パソコンでIPsecの条件を設定する
機器で選択したセキュリティーレベルのIPsec SA設定と同一の条件をパソコン側で設定します。設定方法はOSによって異なります。ここではセキュリティーレベルで「認証と暗号化(低)」を選択したときのWindows 10側の設定を例に説明します。
[スタート]ボタンを右クリックし、[設定]-[コントロールパネル]-[システムとセキュリティ]-[管理ツール]をクリックします。
Windows 7 のときは、[スタート]メニューから[コントロールパネル]-[システムとセキュリティ]-[管理ツール]をクリックします。
Windows 8のときは、画面の右上端または、右下端をポイントし[設定]-[コントロールパネル]-[システムとセキュリティ]-[管理ツール]をクリックします。
[ローカルセキュリティポリシー]をダブルクリックします。
[IPセキュリティポリシー(ローカルコンピュータ)]を右クリックします。
Window 7/8のときは、[IPセキュリティーポリシー(ローカルコンピュータ)]をダブルクリックします。
[IPセキュリティポリシーの作成]をクリックします。
Window 7/8のときは、[操作]メニューから[IPセキュリティポリシーの作成]をクリックします。
[IPセキュリティポリシーウィザード]が表示されます。
[次へ]をクリックします。
任意のIPセキュリティポリシー名を入力し、[次へ]をクリックします。
「既定の応答規則をアクティブにする」のチェックを外し、[次へ]をクリックします。
「プロパティを編集する」にチェックを付け、[完了]をクリックします。
[全般]タブを選択し、[設定]をクリックします。
「新しいキーを認証して生成する間隔」に機器の自動鍵交換設定のフェーズ1で設定した有効期間を分単位で入力し、[メソッド]をクリックします。
機器の自動鍵交換設定のフェーズ1で選択されている「暗号化」(暗号化アルゴリズム)、「整合性」(ハッシュアルゴリズム)、「Diffie-Hellmanグループ」の組み合わせが[セキュリティメソッドの優先順位]に存在しているか確認します。
存在しないときは[追加]をクリックし作成します。
[OK]を2回クリックします。
[規則]タブを選択し、[追加]をクリックします。
「セキュリティの規則ウィザード」が表示されます。
[次へ]をクリックします。
「この規則ではトンネルを指定しない」を選択し、[次へ]をクリックします。
IPsecを適用するネットワークの種類を選択し、[次へ]をクリックします。
「IPフィルター一覧」で[追加]をクリックします。
「名前」に任意のIPフィルター名を入力し、[追加]をクリックします。
「IPフィルターウィザード」が表示されます。
[次へ]をクリックします。
必要に応じてIPフィルターの説明を入力し、[次へ]をクリックします。
「発信元アドレス」で「このコンピューターのIPアドレス」を選択し、[次へ]をクリックします。
「宛先アドレス」で「特定のIPアドレスまたはサブネット」を選択し、機器のIPアドレスを入力して[次へ]をクリックします。
IPsecの対象とするプロトコルを選択し、[次へ]をクリックします。
「TCP」または「UDP」を選択したときは、「IPプロトコルポートの設定」で発信ポートと宛先ポートを指定し、[次へ]をクリックします。
[完了]をクリックします。
[OK]をクリックします。
設定したIPフィルターを選択し、[次へ]をクリックします。
[追加]をクリックします。
「フィルター操作ウィザード」が表示されます。
[次へ]をクリックします。
任意のフィルター操作名を入力し、[次へ]をクリックします。
[セキュリティのネゴシエート]を選択し、[次へ]をクリックします。
[セキュリティで保護された接続が確立できない場合、保護されていない通信を許可する]を選択し、[次へ]をクリックします。
「カスタム」を選択し、[設定]をクリックします。
「整合性アルゴリズム」で機器の自動鍵交換設定のフェーズ2で選択されている認証アルゴリズムを選択します。
「暗号化アルゴリズム」で機器の自動鍵交換設定のフェーズ2で選択されている暗号化アルゴリズムを選択します。
「セッションのキーの設定」で「新しいキーの生成間隔(R)」にチェックを付け、機器の自動鍵交換設定のフェーズ2で設定した有効期間を秒単位で入力します。
[OK]をクリックします。
[次へ]をクリックします。
[完了]をクリックします。
作成したフィルター操作を選択し、[次へ]をクリックします。
自動鍵交換設定でセキュリティーレベルを「認証と暗号化(高)」に指定するときは、作成したフィルター操作を選択し[編集]をクリックします。フィルター操作のプロパティ画面で[セッションキーのPFS (Perfect Forward Secrecy)を使う]をチェックします。WindowsでPFSを使用するときは、自動鍵交換設定のフェーズ2で使用されるPFSグループ番号は、手順11にあるDiffie-Hellmanグループ番号から自動的に変換されます。このため、機器の自動鍵交換設定で指定されたセキュリティーレベルを変更し、「ユーザー設定」が表示される状況でIPsecを有効にするには、機器の「Diffie-Hellmanグループフェーズ1」と「PFSフェーズ2」のグループ番号を同じにします。
認証方法を選択して[次へ]をクリックします。
機器の自動鍵交換設定の認証方法で証明書を選択しているときは、機器証明書を設定します。PSKを選択しているときは、事前共有キーとして機器で設定したPSKと同じ文字列を入力します。
[完了]をクリックします。
IPv6を使用するときは、もう一度手順13から操作してICMPv6の除外設定を追加してください。
そのとき、手順23では対象とするプロトコルで[その他]のプロトコル番号[58]を選択し、[セキュリティのネゴシエート]を許可する設定にしてください。
[OK]をクリックします。
新しいIPセキュリティポリシー(IPsec設定)が設定されます。
設定したセキュリティポリシー名を選択し、右クリックして[割り当て]をクリックします。
パソコンのIPsec設定が有効になります。[割り当ての解除]をクリックすると、パソコンのIPsec設定が無効になります。