラウザでかまわない)こと、サーバ側の設定もそんなに難しくないこと、経路の途中にNATがあっても超えられる可能性が高いこと、などというメリットもあります。

　暗号化は簡単で、ローカルエリア接続のプロパティからTCP/IPを選んでプロパティ、そこから詳細設定のオプションを選び、IPsecのプロパティで必要な機能をONにする……といった手順です。　今、Windows2000でしか確認できないのですが、記憶によればXPでも大差はなかったかと。 　ところで、使用法としては、なんというか一般的じゃないです。　IPsecは基本的にトンネリング（≒VPN）に使うものですから。　Webサーバで公開するならSSLを使うのがお約束、という気がしますがどうでしょうか。 　もちろん暗号化には違いないですから構いはしないですけどね。 　むしろ問題になるとしたら、サーバ上での認証の甘さでしょう。