ホーム > 情報処理安全確保支援士試験 > 2010年 春期
情報処理安全確保支援士試験 2010年 春期 午前2 問17
IPsecに関する記述のうち,適切なものはどれか。
ア:IKEはIPsecの鍵交換のためのプロトコルであり,ポート番号80が使用される。
イ:鍵交換プロトコルとして,HMAC-MD5が使用される。
ウ:トンネルモードを使用すると,元のヘッダまで含めて暗号化される。(正解)
エ:ホストAとホストBとの間でIPsecによる通信を行う場合,認証や暗号化アルゴリズムを両者で決めるためにESPヘッダではなくAHヘッダを使用する。
解説
IPsecに関する記述のうち,適切なものはどれか。【午前2 解説】
要点まとめ
- 結論:IPsecのトンネルモードでは元のIPヘッダも含めて暗号化されるため、通信の秘匿性が高まります。
- 根拠:トンネルモードはパケット全体を新しいIPヘッダで包み込み、元のヘッダとペイロードを暗号化する仕様です。
- 差がつくポイント:IKEのポート番号やHMAC-MD5の役割、AHとESPの違いを正確に理解しているかが重要です。
正解の理由
選択肢ウは「トンネルモードを使用すると、元のヘッダまで含めて暗号化される」と述べています。IPsecにはトランスポートモードとトンネルモードがあり、トンネルモードでは元のIPパケット全体(IPヘッダ+ペイロード)を新しいIPヘッダで包み込み暗号化します。これにより、送信元・宛先IPアドレスなどの情報も秘匿されるため、VPNなどで広く利用されます。したがってウが正解です。
よくある誤解
IKEはポート番号500を使い、ポート80はHTTPの標準ポートです。HMAC-MD5は認証に使われますが、鍵交換プロトコルではありません。AHは認証ヘッダで暗号化は行いません。
解法ステップ
- IPsecの基本構成(IKE、AH、ESP)を確認する。
- IKEの役割と使用ポート番号を理解する(ポート500)。
- HMAC-MD5の用途を認証に限定し、鍵交換プロトコルではないことを把握する。
- トランスポートモードとトンネルモードの違いを整理する。
- AHとESPの機能の違い(認証のみ vs 認証+暗号化)を確認する。
- 各選択肢の記述と照らし合わせて正誤を判断する。
選択肢別の誤答解説
- ア: IKEは鍵交換プロトコルで正しいが、使用ポートは80ではなくUDPの500番です。
- イ: HMAC-MD5は認証アルゴリズムであり、鍵交換プロトコルではありません。
- ウ: トンネルモードは元のIPヘッダも含めて暗号化するため正解です。
- エ: AHは認証ヘッダであり暗号化は行いません。認証や暗号化アルゴリズムの交渉はIKEで行います。
補足コラム
IPsecはVPN構築に欠かせない技術で、IKE(Internet Key Exchange)が鍵交換を担当し、ESP(Encapsulating Security Payload)が暗号化と認証を行います。トンネルモードはネットワーク間VPNで使われ、トランスポートモードはホスト間通信で使われることが多いです。AHは認証専用で暗号化はできません。
FAQ
Q: IKEはどのポート番号を使いますか?
A: IKEはUDPのポート番号500を使用します。
A: IKEはUDPのポート番号500を使用します。
Q: AHとESPの違いは何ですか?
A: AHは認証のみを提供し、ESPは認証と暗号化の両方を提供します。
A: AHは認証のみを提供し、ESPは認証と暗号化の両方を提供します。
Q: トンネルモードとトランスポートモードの違いは?
A: トンネルモードは元のIPヘッダも含めて暗号化し、新しいIPヘッダで包みます。トランスポートモードはペイロードのみを暗号化します。
A: トンネルモードは元のIPヘッダも含めて暗号化し、新しいIPヘッダで包みます。トランスポートモードはペイロードのみを暗号化します。
関連キーワード: IPsec, IKE, トンネルモード, ESP, AH, HMAC-MD5, VPN, 暗号化, 認証, トランスポートモード