ネットワークスペシャリスト 2023年午前2 問09

問題文

図はIPv4におけるIPsecのデータ形式を示している。ESPトンネルモードの電文中で、暗号化されているのはどの部分か。

選択肢

ア：ESPヘッダーからESPトレーラまで

イ：TCPヘッダーからESP認証データまで

ウ：オリジナルIPヘッダーからESPトレーラまで（正解）

エ：新IPヘッダーからESP認証データまで

IPv4におけるIPsecのESPトンネルモードの暗号化範囲【午前2 解説】

要点まとめ

結論：ESPトンネルモードでは「オリジナルIPヘッダーからESPトレーラまで」が暗号化される。
根拠：トンネルモードは元のIPパケット全体をカプセル化し、内部のIPヘッダー以降を暗号化する仕様であるため。
差がつくポイント：ESPヘッダーや認証データは暗号化されず、認証データは改ざん検知用に後付けされる点を理解すること。

正解の理由

ESPトンネルモードは、元のIPパケット全体（オリジナルIPヘッダー、TCPヘッダー、データ、ESPトレーラ）を暗号化し、新たに付加した新IPヘッダーは暗号化しません。ESPヘッダーは暗号化対象の前に置かれ、ESP認証データは暗号化されずにパケットの最後に付加されます。したがって、暗号化される範囲は「オリジナルIPヘッダーからESPトレーラまで」であり、選択肢のウが正解です。

よくある誤解

ESPヘッダーやESP認証データも暗号化されると誤解されがちですが、ESPヘッダーは暗号化対象の前にあり、認証データは暗号化されません。新IPヘッダーはトンネルモードで外部ルーティング用に追加されるため暗号化されません。

解法ステップ

IPsecのESPトンネルモードの基本構造を理解する。
新IPヘッダーは外部ルーティング用で暗号化されないことを確認。
ESPヘッダーは暗号化対象の前にあり、暗号化されないことを把握。
ESP認証データは改ざん検知用で暗号化されないことを理解。
以上から暗号化範囲は「オリジナルIPヘッダーからESPトレーラまで」と判断する。

選択肢別の誤答解説

ア: ESPヘッダーからESPトレーラまで
→ ESPヘッダーは暗号化されず、暗号化範囲の開始位置として誤り。
イ: TCPヘッダーからESP認証データまで
→ ESP認証データは暗号化されず、またオリジナルIPヘッダーも暗号化対象。
ウ: オリジナルIPヘッダーからESPトレーラまで
→ 正解。トンネルモードで暗号化される範囲を正しく示している。
エ: 新IPヘッダーからESP認証データまで
→ 新IPヘッダーは暗号化されず、ESP認証データも暗号化されないため誤り。

補足コラム

IPsecのESP（Encapsulating Security Payload）は、データの機密性を確保するために暗号化を行います。トンネルモードはVPNなどでよく使われ、元のIPパケット全体を新IPヘッダーで包み込みます。これに対し、トランスポートモードはペイロード部分のみを暗号化します。ESP認証データは改ざん検知用のHMACなどで生成され、暗号化されずに付加されます。

FAQ

Q: ESPトンネルモードで新IPヘッダーはなぜ暗号化されないのですか？
A: 新IPヘッダーはパケットのルーティングに必要なため、途中のルーターが読み取れるよう暗号化されません。

Q: ESP認証データは暗号化されますか？
A: いいえ。ESP認証データは改ざん検知用であり、暗号化されずにパケットの最後に付加されます。

関連キーワード: IPsec, ESPトンネルモード、暗号化範囲、IPヘッダー、ESP認証データ、VPN, ネットワークセキュリティ

← 前の問題へ次の問題へ →

\ せっかくなら /

ネットワークスペシャリストを
クイズ形式で学習しませんか？

クイズ画面へ遷移する→

すぐに利用可能！